SIEM 로깅 엔드포인트로 Sumo Logic 추가

감사 로그가 전송될 서버를 구성하려면 Sumo Logic을 SIEM 로깅 엔드포인트로 추가합니다.

전제 조건

주:

태스크를 수행하려면 필요한 권한을 가진 Control Room 관리자 계정이 있어야 합니다.

프로시저

  1. 관리 > 설정 > SIEM Integration Configuration(SIEM 통합 구성)으로 이동합니다.
    SIEM 통합 구성 액세스
  2. 편집 아이콘을 클릭합니다. (edit-icon)
  3. Enabled(활성화됨)를 선택하고 이전에 SIEM 로깅 엔드포인트로 Sumo Logic 추가에서 복사한 SIEM server endpoint(SIEM 서버 엔드포인트)를 붙여 넣습니다.
    SIEM 서버 엔드포인트 활성화
    주: JSON 속성(요청 본문)과 관련된 HTTP 헤더 및 요구 사항에 대한 정보를 얻으려면 SIEM 공급자의 설명서를 참조해야 합니다.
  4. Sumo Logic은 입력을 POST 메서드로 수락하므로 POST HTTP 메서드를 선택합니다.
    주: SIEM 도구 인증서는 선택 사항이며 SIEM 공급자에 따라 다릅니다. 일부 SIEM 공급자는 유효한 SIEM 도구 인증서를 입력하도록 요구합니다.
  5. Event attribute(이벤트 속성)의 이름(예: 감사)을 입력합니다. 모든 로그 메시지는 이 카테고리에 기록되며 모든 이벤트 로그를 찾는 키 역할을 합니다.
    주: 타임스탬프 속성은 선택적 필드이며 이 필드에 대한 SIEM 공급자의 매핑에 따라 다릅니다. 예를 들어 Splunk는 값이 time이고 해당 타임스탬프 필드 중 하나에 매핑되어야 합니다. 허용되는 최대 길이는 256자입니다. 백슬래시(\) 및 큰따옴표(")를 제외한 모든 특수 문자가 허용됩니다. 이러한 문자는 이스케이프되어야 합니다.
  6. 더하기(+) 기호를 클릭하여 로그와 함께 보내는 몇몇 key-value pairs for body(본문에 대한 키-값 쌍)(정적 속성)를 입력합니다. 키-값 쌍에는 특수 문자도 입력으로 사용됩니다. 최대 50개의 속성을 구성할 수 있습니다.
    SIEM 키-값 쌍
  7. 더하기(+) 기호를 클릭하여 모든 이벤트 데이터 로그와 함께 보낼 몇몇 key value pairs for header(헤더에 대한 키-값 쌍)를 입력합니다. 헤더 데이터는 SIEM 공급자에 따라 다릅니다. 예를 들어 Sumo Logic에서는 문자 X로 시작하는 헤더 이름(예: X-Sumo-Fields)을 지원합니다. 최대 50개의 헤더를 구성할 수 있습니다.
    SIEM 헤더 키 값 쌍
    헤더 데이터에 대한 자세한 내용은 해당 SIEM 공급자의 설명서를 참조하십시오.