汎用Syslogコネクタを設定して、SyslogサーバとXDRデータを共有します。
Syslogコネクタは汎用SIEMコネクタです。これを使用すると、SaaSまたはクラウドベースのSyslogサーバにXDRデータを送信できます。コネクタは、複数のSyslogサーバ接続をサポートします。
syslog CEFマッピングについては、Syslogコンテンツのマッピング - CEFを参照してください。
カテゴリ
|
ベンダー
|
関連付けられているアプリ
|
SIEM
|
該当なし
|
|
手順
- クリックSyslogコネクタ (SaaS/クラウド) 。
- [Syslogコネクタ (SaaS/クラウド)] 画面で、 [Syslogコネクタ (SaaS/クラウド)] を有効にします。
- Syslogサーバに送信するデータを選択します。
-
Workbenchアラート
-
[Observed Attack Techniques]このデータタイプを選択すると、次のイベントの重大度レベルのうち1つ以上を選択できます:
-
[重大]
-
[高]
-
[中]
-
-
[Audit logs]このデータタイプを選択すると、次のログタイプの1つまたは複数を選択できます:
-
[アカウント]
-
[システム]
-
注意
少なくとも1つのデータ型を選択する必要があります。 -
- [Syslogサーバの接続]をクリックします。
- [Syslogサーバ接続] パネルで、次の設定を行います。設定説明サーバアドレスSyslogサーバのIPアドレスまたはFQDNを指定します。Syslog形式syslog形式を選択します。
注意
Syslogコネクタ (SaaS/クラウド) は現在、Common Event Format (CEF) のみをサポートしています。プロトコル接続プロトコルを選択します。ポートポートを指定します。初期設定のポート設定:-
SSL/TLS: 6514
-
TCP: 601
-
- (オプション) Syslogサーバへの接続時に使用するCA証明書をアップロードするには、 [CA証明書を使用] を選択します。
- (オプション) Syslogサーバで認証済み接続が必要な場合は、 [サーバでクライアント認証を要求] を選択してクライアント証明書をアップロードします。
- [テスト接続] をクリックして接続テストを実行し、設定を確認します。
- 接続設定をテストして保存するには、 [接続] をクリックします。
- [Syslogコネクタ (SaaS/クラウド)] 画面で、 [保存]をクリックします。