Adicionando Sumo Logic como um endpoint de registro SIEM

Para configurar o servidor para onde os logs de auditoria serão enviados, adicione a Sumo Logic como um endpoint de log SIEM.

Pré-requisitos

Nota:

Para realizar a tarefa, você deve ter uma conta de administrador da Control Room com os direitos e permissões necessários.

Procedimento

Entre em Administração > Configurações > Configuração de integração SIEM.
Clique no ícone Editar. ()
Selecione Habilitado e cole o Endpoint do servidor SIEM que você copiou de Adicionando Sumo Logic como um endpoint de registro SIEM.

Nota: Consulte a documentação de seu provedor SIEM para obter as informações sobre os cabeçalhos HTTP e as exigências relativas aos atributos JSON (corpo da solicitação).
Selecione o método HTTP POST, pois a Sumo Logic aceita as entradas como um método POST.

Nota: O certificado da ferramenta SIEM é opcional e depende do fornecedor da SIEM. Alguns provedores SIEM exigem que você insira um certificado de ferramenta SIEM válido.
Digite um nome para o Atributo do evento (por exemplo, auditoria). Todas as mensagens de registro serão registradas sob esta categoria e funcionarão como chave para localizar todos os registros de eventos.

Nota: O atributo timestamp é um campo opcional e depende do mapeamento do provedor SIEM para este campo. Por exemplo, o Splunk exige que o valor seja time e mapeado para um de seus campos de timestamp. O comprimento máximo permitido é de 256 caracteres. Todos os caracteres especiais são permitidos, exceto a contrabarra (\) e as aspas duplas ("). Estes dois caracteres precisam ter escape.
Clique no + para inserir alguns pares de valores-chave para o corpo (atributos estáticos) que serão enviados junto com os logs. Os pares de valores-chave também aceitam caracteres especiais como entradas. Você poderá configurar no máximo 50 atributos.
Clique no + para inserir alguns pares de valores chave para o cabeçalho que serão enviados junto com os logs de dados de eventos. Estes dados de cabeçalho são específicos para o provedor SIEM. Por exemplo, com a Sumo Logic, ele suporta o nomes de cabeçalho começando com a letra X (por exemplo, X-Sumo-Fields). Você poderá configurar no máximo 50 cabeçalhos.

Para mais informações sobre os dados do cabeçalho, consulte a documentação do provedor SIEM correspondente.

Automation 360

Adicionando Sumo Logic como um endpoint de registro SIEM