Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM

Pour configurer le serveur où les journaux d\'audit seront envoyés, ajoutez Sumo Logic en tant que point de terminaison de la journalisation SIEM.

Prérequis

Remarque :

Pour effectuer la tâche, vous devez être un administrateur de la Control Room et disposer des droits et autorisations requis.

Procédure

  1. Accédez à Administration > Paramètres > Configuration de l\'intégration SIEM.
    Accès à la configuration de l\'intégration SIEM
  2. Cliquez sur l'icône Modifier. (edit-icon)
  3. Sélectionnez Activé et collez le point de terminaison du serveur SIEM que vous avez copié auparavant depuis Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM.

    Remarque : Veillez à vous référer à la documentation de votre fournisseur de SIEM pour obtenir les informations concernant les en-têtes HTTP et les exigences relatives aux attributs JSON (corps de la demande).
  4. Sélectionnez la méthode POST HTTP, car Sumo Logic accepte les entrées comme une méthode POST.
    Remarque : Le certificat de l\'outil SIEM est facultatif et dépend du fournisseur SIEM. Certains fournisseurs SIEM vous demandent de saisir un certificat d\'outil SIEM valide.
  5. Saisissez un nom pour l\'Attribut d\'événement (par exemple, audit ou message). Cette valeur sert de clé pour trouver les événements d\'audit envoyés à votre solution SIEM. Tous les événements d\'audit seront enregistrés sous cette catégorie.
    Remarque : L\'attribut Timestamp est un champ facultatif et dépend du mappage du fournisseur SIEM pour ce champ. Par exemple, Splunk exige que la valeur soit associée chronologiquement et mappée à l\'un de ses champs timestamp. La longueur maximale autorisée est de 256 caractères. Tous les caractères spéciaux sont autorisés, sauf la barre oblique inversée (\) et les guillemets doubles ("). Ces caractères doivent être évités.
  6. Cliquez sur le signe plus (+) pour saisir quelques paires clé-valeur pour le corps (attributs statiques) qui sont envoyées avec les journaux. Les paires clé-valeur acceptent également les caractères spéciaux en entrée. Vous pouvez configurer au maximum 50 attributs.
    Paires clé-valeur SIEM
  7. Cliquez sur le signe plus (+) pour entrer une paire clé-valeur envoyée en tant qu\'en-tête HTTP avec chaque événement d\'audit en utilisant le champ paires clé-valeur pour l\'en-tête. Les données d\'en-tête sont spécifiques au fournisseur SIEM. Par exemple, avec Sumo Logic, les noms d\'en-tête commençant par X (par exemple, X-Sumo-Fields) sont pris en charge. Vous pouvez configurer au maximum 50 en-têtes.
    Paires clé-valeur de l\'en-tête
    Pour plus d\'informations sur les données d\'en-tête, consultez la documentation du fournisseur SIEM correspondant.
    Remarque :
    Les en-têtes HTTP suivants sont envoyés dans le cadre de tous les événements d\'audit qui sont transmis à votre solution SIEM. Par conséquent, ne les incluez pas dans les paires clé-valeur associées à un événement d\'audit :
    • Content-Type: application/json
    • Accept: application/json