Adicionando Sumo Logic como um endpoint de registro SIEM

Para configurar o servidor para onde os logs de auditoria serão enviados, adicione a Sumo Logic como um endpoint de log SIEM.

Pré-requisitos

Nota:

Para realizar a tarefa, você deve ter uma conta de administrador da Control Room com os direitos e permissões necessários.

Procedimento

  1. Navegue até Administração > Configurações > Configuração de integração SIEM.
    Acessar Configuração de integração da SIEM
  2. Clique no ícone Editar. (edit-icon)
  3. Selecione Habilitado e cole o Endpoint do servidor SIEM que você copiou anteriormente de Adicionando Sumo Logic como um endpoint de registro SIEM.
    Endpoint do servidor SIEM
    Nota: Consulte a documentação de seu provedor SIEM para obter as informações sobre os cabeçalhos HTTP e as exigências relativas aos atributos JSON (corpo da solicitação).
  4. Selecione o método HTTP POST, pois a Sumo Logic aceita as entradas como um método POST.
    Nota: O certificado da ferramenta SIEM é opcional e depende do fornecedor da SIEM. Alguns provedores SIEM exigem que você insira um certificado de ferramenta SIEM válido.
  5. Digite um nome para o Atributo do evento (por exemplo, auditoria ou mensagem). Este valor serve como uma chave para encontrar os eventos de auditoria enviados para a sua solução SIEM. Todos os eventos de auditoria serão gravados sob esta categoria.
    Nota: O atributo timestamp é um campo opcional e depende do mapeamento do provedor SIEM para este campo. Por exemplo, o Splunk exige que o valor seja time e mapeado para um de seus campos de timestamp. O comprimento máximo permitido é de 256 caracteres. Todos os caracteres especiais são permitidos, exceto a contrabarra (\) e as aspas duplas ("). Estes dois caracteres precisam ter escape.
  6. Clique no + para inserir alguns pares de valores-chave para o corpo (atributos estáticos) que serão enviados junto com os logs. Os pares de valores-chave também aceitam caracteres especiais como entradas. Você poderá configurar no máximo 50 atributos.
    Pares de chave-valor SIEM
  7. Clique no sinal de mais (+) para inserir um par chave-valor enviado como um cabeçalho HTTP com cada evento de auditoria usando o campo de pares chave-valor para cabeçalho. Estes dados de cabeçalho são específicos para o provedor SIEM. Por exemplo, com a Sumo Logic, ele suporta o nomes de cabeçalho começando com a letra X (por exemplo, X-Sumo-Fields). Você poderá configurar no máximo 50 cabeçalhos.
    Pares de chave-valor do cabeçalho
    Para mais informações sobre os dados do cabeçalho, consulte a documentação do provedor SIEM correspondente.
    Nota:
    Os seguintes cabeçalhos HTTP são enviados como parte de todos os eventos de auditoria que são encaminhados para a sua solução de SIEM. Portanto, não os inclua como parte dos pares de chave-valor associados a eventos de auditoria:
    • Content-Type: application/json
    • Accept: application/json