Создание интеграции с SIEM-системой

Чтобы создать интеграцию с SIEM-системой:

В разделе Администрирование → Интеграции → SIEM-системы нажмите на кнопку Добавить SIEM-систему.
Откроется боковая панель для ввода параметров SIEM-системы.
На вкладке Общая информация укажите следующие обязательные параметры:
- Название подключаемой SIEM-системы.
- Протокол, по которому осуществляется подключение к SIEM-системе. По умолчанию выбрано TCP.
- Адрес сервера SIEM-системы в одном из следующих форматов:
  - IPv4.
  - IPv6.
  - FQDN.
- Порт, через который осуществляется подключение к SIEM-системе. Значение порта можно указать в диапазоне от 1 до 65535. По умолчанию установлено значение 514.
- Категории событий, сообщения о которых будут экспортироваться в SIEM-систему. Для этого установите флажки рядом с одной или несколькими категориями событий из следующего списка:
  - Администрирование.
  - Обнаружение.
  - CI/CD.
  - Политики.
  - Ресурсы.
  - Сканеры.
  - Контроллер доступа.
  - События контейнеров.
  - API.
    Для просмотра событий в категориях Ресурсы, Сканеры, Контроллер доступа и События контейнеров требуется расширенная лицензия.
  По умолчанию выбраны все категории событий.
  
  Сообщения о выбранных категориях событий отправляются в указанную SIEM-систему вне зависимости от ее привязки к группам агентов.
На вкладке События для групп агентов установите флажки рядом с одним или несколькими типами событий в рамках мониторинга состояния узлов в среде выполнения.
Объем журнала передаваемых сообщений о событиях в среде выполнения может быть очень большим и может повлиять на имеющееся свободное дисковое пространство и сетевую нагрузку.
Если вы хотите проверить корректность введенных параметров интеграции с SIEM-системой, нажмите на кнопку Проверить соединение.
Решение проверяет соединение с SIEM-системой, если выбран протокол соединения TCP. Если выбран протокол соединения UDP, кнопка Проверить соединение неактивна.
Нажмите на кнопку Сохранить.

В начало