将ManageEngine PAM360 与 SIEM 工具集成

本文档讨论了将 PAM360 与各种 SIEM 工具集成的过程。本文档包含以下内容：

集成的主要优势

集成工作原理？
集成 SIEM 工具和配置 Syslog 集合的步骤

3.1 在 PAM360 中自定义系统日志事件通知

1.集成的主要优势

PAM360 集成了 SIEM 工具，可帮助收集和处理来自 PAM360 的资源、密码和用户的审计日志，并将其作为 Syslog 发送到外部日志管理系统。可从 PAM360 的审计选项卡对要引发通知的特定事件进行定制。

以下是目前可与 PAM360 集成的 SIEM 工具，用于收集系统日志:

Splunk
ManageEngine Log360
Sumo Logic
其他系统日志收集器

除了上述 SIEM 工具外，您还可以设置任何其他日志管理工具来收集审计日志。您可以同时配置多个日志管理工具。

2.集成工作原理？

一旦给出收集器主机的详细信息（如主机名和端口）并启用集成，将生成 RFC-3164 兼容 Syslog 消息，并使用所选协议（ TCP 或 UDP ）生成并发送到配置的主机和端口。默认设施点名称为 AUTH ，但您可以将其更改为列表中的任何未分配设施点名称。

Splunk：单击此处查看 PAM360 从 Splunk 发送的系统日志数据的信息。
Log360 ：在 PAM360 中添加收集器主机后， PAM360 服务器将自动添加为 Log360 中的设备。
Sumo Logic：单击这里了解更多关于 Sumo Logic 的收集器。

从 PAM360 发送的 Syslog 消息的格式如下:

[LOGGED_IN_USERNAME ： ipaddress][OPERATION_TYPE][OPERATED_TIME][STATUS_OF_OPERATION][PAM360_SERVER_NAME][RESOURCE_NAME ： ACCOUNT_NAME ：原因]

示例： admin ： 127.0.0.1Account_Added 2019/09/2311 ：39：00 成功 pam_test 窗口服务器1： account1 ：测试

如果日志从 PAM360 MSP 发送，则格式将如下所示:

[LOGGED_IN_USERNAME ： ipaddress][OPERATION_TYPE][OPERATED_TIME][STATUS_OF_OPERATION][PAM360_SERVER_NAME]ORG_NAME -RESOURCE_NAME ： ACCOUNT_NAME ：原因]

示例： admin ： 127.0.0.1Account_Added 2019/09/2311 ：39：00 成功 pam_test MSPOrg-windows-server1 ：帐户1：测试

3.集成 SIEM 工具和配置系统日志集合的步骤

按照以下步骤将任何 SIEM 工具与 PAM360 集成并配置系统日志集合。

导航到管理 >> 集成 >> SIEM 集成。

在显示的页面中，你会看到具有以下选项的 SIEM 工具块。对于您可能想要与 PAM360 集成的任何 SIEM 工具，这些选项保持不变。

按钮和定义:

Sl 编号：按钮定义

1

启用

如果集成被禁用，您将看到此选项。单击此按钮输入 SIEM 工具的所需详细信息并启用集成。

2

编辑

如果启用集成，您将看到此选项。单击此按钮可更新 SIEM 工具详细信息，如收集器名称、端口、协议和设施名称。

3

禁用

如果启用集成，您将看到此选项。单击此按钮以禁用集成。

单击您选择的SIEM 工具下的启用。如果没有任何列出的工具，请单击其他下的启用，并输入以下详细信息:

收集器名称
端口
协议（ UDP/TCP ）
设施名称（默认情况下选择 AUTH ）

单击启用。与 PAM360 和您选择的 SIEM 工具的集成完成。

3.1 在 PAM360 中处理系统日志事件通知

启用集成并配置设置后，可以自定义要生成系统日志消息的事件。

面向密码：要生成与密码相关的系统日志消息，请导航到"组操作（所需组）配置通知"，然后为所需的面向密码选项选择发送为系统日志消息。

以操作为导向：您可以生成有关 PAM360 内帐户操作的系统日志消息。这既可用于资源审计，也可用于用户审计。若要配置资源审计，请导航到审计 >> 资源审计操作 >> 配置资源审计。同样，要配置用户审计，请导航到审计 >> 用户审计 >> 操作 >> 配置用户审计。为所有操作选择生成系统日志选项。取消选中不需要记录的操作。