将 OpManager 与 SIEM 集成
OpManager 可与 SIEM 工具集成,将关键网络事件、审计记录、访问日志和告警实时转发到 SIEM 平台,在那里它们会作为 syslog 进行推送。此集成使 OpManager 能够作为集中式解决方案来收集、分析和关联安全与事件数据,从而检测威胁、支持事件响应并维护网络可靠性。
配置 OpManager - SIEM 集成
通过此集成,OpManager 可以与 SIEM 工具集成,以实现更好的安全事件监控。请按照以下步骤进行设置和配置。
将 OpManager 与 SIEM 集成的步骤:
- 进入 Settings(设置) → General Settings(常规设置) → Integrations(集成) → SIEM。
- 单击 Configure(配置)。
- 输入 SIEM 应用名称(SIEM Application Name)。
- 输入主机和端口详细信息,包括 主机名/IP 地址(Hostname/IP Address) 和 端口号(Port Number)。
- 注意: 使用 RFC-5424 syslog 格式转发数据。
- 勾选 Send Access Logs(发送访问日志) 复选框,将访问日志文件转发到 SIEM。
- 选择所需的审计模块,将其日志转发到 SIEM。
- 接受 SIEM 的隐私政策,然后点击 Save(保存) 以完成与 OpManager 的集成。
注意:
- 使用 UDP/syslog 协议转发日志。
- 确保第三方 SIEM 工具已配置为监听指定的 UDP 端口。
配置通知配置文件
你可以设置通知配置文件,根据定义的条件自动将告警转发到 SIEM 平台。
按照以下步骤进行配置:
- 进入 Settings -> Notifications -> Notification profiles(设置 -> 通知 -> 通知配置文件)
- 点击右上角的 Add(添加)以新增通知配置文件,并选择 SIEM -> SIEM(UDP/Syslog)
- 为所需参数提供输入,例如 Format(格式)、Severity(严重性)、Facility(设施)、Description(描述)以及变量。
- 如果启用 Structured message(结构化消息) 选项,请以键值对形式提供所需输入。
- 你可以使用 Test Action(测试操作) 选项向已配置的主机和端口发送示例 syslog 消息,以验证配置。
配置通知模板
你可以在 OpManager 中创建通知模板,以定义在告警触发时如何发送告警,并在告警关联规则中使用这些模板,以在出现特定事件模式时获得通知。
- 进入 Settings -> Notifications -> Notification templates(设置 -> 通知 -> 通知模板)
- 点击 Add -> SIEM -> SIEM(UDP/Syslog) 来创建通知模板。
- 输入所需参数,包括模板名称(Template Name)、格式(Format)、严重性(Severity)、设施(Facility)、描述(Description)和相关变量(Variables)。
- 如果启用了 Structured Message(结构化消息)选项,请确保提供所需的键值对输入。
- 要验证模板,请单击 Test Action(测试操作)。
- 点击 Save(保存)。
注意: 有关在告警详情中使用的可替换标签的更多信息,请参考 动态变量 页面。
感谢您的反馈!