SIEM連携

AD360は、コンポーネントをSIEMソリューションと連携できるため、コンポーネントによって生成されたログをsyslog形式でSIEMソリューションに転送し、さらに分析することができます。転送後、SIEMソリューションを使用し、AD360コンポーネントからのログをネットワーク内の他のログとの関連付け、重大なセキュリティインシデントのレポートとアラートを処理、分析、生成することができます。

※現在、AD360に連携できるのはADSelfService Plusのみです。他のコンポーネントの一元化されたSIEM連携オプションは現在対応中です。

連携手順

1. AD360に管理者としてログインします。
2. [管理]タブ-->[管理]-->[SIEM連携]をクリックします。
3. コンポーネントのSIEM連携の詳細が含まれているテーブルが表示されます。
4. コンポーネントをログ転送用のSIEMツールと連携するには、それぞれの[今すぐ構成]リンクまたは編集アイコンをクリックします。

5. ドロップダウンから[サーバーの種類]を選択します。次のSIEMツールから選択できます。
• Syslog
• Splunk

選択したサーバーの種類に応じて、手順が異なる場合があります。

Syslogサーバーとの連携

1. Syslogサーバー名またはIPアドレスを入力します。
2. ポート番号を入力します。
3. ドロップダウンからプロトコルを選択します。
4. [Syslog Standard]ドロップダウンから、ログをsyslogサーバーに転送する形式を選択します。
5. 必要に応じて、[詳細]をクリックして、ログの重大度、機能、および日付形式を構成します。

6. [構成]をクリックします。

Splunkとの連携

1. Splunk EnterpriseのHTTPイベントコレクタートークンを収集します。
1. 管理者としてSplunkにログインします。
2. [設定]-->[データ入力]-->[HTTPイベントコレクター]に移動します。
3. [新しいトークン]をクリックします。
4. トークンの名前を指定し、他のフィールドのデフォルト値を保持します。
5. [保存]をクリックして、認証トークンを生成します。
2. AD360の[AD360統合]ページに戻り、Splunkサーバーのサーバー名またはIPアドレスを入力します。
3. HTTPイベントコレクターのポート番号を入力します。
4. ドロップダウンから、SIEMツールでSSLを有効にするか無効にするかを選択します。
5. 手順1.で生成した認証トークンを入力します。

6. [構成]をクリックします。