SIEM連携
AD360は、コンポーネントをSIEMソリューションと連携できるため、コンポーネントによって生成されたログをsyslog形式でSIEMソリューションに転送し、さらに分析することができます。転送後、SIEMソリューションを使用し、AD360コンポーネントからのログをネットワーク内の他のログとの関連付け、重大なセキュリティインシデントのレポートとアラートを処理、分析、生成することができます。
※現在、AD360に連携できるのはADSelfService Plusのみです。他のコンポーネントの一元化されたSIEM連携オプションは現在対応中です。
連携手順
- AD360に管理者としてログインします。
- [管理]タブ-->[管理]-->[SIEM連携]をクリックします。
- コンポーネントのSIEM連携の詳細が含まれているテーブルが表示されます。
- コンポーネントをログ転送用のSIEMツールと連携するには、それぞれの[今すぐ構成]リンクまたは編集アイコン
をクリックします。
- ドロップダウンから[サーバーの種類]を選択します。次のSIEMツールから選択できます。
選択したサーバーの種類に応じて、手順が異なる場合があります。
Syslogサーバーとの連携
- Syslogサーバー名またはIPアドレスを入力します。
- ポート番号を入力します。
- ドロップダウンからプロトコルを選択します。
- [Syslog Standard]ドロップダウンから、ログをsyslogサーバーに転送する形式を選択します。
- 必要に応じて、[詳細]をクリックして、ログの重大度、機能、および日付形式を構成します。
- [構成]をクリックします。
Splunkとの連携
- Splunk EnterpriseのHTTPイベントコレクタートークンを収集します。
- 管理者としてSplunkにログインします。
- [設定]-->[データ入力]-->[HTTPイベントコレクター]に移動します。
- [新しいトークン]をクリックします。
- トークンの名前を指定し、他のフィールドのデフォルト値を保持します。
- [保存]をクリックして、認証トークンを生成します。
- AD360の[AD360統合]ページに戻り、Splunkサーバーのサーバー名またはIPアドレスを入力します。
- HTTPイベントコレクターのポート番号を入力します。
- ドロップダウンから、SIEMツールでSSLを有効にするか無効にするかを選択します。
- 手順1.で生成した認証トークンを入力します。
- [構成]をクリックします。