配置 NSX Network Detection and Response,以将攻击活动和检测的事件日志发送到 SIEM(安全信息和事件管理)服务器。
过程
- 导航到威胁检测和响应 > 设置,然后单击 SIEM 配置选项卡。
- 单击添加配置。
- 配置 SIEM 设置:
设置 描述 名称 输入 SIEM 配置的唯一名称。 端点类型 选择要将事件日志发送到的 NSX Network Detection and Response 端点: - Splunk:端点是 Splunk 服务器(内部部署或云托管)。
- VMware Aria Operations for Logs:端点是 VMware Aria Operations for Logs 服务器。
有关详细信息,请参见 VMware Aria Operations for Logs 文档。
- 默认:使用自定义标头配置自定义端点。
端点 URL 输入要接收 JSON 文档格式日志的 SIEM 的 URL。
有关更多详细信息,请参见 Splunk Cloud 文档的端点 URL,网址为:https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform。
Splunk Enterprise 文档的端点 URL,网址为:https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise。
激活状态 使用此切换开关可激活或停用 SIEM 集成。
停用此设置可阻止 NSX Network Detection and Response 向 SIEM 发送事件日志数据。
SSL 验证 使用此切换开关可对通过 HTTPS 发送的事件日志激活或停用 SSL 验证。 我们建议不要在生产环境中停用 SSL 验证,因为这可能会给您的 SIEM 通知带来潜在的安全风险,例如中间人攻击,攻击者可以拦截和修改通知。
添加标头 要为发送到 SIEM 的事件日志添加 HTTP 标头,请单击添加标头,然后输入所需的值:
- 标头名称:输入标头名称。
- 标头值:输入要通过 HTTP 请求发送到 SIEM 的字符串。例如,用于 Splunk 基于令牌的身份验证的密钥。
对于 Splunk,请确保标头包含采用以下格式的 HTTP 事件收集器 (HTTP Event Collector, HEC) 令牌:
Authorization: Splunk <hec token>
有关将日志发送到 Splunk 的更多详细信息,请参见 Splunk:为 HTTP 事件收集器设置事件格式。
对于 VMware Aria Operations for Logs,请确保标头包含以下内容:
Content-Type: application/json
采用以下格式的身份验证持有者令牌:
Authorization: Bearer <bearer token>
小心: 保存 SIEM 配置后,标头值处于隐藏状态且无法显示。为了以后能编辑该标头,您需要知道标头值,因此务必要保留此信息或拥有此信息的访问权限。描述 (可选)添加关于 SIEM 配置的描述。 - 单击保存。
