Sumo Logic
Keeper SIEMのプッシュをSumo Logicに統合します。
概要
KeeperはSumo Logicデプロイメントへのイベントストリーミングをサポートしています。外部ロギングはリアルタイムであり、新しいイベントはほとんどすぐに表示されます。セットアップの手順は以下の通りです。
Sumo Logicの統合には、1つの同期URLが必要です。
HTTPログとメトリクスのソースを設定する
HTTP Logs and Metrics Source を構成する手順は次のとおりです。
Sumo Logic で、Manage Data> Collection > Collectionを選択します。
Collectorsページで、[Hosted** **Collector] の横にある Add Sourceをクリックします。
HTTP Logs & Metricsを選択します。
Sumo Web アプリケーションで Source に表示する 名前を入力します。Descriptionは省略可能です。
(オプション)ソースホストとソースカテゴリには、ソースから収集された出力にタグ付けするための任意の文字列を入力します。(カテゴリメタデータは、_sourceCategory という検索可能なフィールドに保存されます)。
SIEM Processing.このオプションは、Cloud SIEM Enterprise (CSE) が有効な場合に存在します。ソースが収集したログをCSEに送信するには、チェックボックスをクリックします。
Fields(フィールド)です。フィールドの追加のリンクをクリックし、関連付けたいフィールドを定義します。
フィールドがFieldsテーブルスキーマに存在する場合は、チェックマーク付きの緑の円が表示されます。
フィールドがFieldsテーブルスキーマに存在しない場合は、感嘆符の付いたオレンジ色の三角形が表示されます。この場合、存在しないフィールドを Fields テーブルスキーマに自動的に追加するオプションが提供されます。Fields スキーマに存在しないフィールドが Sumo に送信された場合、それは無視されます(ドロップと呼ばれます)。
ソースに関連する URL が表示されたら、その URL をコピーして、データのアップロードに使用できるようにします。
ソースの構成が完了したら、[Save]をクリックします。
Processing ルール。Create a Processing Ruleで解説があるように、allowlist、denylist、hash、maskなど、必要なフィルタを設定します。Processing Ruleは、ログデータに適用されますが、メトリックデータには適用されません。
Last updated