Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen

Fügen Sie Sumo Logic als SIEM-Protokollierungsendpunkt hinzu, um den Server zu konfigurieren, an den Auditprotokolle gesendet werden sollen.

Vorbereitungen

Anmerkung:

Um die Aufgabe ausführen zu können, müssen Sie ein Control Room-Administratorkonto haben und über die erforderlichen Rechte und Berechtigungen verfügen.

Prozedur

  1. Navigieren Sie zu Administration > Einstellungen > SIEM-Integration konfigurieren.
    Zugriff auf die Konfiguration einer SIEM-Integration
  2. Klicken Sie auf das Symbol Bearbeiten. (Symbol „Bearbeiten“)
  3. Wählen Sie Aktiviert und fügen Sie den SIEM-Server-Endpunkt ein, den Sie zuvor im Abschnitt Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen kopiert haben.
    SIEM-Server-Endpunkt aktivieren
    Anmerkung: Ziehen Sie die Dokumentation Ihres SIEM-Anbieters zu Rate, um Informationen über die HTTP-Header und die Anforderungen bezüglich JSON-Attributen (Anforderungstext) zu erhalten.
  4. Wählen Sie die HTTP-Methode POST aus, da Sumo Logic Eingaben als POST-Methode akzeptiert.
    Anmerkung: Das SIEM-Tool-Zertifikat ist optional und hängt vom SIEM-Anbieter ab. Bei einigen SIEM-Anbietern müssen Sie ein gültiges Zertifikat für das SIEM-Tool eingeben.
  5. Geben Sie einen Namen für das Ereignis-Attribut ein (zum Beispiel "Audit"). Alle Protokollmeldungen werden unter dieser Kategorie gespeichert. Sie dient so also als Hilfsmittel zum Finden aller Ereignisprotokolle.
    Anmerkung: Das Zeitstempel-Attribut ist ein optionales Feld und hängt von der Zuordnung Ihres SIEM-Anbieters für dieses Feld ab. Für Splunk muss der Wert zum Beispiel vom Typ Zeit und einem der Zeitstempelfelder zugeordnet sein. Die maximal zulässige Länge beträgt 256 Zeichen. Alle Sonderzeichen außer Backslash (\) und doppelten Anführungszeichen (") sind erlaubt. Diese Zeichen müssen per Escape-Sequenz eingefügt werden.
  6. Klicken Sie auf das Plus-Zeichen (+), um einige Schlüssel-Wert-Paare für Anforderungstext (statische Attribute) einzugeben, die zusammen mit den Protokollen verschickt werden. Die Schlüssel-Wert-Paare können auch Sonderzeichen als Eingabe enthalten. Sie können maximal 50 Attribute konfigurieren.
    SIEM-Schlüssel-Wert-Paare
  7. Klicken Sie auf das Plus-Zeichen (+), um einige Schlüssel-Wert-Paare für Header eingeben, die zusammen mit jedem Ereignisdatenprotokoll verschickt werden. Die Header-Daten sind spezifisch für den SIEM-Anbieter. Zum Beispiel unterstützt Sumo Logic Header-Namen, die mit dem Buchstaben X beginnen (z. B. X-Sumo-Felder). Sie können maximal 50 Header konfigurieren.
    SIEM-Header-Schlüssel-Wert-Paare
    Weitere Informationen über Header-Daten entnehmen Sie bitte der Dokumentation des jeweiligen SIEM-Anbieters.