SIEM集成

“SIEM集成”选项允许您实时将数据从ADSelfServicePlus转发到外部SIEM产品或Syslog服务器。

将ADSelfService Plus数据转发到Syslog服务器

Syslog是Unix系统中的事件日志服务。您也可以使用此设置转发到您的SIEM的UDP或TCP接收器。

配置Syslog服务器：

• Syslog守护程序默认在UDP端口514上运行。
• 可以在其配置文件/etc/syslog.conf中修改默认设置。请记得重新启动Syslog守护程序以使更改生效。

在ADSelfServicePlus中启用Syslog日志记录的步骤：

1. 点击“管理员”选项卡 → “产品设置” → “集成设置”
2. 点击“Syslog”磁贴。
3. 输入Syslog服务器名称。确保从ADSelfServicePlus服务器可以访问Syslog服务器。
4. 输入 Syslog 端口号和协议。
5. 选择 Syslog 标准和数据格式，以满足您的 SIEM 解析器要求。
6. 点击保存

将 ADSelfService Plus 数据转发到外部 SIEM 产品：Splunk HTTP

配置 Splunk Http 事件收集器：

• 点击“设置” → “数据输入” → “Http 事件收集器”。
• 点击“新建令牌”。为令牌提供一个名称（建议使用 ADSelfServicePlus），其余部分保持默认值（如有需要，可自定义）。
• 保存配置后，将生成一个身份验证令牌。此令牌需要在 ADSelfServicePlus 配置中提供。
• 在“Http 事件收集器”页面的“全局设置”下，启用“所有令牌”。
• 您还可以在“全局设置”中根据需要自定义“Http 端口号”和“SSL”设置。

在 ADSelfServicePlus 中启用 Splunk 日志记录的步骤：

1. 点击“管理员”选项卡 → “产品设置” → “集成设置”
2. 点击“Splunk”磁贴。
3. 输入 Splunk 服务器名称。确保 ADSelfServicePlus 服务器可以访问 Splunk 服务器。
4. 输入 Splunk Http 事件收集器端口号和协议。
5. 指定在 Splunk 中为 ADSelfServicePlus 生成的 Http 事件收集器令牌。
6. 点击保存。

在您的 SIEM 产品中搜索 ADSelfServicePlus 数据

转发的 ADSelfService Plus 事件可以在您的 SIEM 产品中进行搜索、分组成报表并根据需要分类。

• 来自 ADSelfServicePlus 的事件可以通过“来源”字段轻松分开。
• 每个日志事件都有一个“类别”字段。此字段的可能值在配置页面中的“选择类别进行转发”菜单下定义。
• 每个事件的时间戳将可在“时间生成”字段中获取。
• 与事件相关的其他字段可能会根据事件类别而有所不同。因此，可以在您的 SIEM 产品中为每个必需的类别维护一个正则表达式。