Configurez NSX Network Detection and Response pour envoyer les journaux d'événements pour les campagnes et les détections à votre serveur SIEM (Security Information & Event Management).
Procédure
- Accédez à Détection des menaces et Réponse > Paramètres, puis cliquez sur l'onglet Configuration SIEM.
- Cliquez sur Ajouter une configuration.
- Configurez les paramètres SIEM :
Paramètre Description Nom Entrez un nom unique pour la configuration SIEM. Type de point de terminaison Choisissez le point de terminaison pour NSX Network Detection and Response auquel envoyer les journaux d'événements : - Splunk : le point de terminaison est un serveur Splunk (sur site ou hébergé dans le cloud).
- VMware Aria Operations for Logs : le point de terminaison est un serveur VMware Aria Operations for Logs.
Pour plus d'informations, reportez-vous à la documentation de VMware Aria Operations for Logs.
- Par défaut : configurez un point de terminaison personnalisé avec des en-têtes personnalisés.
URL du point de terminaison Entrez l'URL du SIEM où les journaux au format de document JSON sont reçus.
Pour plus d'informations, reportez-vous à l'URL ou aux URL de point de terminaison de la documentation Splunk Cloud : https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform.
URL du point de terminaison de la documentation Splunk Enterprise : https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise.
État d'activation Utilisez cette option pour activer ou désactiver l'intégration à un SIEM.
Lorsque vous désactivez ce paramètre, NSX Network Detection and Response n'envoie plus les données des journaux d'événements au SIEM.
Vérification SSL Utilisez cette option pour activer ou désactiver la vérification SSL pour les journaux d'événements envoyés via HTTPS. Nous vous recommandons de ne pas désactiver la vérification SSL dans un environnement de production, car cela peut exposer vos notifications SIEM à des risques en matière de sécurité, notamment des attaques de l'intercepteur au cours desquelles des attaquants peuvent intercepter et modifier les notifications.
Ajouter un en-tête Pour ajouter un en-tête HTTP pour les journaux d'événements envoyés au SIEM, cliquez sur Ajouter un en-tête et entrez les valeurs nécessaires :
- Nom d'en-tête : entrez le nom de l'en-tête.
- Valeur de l'en-tête : entrez la chaîne à envoyer dans la demande HTTP au SIEM. Un exemple est la clé secrète utilisée pour l'authentification par jeton de Splunk.
Pour Splunk, assurez-vous que l'en-tête contient le jeton HEC (HTTP Event Collector) au format suivant :
Authorization: Splunk <hec token>
Pour plus d'informations sur l'envoi de journaux à Splunk, reportez-vous à Splunk : formater les événements pour le collecteur d'événements HTTP.
Pour VMware Aria Operations for Logs, assurez-vous que l'en-tête contient les éléments suivants :
Content-Type: application/json
Jeton du porteur d'authentification au format :
Authorization: Bearer <bearer token>
Attention : Après l'enregistrement de la configuration SIEM, la valeur de l'en-tête est masquée et ne peut pas être révélée. Pour toute modification future de l'en-tête, vous devrez connaître la valeur de l'en-tête. Il est donc important de conserver ces informations ou d'y avoir accès.Description Vous pouvez éventuellement ajouter une description pour la configuration SIEM. - Cliquez sur Enregistrer.