Sumo Logic

Keeper SIEMのプッシュをSumo Logicに統合

概要

KeeperではSumo Logicへのイベントストリーミングがサポートされています。外部ロギングはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。以下はセットアップの手順となります。

Sumo Logicの統合には、1つの同期URLが必要となります。

HTTPログとメトリクスのソースを設定する

HTTP Logs and Metrics Source を構成する手順は次のとおりです。

  1. Sumo Logicで、[Manage Data] > [Collection] > [Collection]を選択します。

  2. [Collectors]ページで、[Hosted Collector]の横にある[Add Source]をクリックします。

  3. [HTTP Logs & Metrics]を選択します。

  4. Sumo WebアプリケーションでSourceに表示する名前を入力します。任意でDescriptionを入力します。

  5. (オプション) [Source Host][Source Category]には、ソースから収集された出力にタグ付けするための任意の文字列を入力します (カテゴリメタデータは、「_sourceCategory」という検索可能なフィールドに保存されます)。

  6. Cloud SIEM Enterprise (CSE) が有効な場合に[SIEM Processing]のオプションが存在します。ソースが収集したログをCSEに送信するには、チェックボックスをクリックします。

  7. [+ Add Field]のリンクをクリックし、関連付けたいフィールドを定義します。

    • フィールドがFieldsテーブルスキーマに存在する場合は、 (チェックマーク付きの緑の円) が表示されます。

    • フィールドがFieldsテーブルスキーマに存在しない場合は、 (感嘆符の付いたオレンジ色の三角形) が表示されます。この場合、存在しないフィールドをFieldsテーブルスキーマに自動的に追加するオプションが選択できます。Fieldsスキーマに存在しないフィールドがSumoに送信された場合はドロップと呼ばれ、無視されます。

  8. ソースに関連するURLが表示されると、そのURLをコピーして、データのアップロードに使用できるようにします。

  9. ソースの構成が完了した後、[Save]をクリックします。

  10. Processing Ruleについては、Create a Processing Ruleページでの記載通り、allowlist、denylist、hash、maskなど、必要なフィルタを設定します。Processing Ruleは、ログデータに適用されますが、メトリックデータには適用されません。

KeeperでのSIEMセットアップで使用するHTTPソースアドレス

Last updated