Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM

Pour configurer le serveur où les journaux d'audit seront envoyés, ajoutez Sumo Logic en tant que point de terminaison de la journalisation SIEM.

Prérequis

Remarque :

Pour effectuer la tâche, vous devez être un administrateur de la Control Room et disposer des droits et autorisations requis.

Procédure

  1. Accédez à Administration > Paramètres > Configuration de l'intégration SIEM.
    Accès à la configuration de l'intégration SIEM
  2. Cliquez sur l'icône Modifier. (edit-icon)
  3. Sélectionnez Activé et collez le point de terminaison du serveur SIEM que vous avez copié auparavant depuis Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM.
    Activer le point de terminaison du serveur SIEM
    Remarque : Veillez à vous référer à la documentation de votre fournisseur de SIEM pour obtenir les informations concernant les en-têtes HTTP et les exigences relatives aux attributs JSON (corps de la demande).
  4. Sélectionnez la méthode POST HTTP, car Sumo Logic accepte les entrées comme une méthode POST.
    Remarque : Le certificat de l'outil SIEM est facultatif et dépend du fournisseur SIEM. Certains fournisseurs SIEM vous demandent de saisir un certificat d'outil SIEM valide.
  5. Saisissez un nom pour l'Attribut d'événement (par exemple, audit). Tous les messages de journaux sont enregistrés dans cette catégorie et servent de clé pour localiser tous les journaux d'événements.
    Remarque : L'attribut Timestamp est un champ facultatif et dépend du mappage du fournisseur SIEM pour ce champ. Par exemple, Splunk exige que la valeur soit associée chronologiquement et mappée à l'un de ses champs timestamp. La longueur maximale autorisée est de 256 caractères. Tous les caractères spéciaux sont autorisés, sauf la barre oblique inversée (\) et les guillemets doubles ("). Ces caractères doivent être évités.
  6. Cliquez sur le signe plus (+) pour saisir quelques paires clé-valeur pour le corps (attributs statiques) qui sont envoyées avec les journaux. Les paires clé-valeur acceptent également les caractères spéciaux en entrée. Vous pouvez configurer au maximum 50 attributs.
    Paires clé-valeur SIEM
  7. Cliquez sur le signe plus (+) pour saisir quelques paires clé-valeur pour l'en-tête à envoyer avec chaque journal de données d'événement. Les données d'en-tête sont spécifiques au fournisseur SIEM. Par exemple, avec Sumo Logic, les noms d'en-tête commençant par X (par exemple, X-Sumo-Fields) sont pris en charge. Vous pouvez configurer au maximum 50 en-têtes.
    Paires clé-valeur de l'en-tête SIEM
    Pour plus d'informations sur les données d'en-tête, consultez la documentation du fournisseur SIEM correspondant.