Integracja SIEM

Opcja 'Integracja SIEM' pozwala na przesyłanie danych z ADSelfServicePlus do zewnętrznego produktu SIEM lub do serwera Syslog w czasie rzeczywistym.

Przesyłanie danych ADSelfService Plus do serwera Syslog

Syslog to usługa rejestrowania zdarzeń w systemach unix. Możesz również użyć tego ustawienia do przesyłania do odbiornika UDP lub TCP w swoim SIEM.

Konfigurowanie serwera Syslog:

• Demon Syslog domyślnie działa w udp, port 514.
• Domyślne ustawienia można zmodyfikować w pliku konfiguracyjnym /etc/syslog.conf. Pamiętaj, aby ponownie uruchomić demon Syslog, aby zmiany zaczęły obowiązywać.

Kroki w celu włączenia logowania Syslog w ADSelfServicePlus:

1. Kliknij na kartę 'Admin' → 'Ustawienia produktu' → 'Ustawienia integracji'
2. Kliknij kafel 'Syslog'.
3. Wprowadź nazwę serwera Syslog. Upewnij się, że serwer Syslog jest osiągalny z serwera ADSelfServicePlus.
4. Wprowadź numer portu Syslog i protokół.
5. Wybierz standard Syslog i format danych zgodnie z wymaganiami parsera SIEM.
6. Kliknij 'Zapisz'

Przekazywanie danych ADSelfService Plus do zewnętrznego produktu SIEM: Splunk HTTP

Konfigurowanie Splunk Http Event Collector:

• Kliknij na 'Ustawienia' → 'Źródła danych' → 'Http Event Collector'.
• Kliknij 'Nowy token'. Podaj nazwę tokena (najlepiej ADSelfServicePlus) i pozostaw resztę wartości domyślnych (dostosuj w razie potrzeby).
• Po zapisaniu konfiguracji zostanie wygenerowany token autoryzacyjny. Ten token musi być podany w konfiguracji ADSelfServicePlus.
• W sekcji 'Ustawienia globalne' na stronie 'Http Event Collector', włącz 'Wszystkie tokeny'.
• Możesz również dostosować 'Numer portu HTTP' i ustawienia 'SSL' w razie potrzeby w 'Ustawieniach globalnych'.

Kroki w celu włączenia logowania Splunk w ADSelfServicePlus:

1. Kliknij na kartę 'Admin' → 'Ustawienia produktu' → 'Ustawienia integracji'
2. Kliknij kafel 'Splunk'.
3. Wprowadź nazwę serwera Splunk. Upewnij się, że serwer Splunk jest osiągalny z serwera ADSelfServicePlus.
4. Wprowadź numer portu Http Event Collector Splunk i protokół.
5. Określ token Http Event Collector wygenerowany w Splunk dla ADSelfServicePlus.
6. Kliknij 'Zapisz.'

Aby wyszukać dane ADSelfServicePlus w swoim produkcie SIEM

Wszystkie przekazane zdarzenia ADSelfService Plus mogą być wyszukiwane, grupowane w raporty i klasyfikowane w razie potrzeby w Twoim produkcie SIEM.

• Zdarzenia z ADSelfServicePlus można łatwo oddzielić za pomocą pola 'SOURCE'.
• Każde zdarzenie logu będzie miało pole 'Kategoria'. Możliwe wartości dla tego pola są zdefiniowane w menu 'Wybierz kategorie do przekazania' na stronie konfiguracji.
• Znacznik czasu każdego zdarzenia będzie dostępny w polu 'TIME_GENERATED'.
• Inne pola dotyczące zdarzeń mogą się różnić w zależności od kategorii zdarzenia. Dlatego można utrzymać jeden regex dla każdej z wymaganych kategorii w swoim produkcie SIEM.