Para configurar el servidor donde se enviarán los registros de auditoría, agregue el Sumo Logic como un punto final de registro SIEM.

Antes de empezar

Nota:

Para realizar la tarea, debe tener una cuenta de administrador de Control Room con los derechos y permisos necesarios.

Procedimiento

  1. Vaya a Administración > Configuración > Configuración de la integración de SIEM.
    Acceda a la configuración de la integración de SIEM
  2. Haga clic en el ícono Editar. (edit-icon)
  3. Seleccione Habilitado y pegue el punto de conexión del servidor de SIEM que copió anteriormente de Agregar Sumo Logic como un punto final de registro de SIEM.
    Servidor de puntos de conexión de SIEM
    Nota: Asegúrese de consultar la documentación de su proveedor de SIEM para obtener información sobre los encabezados HTTP y los requisitos relativos a los atributos JSON (cuerpo de la solicitud).
  4. Seleccione el método de HTTP POST porque Sumo Logic acepta las entradas como método POST.
    Nota: El certificado de la herramienta de SIEM es opcional y depende del proveedor de SIEM. Algunos proveedores de SIEM requieren que se ingrese un certificado válido de la herramienta de SIEM.
  5. Ingrese un nombre para el atributo del evento (por ejemplo, auditoría o mensaje). Este valor sirve como clave para encontrar los eventos de auditoría enviados a su solución de SIEM. Todos los eventos de auditoría se registrarán en esta categoría.
    Nota: El atributo de marca de tiempo es un campo opcional y depende de la asignación del proveedor de SIEM para este campo. Por ejemplo, Splunk requiere que el valor sea el tiempo y que esté asignado a uno de sus campos de marca de tiempo. La longitud máxima permitida es de 256 caracteres. Se permiten todos los caracteres especiales, excepto la barra invertida (\) y las comillas dobles ("). Hay que omitir estos caracteres.
  6. Haga clic en el signo más (+) y a fin de ingresar algunos pares de clave-valor para el cuerpo (atributos estáticos) que se envían junto con los registros. Los pares de clave-valor también aceptan caracteres especiales como entrada. Podrá configurar un máximo de 50 atributos.
    Pares clave-valor para SIEM
  7. Haga clic en el signo “más” (+) para ingresar un par clave-valor enviado como un encabezado HTTP con cada evento de auditoría utilizando el campo pares clave-valor para encabezado. Los datos de encabezado son específicos del proveedor de SIEM. Por ejemplo, con Sumo Logic, admite nombres de encabezado que empiezan con la letra X (por ejemplo, X-Sumo-Fields). Podrá configurar un máximo de 50 encabezados.
    Pares clave-valor del encabezado
    Para obtener más información sobre los datos de encabezado, consulte la documentación del proveedor de SIEM correspondiente.
    Nota:
    Los siguientes encabezados HTTP se envían como parte de todos los eventos de auditoría que se reenvían a su solución de SIEM. Por lo tanto, no los incluya como parte de los pares clave-valor asociados con ningún evento de auditoría:
    • Tipo de contenido: aplicación/json
    • Aceptar: aplicación/json