設定 NSX Network Detection and Response,以將活動和偵測的事件記錄傳送到 SIEM (安全性資訊和事件管理) 伺服器。
程序
- 導覽至威脅偵測與回應 > 設定,然後按一下 SIEM 組態索引標籤。
- 按一下新增組態。
- 設定 SIEM 設定:
設定 說明 名稱 輸入 SIEM 組態的唯一名稱。 端點類型 選擇要將事件記錄送往的 NSX Network Detection and Response 端點: - Splunk:端點是 Splunk 伺服器 (內部部署或雲端託管)。
- VMware Aria Operations for Logs:端點是 VMware Aria Operations for Logs 伺服器。
如需詳細資料,請參閱 VMware Aria Operations for Logs 說明文件。
- 預設:使用自訂標頭來設定自訂端點。
端點 URL 輸入要接收 JSON 文件格式記錄的 SIEM 的 URL。
如需更多詳細資料,請參閱 Splunk Cloud 說明文件的端點 URL,網址為:https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform。
Splunk Enterprise 說明文件的端點 URL,網址為:https://docs.splunk.com/Documentation/Splunk/8.2.6/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Enterprise。
啟用狀態 使用此切換按鈕可啟用或停用 SIEM 整合。
停用此設定時,會阻止 NSX Network Detection and Response 傳送事件記錄資料給 SIEM。
SSL 驗證 使用此切換,可對透過 HTTPS 傳送的事件記錄啟用或停用 SSL 驗證。 我們建議不要在生產環境中停用 SSL 驗證,因為這可能會暴露您的 SIEM 通知,而出現潛在的安全性風險,例如中間人攻擊,攻擊者可能攔截及修改通知。
新增標頭 若要為傳送到 SIEM 的事件記錄新增 HTTP 標頭,請按一下新增標頭,然後輸入所需的值:
- 標頭名稱:輸入標頭名稱。
- 標頭值:輸入要透過 HTTP 要求傳送至 SIEM 的字串。例如,用於 Splunk 以 Token 為基礎的驗證的秘密金鑰。
對於 Splunk,請確保標頭包含下列格式的 HTTP 事件收集器 (HEC) Token:
Authorization: Splunk <hec token>
如需更多關於將記錄傳送至 Splunk 的詳細資料,請參閱 Splunk:為 HTTP 事件收集器設定事件格式。
對於 VMware Aria Operations for Logs,請確保標頭包含下列內容:
Content-Type: application/json
採用下列格式的驗證持有者 Token:
Authorization: Bearer <bearer token>
注意: 儲存 SIEM 組態後,標頭值會隱藏起來且無法顯露。為了未來能編輯該標頭,您需要知道標頭值。因此,務必保留此資訊或擁有此資訊的存取權。說明 (選用) 新增 SIEM 組態的說明。 - 按一下儲存。
