Configurare NSX Network Detection and Response per inviare i registri eventi per le campagne e i rilevamenti al server SIEM (Security Information & Event Management).
Procedura
- Passare a Rilevamento delle minacce e risposta > Impostazioni e quindi fare clic sulla scheda Configurazione SIEM.
- Fare clic su Aggiungi configurazione.
- Configurare le impostazioni di SIEM:
Impostazione Descrizione Nome Immettere un nome univoco per la configurazione di SIEM. Tipo di endpoint Scegliere l'endpoint di NSX Network Detection and Response a cui inviare i registri eventi: - Splunk: l'endpoint è un server Splunk (in locale o ospitato nel cloud).
- VMware Aria Operations for Logs: l'endpoint è un server VMware Aria Operations for Logs.
Per informazioni dettagliate, vedere la documentazione VMware Aria Operations for Logs.
- Predefinito: configurare un endpoint personalizzato con intestazioni personalizzate.
URL dell'endpoint Immettere l'URL del SIEM in cui riceve i registri formattato come documenti JSON.
Per ulteriori dettagli, vedere la documentazione relativa agli URL dell'endpoint per Splunk Cloud all'indirizzo: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform.
La documentazione relativa all'URL dell'endpoint per Splunk Enterprise all'indirizzo: https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise.
Stato di attivazione Utilizzare questo interruttore per attivare o disattivare l'integrazione SIEM.
Se si disattiva questa impostazione, NSX Network Detection and Response smette di inviare i dati del registro eventi a SIEM.
Verifica SSL Utilizzare questo interruttore per attivare o disattivare la verifica SSL per i registri eventi inviati tramite HTTPS. È consigliabile non disattivare la verifica SSL in un ambiente di produzione, poiché ciò può esporre le notifiche SIEM a potenziali rischi per la sicurezza, ad esempio attacchi man-in-the-middle, in cui gli utenti malintenzionati possono intercettare e modificare le notifiche.
Aggiungi intestazione Per aggiungere un'intestazione HTTP per i registri eventi inviati a SIEM, fare clic su Aggiungi intestazione e immettere i valori necessari:
- Nome intestazione: immettere il nome dell'intestazione.
- Valore intestazione: immettere la stringa da inviare nella richiesta HTTP a SIEM. Un esempio è la chiave segreta utilizzata per l'autenticazione basata su token di Splunk.
Per Splunk, assicurarsi che l'intestazione contenga il token HTTP Event Collector (HEC) nel formato:
Authorization: Splunk <hec token>
Per ulteriori dettagli sull'invio di registri a Splunk, vedere Splunk: Format events for HTTP Event Collector.
Per VMware Aria Operations for Logs, assicurarsi che l'intestazione contenga quanto segue:
Content-Type: application/json
Token bearer di autenticazione nel formato:
Authorization: Bearer <bearer token>
Attenzione: Dopo aver salvato la configurazione di SIEM, il valore dell'intestazione viene nascosto e non può essere visualizzato. Per le modifiche future all'intestazione, è necessario conoscere il valore dell'intestazione. Pertanto, è importante conservare o avere accesso a tali informazioni.Descrizione Facoltativamente, aggiungere una descrizione per la configurazione di SIEM. - Fare clic su Salva.
