Agregar Sumo Logic como un punto final de registro de SIEM

Para configurar el servidor donde se enviarán los registros de auditoría, agregue el Sumo Logic como un punto final de registro SIEM.

Antes de empezar

Nota:

Para realizar la tarea, debe tener una cuenta de administrador de Control Room con los derechos y permisos necesarios.

Procedimiento

  1. Vaya a Administración > Configuración > Configuración de la integración de SIEM.
    Acceda a la configuración de la integración de SIEM
  2. Haga clic en el ícono Editar. (edit-icon)
  3. Seleccione Habilitado y pegue el punto final del servidor de SIEM que copió anteriormente de Agregar Sumo Logic como un punto final de registro de SIEM.
    Habilite el punto final del servidor de SIEM
    Nota: Asegúrese de consultar la documentación de su proveedor de SIEM para obtener información sobre los encabezados HTTP y los requisitos relativos a los atributos JSON (cuerpo de la solicitud).
  4. Seleccione el método de HTTP POST porque Sumo Logic acepta las entradas como método POST.
    Nota: El certificado de la herramienta de SIEM es opcional y depende del proveedor de SIEM. Algunos proveedores de SIEM requieren que se ingrese un certificado válido de la herramienta de SIEM.
  5. Ingrese un nombre para el Atributo del evento (por ejemplo, auditoría). Todos los mensajes de registro se registrarán en esta categoría y actuarán como clave para localizar todos los registros de eventos.
    Nota: El atributo de marca de tiempo es un campo opcional y depende de la asignación del proveedor de SIEM para este campo. Por ejemplo, Splunk requiere que el valor sea el tiempo y que esté asignado a uno de sus campos de marca de tiempo. La longitud máxima permitida es de 256 caracteres. Se permiten todos los caracteres especiales, excepto la barra invertida (\) y las comillas dobles ("). Hay que omitir estos caracteres.
  6. Haga clic en el signo más (+) y a fin de ingresar algunos pares de clave-valor para el cuerpo (atributos estáticos) que se envían junto con los registros. Los pares de clave-valor también aceptan caracteres especiales como entrada. Podrá configurar un máximo de 50 atributos.
    Pares de valor clave para SIEM
  7. Haga clic en el signo más (+) a fin de introducir algunos pares de clave-valor para el encabezado que se enviarán con cada registro de datos de eventos. Los datos de encabezado son específicos del proveedor de SIEM. Por ejemplo, con Sumo Logic, admite nombres de encabezado que empiezan con la letra X (por ejemplo, X-Sumo-Fields). Podrá configurar un máximo de 50 encabezados.
    Pares de valores clave para el encabezado de SIEM
    Para obtener más información sobre los datos de encabezado, consulte la documentación del proveedor de SIEM correspondiente.