SIEM ロギング エンドポイントとして Sumo Logic を追加

監査ログが送信されるサーバーを構成するには、SIEM のロギング エンドポイントとして Sumo Logic を追加します。

前提条件

注:

タスクを実行するには、必要な権限と許可のある Control Room 管理者アカウントを持っている必要があります。

手順

  1. [管理] > [設定] > [SIEM 統合構成] の順に移動します。
    SIEM 統合構成のアクセス
  2. [編集] アイコンをクリックします。([編集] アイコン)
  3. [有効] を選択し、「SIEM サーバー エンドポイント」を [SIEM ロギング エンドポイントとして Sumo Logic を追加] から以前にコピーしたものを貼り付けます。
    SIEMエンドポイントサーバー
    注: HTTP ヘッダーおよび JSON 属性 (リクエスト本文) に関する要件については、SIEM プロバイダーのドキュメンテーションを参照するようにしてください。
  4. Sumo Logic が POST メソッドとして入力を受け入れるため、[POST] HTTP メソッドを選択します。
    注: SIEM ツールの証明書はオプションであり、SIEM プロバイダーによって異なります。 SIEM プロバイダーによっては、SIEM ツールの有効な証明書の入力が必要な場合があります。
  5. [イベント属性] の名前を入力します (例: 監査またはメッセージ)。 この値は、あなたのSIEMソリューションに送信された監査イベントを見つけるためのキーとして機能します。 すべての監査イベントはこのカテゴリに記録されます。
    注: タイムスタンプ属性は、オプション フィールドであり、このフィールドの、SIEM プロバイダーのマッピングによって異なります。 たとえば、Splunk では、この値は時間であること、およびいずれかのタイムスタンプ フィールドにマッピングされていることが必要です。 最大許容文字数は「256」文字です。 すべての特殊文字を使用できます。ただし、バックスラッシュ (\) とダブルクォーテーション (") は除きます。 これらの文字はエスケープする必要があります。
  6. プラス (+) 記号をクリックして、ログとともに送出される [本文のキーと値のペア] (静的属性) を入力します。 キーと値のペアは、特殊文字も入力として受け取ります。 最大 50 個の属性を構成できます。
    SIEM キーと値のペア
  7. プラス(+)記号をクリックして、key value pairs for header フィールドを使用して、すべての監査イベントにHTTPヘッダーとして送信されるキー値ペアを入力します。 このヘッダー データは、SIEM プロバイダーに固有のものです。 たとえば、Sumo Logic では、X で始まるヘッダー名 (例: X-Sumo-Fields) をサポートしています。 最大 50 個のヘッダーを構成できます。
    ヘッダーのキーと値のペア
    ヘッダー データの詳細については、対応する SIEM プロバイダーのドキュメンテーションを参照してください。
    注:
    すべての監査イベントに含まれる以下のHTTPヘッダーが、あなたのSIEMソリューションに転送されます。 したがって、監査イベントに関連付けられたキー値ペアの一部としてそれらを含めないでください。
    • Content-Type: application/json
    • Accept: application/json