Configure NSX Network Detection and Response para enviar los registros de eventos de campañas y detecciones a su servidor SIEM (Administración de eventos e información de seguridad).
Procedimiento
- Desplácese hasta Detección y respuesta a amenazas > Configuración y, a continuación, haga clic en la pestaña Configuración de SIEM.
- Haga clic en Agregar configuración.
- Configure las opciones de SIEM:
Opción Descripción Nombre Introduzca un nombre único para la configuración de SIEM. Tipo de endpoint Elija el endpoint al que NSX Network Detection and Response enviará los registros de eventos: - Splunk: el endpoint es un servidor de Splunk (local o alojado en la nube).
- VMware Aria Operations for Logs: el endpoint es un servidor de VMware Aria Operations for Logs.
Para obtener información detallada, consulte la documentación de VMware Aria Operations for Logs.
- Por defecto: configure un endpoint personalizado con encabezados personalizados.
URL de endpoint Introduzca la URL del SIEM donde recibe los registros formateados como documentos JSON.
Para obtener más información, consulte la URL de endpoint correspondientes a la documentación de Splunk Cloud en: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform.
Y la URL de endpoint correspondiente a la documentación de Splunk Enterprise en: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise.
Estado de activación Utilice esta opción para activar o desactivar la integración de SIEM.
Si desactiva este ajuste, impedirá que NSX Network Detection and Response envíe datos de registro de eventos a SIEM.
Verificación SSL Utilice esta opción para activar o desactivar la verificación SSL para los registros de eventos que se envían a través de HTTPS. Le recomendamos que no desactive la verificación SSL en un entorno de producción, ya que esto puede exponer las notificaciones de SIEM a posibles riesgos de seguridad, como ataques de tipo "man in the middle" (ataques de intermediario), en los que los atacantes pueden interceptar y modificar las notificaciones.
Agregar encabezado Para agregar un encabezado HTTP para los registros de eventos que se envían a SIEM, haga clic en Agregar encabezado e introduzca los valores necesarios:
- Nombre de encabezado: introduzca el nombre del encabezado.
- Valor de encabezado: introduzca la cadena que se enviará en la solicitud HTTP al SIEM. Un ejemplo es la clave secreta que se utiliza para la autenticación basada en tokens de Splunk.
Para Splunk, asegúrese de que el encabezado contenga el token de recopilación de eventos HTTP (HEC) en el formato:
Authorization: Splunk <hec token>
Para obtener más información sobre el envío de registros a Splunk, consulte Splunk: formatear eventos para el recopilador de eventos HTTP.
Para VMware Aria Operations for Logs, asegúrese de que el encabezado contenga lo siguiente:
Content-Type: application/json
El token de portador de autenticación con el formato:
Authorization: Bearer <bearer token>
Precaución: Después de guardar la configuración de SIEM, el valor del encabezado se oculta y no se puede ver. Para ediciones posteriores del encabezado, deberá conocer el valor del encabezado. Por tanto, es importante que conserve o tenga acceso a esta información.Descripción Opcionalmente, agregue una descripción para la configuración de SIEM. - Haga clic en Guardar.
