Crear una integración a un sistema SIEM
Para añadir una integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, haga clic en Add SIEM.
Se mostrará una barra lateral, en donde puede introducir los parámetros del sistema SIEM.
- En la pestaña General, especifique los siguientes parámetros obligatorios:
- Nombre del sistema SIEM.
- Protocolo de la conexión con el sistema SIEM; el valor TCP está seleccionado de forma predeterminada.
- Dirección del servidor del sistema SIEM en uno de los siguientes formatos:
- IPv4
- IPv6
- FQDN
- Puerto de la conexión con el sistema SIEM. Puede especificar puertos de 1-65535. El valor predeterminado es 514.
- Categorías de eventos sobre los cuales desee exportar mensajes al sistema SIEM. Para configurar esto, elija las casillas de verificación que se encuentran junto a una o más categorías de eventos de la siguiente lista:
- Administration
- Alert
- CI/CD
- Policies
- Resources
- Scanners
- Admission controller
- Forensic data
- API
Deberá tener una licencia avanzada para ver los eventos de las categorías Resources, Scanners, Admission controller y Forensic data.
De forma predeterminada, todos los estados están seleccionados.
Se envían los mensajes sobre las categorías de eventos elegidas al sistema SIEM especificado, sin importar si está vinculado con los grupos de agentes.
- En la pestaña Agent group logs, elija las casillas de verificación que se encuentran junto a uno o más tipos de eventos, como parte de la supervisión de nodos durante el tiempo de ejecución.
El registro de mensajes de eventos enviados al entorno de ejecución podría ser bastante pesado, lo que afectaría al espacio disponible en disco y la carga en la red.
- Si desea verificar si los parámetros especificados de la integración al sistema SIEM son correctos, haga clic en Test connection.
La solución prueba la conexión con el sistema SIEM si se elige el protocolo de conexión TCP. Si se elige el protocolo de conexión UDP, el botón Test connection estará desactivado.
- Haga clic en Save.