SIEM送信先の構成

Connectは、HP ArcSight、LogRhythm、McAfee SIEM、Splunkなどのセキュリティ情報およびイベント管理(SIEM)製品およびサービスに情報を送信できます。

また、ソケットを設定してデータを受信し、Taniumソケットレシーバの送信先を設定することもできます。送信先の設定オプションは、SIEM送信先と同じです。

一般的な接続情報を指定する

  1. Connectのホームページで、[Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。
  2. 接続の名前と説明を入力します。
  3. スケジュールに従って実行するように接続を有効にします。
    [Enable (有効化)]を選択します。残りの接続を設定するときにスケジュールを設定できます。スケジュールが有効になっていない場合は、手動で実行するときにのみ接続が実行されます。
  4. (オプション)ロギングレベルを設定します。
    デフォルトでは、ログは[Information (情報)]に設定されています。ログレベルを[Trace (トレース)]、または接続をデバッグしている場合は[Debug (デバッグ)]に設定します。ロギングの量を減らすために、ログレベルを[Warning (警告)][Error (エラー)]、または[Fatal (致命的)]に設定できます。

接続元を構成する

接続元は、送信先に送信するデータを決定します。このデータは通常、保存されたQuestion、Questionログ、システムステータス、イベントなどのTaniumの情報です。設定は、選択した接続元によって異なります。

SIEM送信先を構成する

SIEMデータを送信する先のサーバに関する詳細を指定します。

  1. [Destination (送信先)]では、設定するSIEMのタイプを選択します。
  2. SIEMに関する情報を指定してください。
    [Send to SIEM (SIEMに送信)]セクションで、サーバ(TCP/UDP)との接続方法と、データの送信先(たとえば、SIEMホストやポート)を指定します。
  3. 接続がTLS/SSLの暗号化を使用する場合、[Advanced Settings (高度な設定)]を展開して、[Require TLS (TLSが必須)]を選択します。TLSが有効な場合、自己署名付き証明書も使用できます。

フィルタを構成する

(オプション)フィルタを使用して、送信先に送信される前に接続元から取得しているデータを変更できます。

設定可能なフィルタの種類の詳細については、参照: フィルタオプションを参照してください。

データをフォーマットする

  1. SIEM送信先を選択すると、そのSIEMによって通常期待されるデータ形式が自動的に選択されます。たとえば、Splunkを選択した場合、syslog形式がすでに選択されています。ただし、必要に応じて形式をカスタマイズできます。
  2. SIEM送信先に渡す列を選択してください。
    各列の[Destination (送信先)]名と[Value Type (値のタイプ)]を変更して、列を文字列、数値、または日付/時刻の値にすることができます。値として[Numeric (数値)]を選択した場合、データを数値に強制変換できない場合に使用されるデフォルト値を指定できます。 任意の負の数または正の数を指定できます。値として[DateTime (日付/時刻)]を選択した場合は、その列に使用する日付/時刻形式を指定します。

データ形式の詳細については、参照:フォーマットの種類を参照してください。

接続をスケジュールする

接続は、1時間、1日、1週間、または1か月に複数回など、設定可能な時間間隔で実行できます。

スケジュールを更新する: 

  • [Generate Cron (Cronを生成)]タブを使用して、いくつかの共通の時間間隔に基づいてスケジュールを作成します。このタブは、Cron式を生成します。
  • Cron式を直接表示または編集するには、[Edit Cron Expression (Cron式の編集)]タブをクリックします。

接続を保存して検証する

  1. [Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。接続が作成されると、新しい接続が接続ページのリストに表示されます。
  2. 接続の実行時の詳細を表示するには、接続の名前をクリックします。表示される接続の詳細ページで、[Runs (実行)]タブをクリックします。
  3. 個々の実行ログを表示するには、[Runs (実行)]テーブルで[Status (ステータス)]列のリンクをクリックします。

最終更新:2019/06/0418:43| フィードバック

Powered by Translations.com GlobalLink OneLink Software