SIEM ロギング エンドポイントとして Sumo Logic を追加

監査ログが送信されるサーバーを構成するには、SIEM のロギング エンドポイントとして Sumo Logic を追加します。

前提条件

注:

タスクを実行するには、必要な権限と許可のある Control Room 管理者アカウントを持っている必要があります。

手順

  1. [管理] > [設定] > [SIEM 統合構成] の順に移動します。
    SIEM 統合構成のアクセス
  2. [編集] アイコンをクリックします。([編集] アイコン)
  3. [有効] を選択し、「SIEM ロギング エンドポイントとして Sumo Logic を追加」から以前にコピーした [SIEM サーバー エンドポイント] を貼り付けます。
    SIEM サーバーのエンドポイントの有効化
    注: HTTP ヘッダーおよび JSON 属性 (リクエスト本文) に関する要件については、SIEM プロバイダーのドキュメンテーションを参照するようにしてください。
  4. Sumo Logic が POST メソッドとして入力を受け入れるため、[POST] HTTP メソッドを選択します。
    注: SIEM ツールの証明書はオプションであり、SIEM プロバイダーによって異なります。SIEM プロバイダーによっては、SIEM ツールの有効な証明書の入力が必要な場合があります。
  5. [イベント属性] の名前を入力します (例: 監査)。すべてのログ メッセージは、このカテゴリの下に記録され、すべてのイベント ログを見つけるためのキーとして機能します。
    注: タイムスタンプ属性は、オプション フィールドであり、このフィールドの、SIEM プロバイダーのマッピングによって異なります。たとえば、Splunk では、この値は時間であること、およびいずれかのタイムスタンプ フィールドにマッピングされていることが必要です。最大許容文字数は「256」文字です。すべての特殊文字を使用できます。ただし、バックスラッシュ (\) とダブルクォーテーション (") は除きます。これらの文字はエスケープする必要があります。
  6. プラス (+) 記号をクリックして、ログとともに送出される [本文のキーと値のペア] (静的属性) を入力します。キーと値のペアは、特殊文字も入力として受け取ります。最大 50 個の属性を構成できます。
    SIEM キーと値のペア
  7. プラス (+) 記号をクリックして、すべてのイベント データ ログとともに送出される [ヘッダーのキーと値のペア] を入力します。このヘッダー データは、SIEM プロバイダーに固有のものです。たとえば、Sumo Logic では、X で始まるヘッダー名 (例: X-Sumo-Fields) をサポートしています。最大 50 個のヘッダーを構成できます。
    SIEM ヘッダーのキーと値のペア
    ヘッダー データの詳細については、対応する SIEM プロバイダーのドキュメンテーションを参照してください。