Adicionando Sumo Logic como um endpoint de registro SIEM

Para configurar o servidor para onde os logs de auditoria serão enviados, adicione a Sumo Logic como um endpoint de log SIEM.

Pré-requisitos

Nota:

Para realizar a tarefa, você deve ter uma conta de administrador da Control Room com os direitos e permissões necessários.

Procedimento

  1. Entre em Administração > Configurações > Configuração de integração SIEM.
    Acessar Configuração de integração da SIEM
  2. Clique no ícone Editar. (edit-icon)
  3. Selecione Habilitado e cole o Endpoint do servidor SIEM que você copiou de Adicionando Sumo Logic como um endpoint de registro SIEM.
    Habilitar Endpoint do Servidor SIEM
    Nota: Consulte a documentação de seu provedor SIEM para obter as informações sobre os cabeçalhos HTTP e as exigências relativas aos atributos JSON (corpo da solicitação).
  4. Selecione o método HTTP POST, pois a Sumo Logic aceita as entradas como um método POST.
    Nota: O certificado da ferramenta SIEM é opcional e depende do fornecedor da SIEM. Alguns provedores SIEM exigem que você insira um certificado de ferramenta SIEM válido.
  5. Digite um nome para o Atributo do evento (por exemplo, auditoria). Todas as mensagens de registro serão registradas sob esta categoria e funcionarão como chave para localizar todos os registros de eventos.
    Nota: O atributo timestamp é um campo opcional e depende do mapeamento do provedor SIEM para este campo. Por exemplo, o Splunk exige que o valor seja time e mapeado para um de seus campos de timestamp. O comprimento máximo permitido é de 256 caracteres. Todos os caracteres especiais são permitidos, exceto a contrabarra (\) e as aspas duplas ("). Estes dois caracteres precisam ter escape.
  6. Clique no + para inserir alguns pares de valores-chave para o corpo (atributos estáticos) que serão enviados junto com os logs. Os pares de valores-chave também aceitam caracteres especiais como entradas. Você poderá configurar no máximo 50 atributos.
    Pares de valores chave SIEM
  7. Clique no + para inserir alguns pares de valores chave para o cabeçalho que serão enviados junto com os logs de dados de eventos. Estes dados de cabeçalho são específicos para o provedor SIEM. Por exemplo, com a Sumo Logic, ele suporta o nomes de cabeçalho começando com a letra X (por exemplo, X-Sumo-Fields). Você poderá configurar no máximo 50 cabeçalhos.
    Pares de valores chave do cabeçalho SIEM
    Para mais informações sobre os dados do cabeçalho, consulte a documentação do provedor SIEM correspondente.