SIEM連携

AD360は、コンポーネントをSIEMソリューションと連携できるため、コンポーネントによって生成されたログをsyslog形式でSIEMソリューションに転送し、さらに分析することができます。転送後、SIEMソリューションを使用し、AD360コンポーネントからのログをネットワーク内の他のログとの関連付け、重大なセキュリティインシデントのレポートとアラートを処理、分析、生成することができます。

現在、AD360に連携できるのはADSelfService Plusのみです。他のコンポーネントの一元化されたSIEM連携オプションは現在対応中です。

連携手順

  1. AD360に管理者としてログインします。
  2. [管理]タブ-->[管理]-->[SIEM連携]をクリックします。
  3. コンポーネントのSIEM連携の詳細が含まれているテーブルが表示されます。
  4. コンポーネントをログ転送用のSIEMツールと連携するには、それぞれの[今すぐ構成]リンクまたは編集アイコンをクリックします。
  5. ドロップダウンから[サーバーの種類]を選択します。次のSIEMツールから選択できます。
  6. 選択したサーバーの種類に応じて、手順が異なる場合があります。

Syslogサーバーとの連携

  1. Syslogサーバー名またはIPアドレスを入力します。
  2. ポート番号を入力します。
  3. ドロップダウンからプロトコルを選択します。
  4. [Syslog Standard]ドロップダウンから、ログをsyslogサーバーに転送する形式を選択します。
  5. 必要に応じて、[詳細]をクリックして、ログの重大度、機能、および日付形式を構成します。
  6. [構成]をクリックします。

Splunkとの連携

  1. Splunk EnterpriseのHTTPイベントコレクタートークンを収集します。
    1. 管理者としてSplunkにログインします。
    2. [設定]-->[データ入力]-->[HTTPイベントコレクター]に移動します。
    3. [新しいトークン]をクリックします。
    4. トークンの名前を指定し、他のフィールドのデフォルト値を保持します。
    5. [保存]をクリックして、認証トークンを生成します。
  2. AD360の[AD360統合]ページに戻り、Splunkサーバーのサーバー名またはIPアドレスを入力します。
  3. HTTPイベントコレクターのポート番号を入力します。
  4. ドロップダウンから、SIEMツールでSSLを有効にするか無効にするかを選択します。
  5. 手順1.で生成した認証トークンを入力します。
  6. [構成]をクリックします。
       概要