SIEM 로깅 엔드포인트로 Sumo Logic 추가

감사 로그가 전송될 서버를 구성하려면 Sumo Logic을 SIEM 로깅 엔드포인트로 추가합니다.

전제 조건

주:

태스크를 수행하려면 필요한 권한을 가진 Control Room 관리자 계정이 있어야 합니다.

프로시저

  1. 관리 > 설정 > SIEM 통합 구성으로 이동합니다.
    SIEM 통합 구성 액세스
  2. 편집 아이콘을 클릭합니다. (edit-icon)
  3. 활성화됨을 선택하고 이전에 SIEM 로깅 엔드포인트로 Sumo Logic 추가에서 복사한 SIEM 서버 엔드포인트를 붙여 넣습니다.
    SIEM 엔드포인트 서버
    주: JSON 속성(요청 본문)과 관련된 HTTP 헤더 및 요구 사항에 대한 정보를 얻으려면 SIEM 공급자의 설명서를 참조해야 합니다.
  4. Sumo Logic은 입력을 POST 메서드로 수락하므로 POST HTTP 메서드를 선택합니다.
    주: SIEM 도구 인증서는 선택 사항이며 SIEM 공급자에 따라 다릅니다. 일부 SIEM 공급자는 유효한 SIEM 도구 인증서를 입력하도록 요구합니다.
  5. 이벤트 속성의 이름(예: 감사 또는 메시지)을 입력합니다. 이 값은 SIEM 솔루션으로 전송된 감사 이벤트를 찾기 위한 키 역할을 합니다. 모든 감사 이벤트는 이 범주에 따라 기록됩니다.
    주: 타임스탬프 속성은 선택적 필드이며 이 필드에 대한 SIEM 공급자의 매핑에 따라 다릅니다. 예를 들어 Splunk는 값이 time이고 해당 타임스탬프 필드 중 하나에 매핑되어야 합니다. 허용되는 최대 길이는 256자입니다. 백슬래시(\) 및 큰따옴표(")를 제외한 모든 특수 문자가 허용됩니다. 이러한 문자는 이스케이프되어야 합니다.
  6. 더하기(+) 기호를 클릭하여 로그와 함께 보내는 몇몇 key-value pairs for body(본문에 대한 키-값 쌍)(정적 속성)를 입력합니다. 키-값 쌍에는 특수 문자도 입력으로 사용됩니다. 최대 50개의 속성을 구성할 수 있습니다.
    SIEM 키-값 쌍
  7. 더하기(+) 기호를 클릭하여 헤더의 키-값 쌍 필드를 사용해서 모든 감사 이벤트와 함께 HTTP 헤더로 전송되는 키-값 쌍을 입력하세요. 헤더 데이터는 SIEM 공급자에 따라 다릅니다. 예를 들어 Sumo Logic에서는 문자 X로 시작하는 헤더 이름(예: X-Sumo-Fields)을 지원합니다. 최대 50개의 헤더를 구성할 수 있습니다.
    헤더 키-값 쌍
    헤더 데이터에 대한 자세한 내용은 해당 SIEM 공급자의 설명서를 참조하십시오.
    주:
    다음 HTTP 헤더는 SIEM 솔루션으로 전달되는 모든 감사 이벤트의 일부로 전송됩니다. 따라서 임의의 감사 이벤트와 관련된 키-값 쌍의 일부로 포함해서는 안 됩니다.
    • Content-Type: application/json
    • Accept: application/json