Konfigurieren Sie NSX Network Detection and Response, um die Ereignisprotokolle für Aktivitäten und Erkennungen an Ihren SIEM (Security Information and Event Management)-Server zu senden.
Prozedur
- Navigieren Sie zu Threat Detection and Response > Einstellungen und klicken Sie auf die Registerkarte SIEM-Konfiguration.
- Klicken Sie auf Konfiguration hinzufügen.
- Konfigurieren Sie die SIEM-Einstellungen:
Einstellung Beschreibung Name Geben Sie einen eindeutigen Namen für die SIEM-Konfiguration ein. Endpoint-Typ Wählen Sie den Endpoint für NSX Network Detection and Response aus, an den die Ereignisprotokolle gesendet werden sollen: - Splunk: Der Endpoint ist ein Splunk-Server (entweder lokal oder in der Cloud gehostet).
- VMware Aria Operations for Logs: Der Endpoint ist ein VMware Aria Operations for Logs-Server.
Weitere Informationen finden Sie in der Dokumentation VMware Aria Operations for Logs.
- Standard: Konfiguration eines benutzerdefinierten Endpoint mit benutzerdefinierten Headern.
Endpoint-URL Geben Sie die URL ein, über die das SIEM die als JSON-Dokumente formatierten Protokolle empfängt.
Weitere Informationen finden Sie in der Dokumentation zu Endpoint-URLs für Splunk Cloud unter: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform.
In der Dokumentation zur Endpoint-URL für Splunk Enterprise: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise.
Aktivierungsstatus Verwenden Sie diesen Schalter, um die SIEM-Integration zu aktivieren oder zu deaktivieren.
Wenn Sie diese Einstellungen deaktivieren, kann NSX Network Detection and Response keine Ereignisprotokolldaten mehr an den SIEM senden.
SSL-Verifizierung Verwenden Sie diesen Schalter, um die SSL-Überprüfung für Ereignisprotokolle zu aktivieren oder zu deaktivieren, die über HTTPS gesendet werden. Es empfiehlt sich, die SSL-Verifizierung in einer Produktionsumgebung nicht zu deaktivieren, da dies Ihre SIEM-Benachrichtigungen potenziellen Sicherheitsrisiken aussetzen kann, z. B. Man-in-the-Middle-Angriffen, mit denen Angreifer die Benachrichtigungen abfangen und verändern können.
Header hinzufügen Um einen HTTP-Header für die Ereignisprotokolle hinzuzufügen, die an den SIEM gesendet werden, klicken Sie auf Header und geben Sie die erforderlichen Werte ein:
- Header-Name: Geben Sie den Header-Namen ein.
- Header-Wert: Geben Sie die Zeichenfolge ein, die in der HTTP-Anforderung an den SIEM gesendet werden soll. Ein Beispiel ist der geheime Schlüssel für die tokenbasierte Authentifizierung von Sptunk.
Stellen Sie für Splunk sicher, dass die Kopfzeile das HEC (HTTP Event Collector)-Token im folgenden Format enthält:
Authorization: Splunk <hec token>
Weitere Informationen zum Senden von Protokollen an Splunk finden Sie unter Splunk: Formatieren von Ereignissen für HTTP-Ereignis-Collector.
Stellen Sie für VMware Aria Operations for Logs sicher, dass die Kopfzeile Folgendes enthält:
Content-Type: application/json
Das Authentifizierungs-Bearer-Token in folgendem Format:
Authorization: Bearer <bearer token>
Vorsicht: Nach dem Speichern der SIEM-Konfiguration wird der Header-Wert ausgeblendet und kann nicht angezeigt werden. Für zukünftige Bearbeitungen der Kopfzeile müssen Sie den Header-Wert kennen. Daher ist es wichtig, dass Sie diese Informationen aufbewahren oder darauf zugreifen können.Beschreibung Fügen Sie optional eine Beschreibung für die SIEM-Konfiguration hinzu. - Klicken Sie auf Speichern.
