キャンペーンおよび検出のイベント ログを SIEM(セキュリティ情報とイベント管理)サーバに送信するように NSX Network Detection and Response を構成します。
手順
- [脅威の検出と対応] > [設定] の順に移動し、[SIEM 構成] タブをクリックします。
- [構成の追加] をクリックします。
- SIEM を構成します。
設定 説明 [名前] SIEM 構成の一意の名前を入力します。 [エンドポイント タイプ] イベント ログの送信先となる NSX Network Detection and Response のエンドポイントを選択します。 - [Splunk]:エンドポイントは Splunk サーバ(オンプレミスまたはクラウド ホスト型)です。
- [VMware Aria Operations for Logs]:エンドポイントは VMware Aria Operations for Logs サーバです。
詳細については、VMware Aria Operations for Logs のドキュメントを参照してください。
- [デフォルト]:カスタム ヘッダーを使用してカスタム エンドポイントを構成します。
[エンドポイント URL] JSON ドキュメント形式のログを受信する SIEM の URL を入力します。
詳細については、Splunk Cloud ドキュメントのエンドポイント URL (https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform) を参照してください。
Splunk Enterprise ドキュメントのエンドポイント URL:https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise
[アクティベーションの状態] SIEM 統合を有効または無効にするには、このトグルを使用します。
この設定を無効にすると、NSX Network Detection and Response が SIEM にイベント ログ データを送信できなくなります。
[SSL 検証] このトグルを使用して、HTTPS 経由で送信されるイベント ログの SSL 検証を有効または無効にします。 SIEM 通知が中間者攻撃などの潜在的なセキュリティ リスクにさらされ、攻撃者が通知を傍受および変更する可能性があるため、本番環境では SSL 検証を無効にしないことをお勧めします。
[ヘッダーの追加] SIEM に送信されるイベント ログの HTTP ヘッダーを追加するには、[ヘッダーの追加] をクリックし、必要な値を入力します。
- [ヘッダー名]:ヘッダー名を入力します。
- [ヘッダーの値]:HTTP 要求で SIEM に送信する文字列を入力します。たとえば、Splunk のトークンベースの認証に使用されるプライベート キーです。
Splunk の場合は、ヘッダーに HTTP Event Collector (HEC) トークンが次の形式で含まれていることを確認します。
Authorization: Splunk <hec token>
Splunk へのログの送信の詳細については、「Splunk: Format events for HTTP Event Collector」を参照してください。
VMware Aria Operations for Logs の場合は、ヘッダーに次が含まれていることを確認します。
Content-Type: application/json
次の形式の認証ベアラー トークン:
Authorization: Bearer <bearer token>
注意: SIEM 構成を保存すると、ヘッダーの値が非表示になり、表示できません。ヘッダーを将来編集する場合のために、ヘッダーの値を把握しておく必要があります。したがって、その情報を保持するか、その情報にアクセスできるようにすることが重要です。[説明] 必要に応じて、SIEM 構成の説明を追加します。 - [保存] をクリックします。
