Integração do OpManager com SIEM
O OpManager se integra a ferramentas SIEM para encaminhar, em tempo real, eventos críticos de rede, auditorias, logs de acesso e alertas para a plataforma SIEM, onde são enviados como syslogs. Essa integração permite que o OpManager funcione como uma solução centralizada que coleta, analisa e correlaciona dados de segurança e eventos para detectar ameaças, dar suporte à resposta a incidentes e manter a confiabilidade da rede.
Configurar a integração OpManager - SIEM
Essa integração permite que o OpManager se integre à ferramenta SIEM para um melhor monitoramento de eventos de segurança. Siga as etapas abaixo para configurar a integração.
- Etapas para integrar o OpManager com o SIEM
- Configurar Perfis de Notificação
- Configurar Modelos de Notificação
Etapas para integrar o OpManager com o SIEM:
- Vá para Settings → General Settings → Integrations → SIEM.
- Clique em Configure.
- Insira o Nome da Aplicação SIEM.
- Informe os detalhes de Host e Porta, incluindo o Hostname/Endereço IP e o Número da Porta.
- Observação: O formato de syslogs RFC-5424 é usado para encaminhar os dados.
- Marque a caixa de seleção Send Access Logs para encaminhar arquivos de log de acesso para o SIEM.
- Selecione os módulos de auditoria desejados para encaminhar seus logs para o SIEM.
- Aceite a política de privacidade do SIEM e clique em Save para concluir a integração com o OpManager.
Observação:
- O protocolo UDP/syslog é usado para encaminhar os logs.
- Certifique-se de que a ferramenta SIEM de terceiros esteja configurada para escutar na porta UDP especificada.
Configurar Perfil de Notificação
Você pode configurar um perfil de notificação para encaminhar alarmes automaticamente para a sua plataforma SIEM, com base em critérios definidos.
Siga as etapas para configurar:
- Vá para Settings -> Notifications -> Notification profiles
- Clique em Add no canto superior direito para adicionar um novo perfil de notificação e selecione SIEM -> SIEM(UDP/Syslog)
- Forneça valores para os parâmetros necessários, como Formato, Severidade, Facility, Descrição e variáveis.
- Se você ativar a opção Structured message, informe as entradas necessárias como pares de chave e valor.
- Você pode usar a opção Test Action para enviar uma mensagem syslog de teste para o host e porta configurados para verificar a configuração.
- Clique em Next para selecionar os critérios, o dispositivo e a janela de tempo de configuração.
- Clique em Save
Configurar Modelos de Notificação
Você pode criar modelos de notificação no OpManager para definir como os alertas são enviados quando alarmes são acionados e usá-los em regras de correlação de alarmes para ser notificado quando ocorrerem padrões específicos de eventos.
- Vá para Settings -> Notifications -> Notification templates
- Clique em Add -> SIEM -> SIEM(UDP/Syslog) para criar um modelo de notificação.
- Insira os parâmetros necessários, incluindo Nome do Modelo, Formato, Severidade, Facility, Descrição e Variáveis relevantes.
- Se você ativar a opção Structured Message, certifique-se de fornecer as entradas necessárias em pares chave-valor.
- Para verificar o modelo, clique em Test Action.
- Clique em Save.