SIEM(보안 정보 및 이벤트 관리) 서버에 캠페인 및 감지에 대한 이벤트 로그를 보내도록 NSX Network Detection and Response를 구성합니다.
프로시저
- 위협 감지 및 응답 > 설정으로 이동한 다음, SIEM 구성 탭을 클릭합니다.
- 구성 추가를 클릭합니다.
- SIEM 설정을 구성합니다.
설정 설명 이름 SIEM 구성의 고유한 이름을 입력합니다. 끝점 유형 이벤트 로그를 보낼 NSX Network Detection and Response의 끝점을 선택합니다. - Splunk: 끝점은 Splunk 서버(온-프레미스 또는 클라우드 호스팅)입니다.
- VMware Aria Operations for Logs: 끝점은 VMware Aria Operations for Logs 서버입니다.
자세한 내용은 VMware Aria Operations for Logs 설명서를 참조하십시오.
- 기본값: 사용자 지정 헤더를 사용하여 사용자 지정 끝점을 구성합니다.
끝점 URL JSON 문서 형식의 로그를 수신하는 SIEM의 URL을 입력합니다.
자세한 내용은 Splunk Cloud에 대한 끝점 URL 설명서(https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform)를 참조하십시오.
Splunk Enterprise에 대한 끝점 URL 설명서(https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise)를 참조하십시오.
활성화 상태 이 토글을 사용하여 SIEM 통합을 활성화하거나 비활성화합니다.
이 설정을 비활성화하면 NSX Network Detection and Response이 이벤트 로그 데이터를 SIEM으로 전송하지 않습니다.
SSL 확인 HTTPS를 통해 전송되는 이벤트 로그에 대해 SSL 확인을 활성화하거나 비활성화하려면 이 토글을 사용합니다. SSL 확인을 운영 환경에서 비활성화하지 않는 것이 좋습니다. 이렇게 하면 SIEM 알림이 공격자가 알림을 가로채 수정할 수 있는 메시지 가로채기(man-in-the-middle) 공격과 같은 잠재적 보안 위험에 노출될 수 있기 때문입니다.
헤더 추가 SIEM으로 전송되는 이벤트 로그에 대한 HTTP 머리글을 추가하려면 머리글 추가를 클릭하고 필요한 값을 입력합니다.
- 헤더 이름: 헤더 이름을 입력합니다.
- 헤더 값: HTTP 요청에서 SIEM으로 보낼 문자열을 입력합니다. 예를 들어 Spalank의 토큰 기반 인증에 사용되는 비밀 키가 있습니다.
Splunk의 경우 머리글에 다음과 같은 형식의 HEC(HTTP 이벤트 수집기) 토큰이 포함되어 있는지 확인합니다.
Authorization: Splunk <hec token>
Splunk로 로그를 보내는 방법에 대한 자세한 내용은 Splunk: HTTP 이벤트 수집기에 대한 이벤트 형식 지정을 참조하십시오.
VMware Aria Operations for Logs의 경우 머리글에 다음이 포함되어 있는지 확인합니다.
Content-Type: application/json
다음 형식의 인증 전달자 토큰:
Authorization: Bearer <bearer token>
경고: SIEM 구성을 저장한 후 헤더 값이 숨겨지고 표시할 수 없습니다. 나중에 헤더를 편집하려면 헤더 값을 알아야 합니다. 따라서 해당 정보를 유지하거나 액세스하는 것이 중요합니다.설명 필요한 경우 SIEM 구성에 대한 설명을 추가합니다. - 저장을 클릭합니다.
