Na seção Administration → Integrations → SIEM, clique em Add SIEM.
É exibida uma barra lateral, onde é possível inserir os parâmetros do sistema SIEM.
Na guia General, especifique os seguintes parâmetros obrigatórios:
Nome do sistema SIEM.
Protocolo para conexão com o sistema SIEM. TCP é selecionado por padrão.
Endereço do servidor do sistema SIEM num dos seguintes formatos:
IPv4
IPv6
FQDN
Porta para conexão com o sistema SIEM. É possível especificar portas de 1 a 65535. A configuração padrão é 514.
Categorias de eventos que deseja que sejam exportadas mensagens para o sistema SIEM. Para configurar isso, marque as caixas de seleção ao lado de uma ou mais categorias de eventos da seguinte lista:
Administration.
Alerts.
CI/CD.
Policies.
Resources.
Scanners.
Admission controller.
Forensic data.
RBAC.
API.
É necessário ter uma licença avançada para visualizar eventos das categorias Resources, Scanners, Admission controller e Forensic data.
Por padrão, todos os status são selecionados.
Mensagens sobre as categorias de evento selecionadas são enviadas ao sistema SIEM especificado, independentemente de ele estar vinculado a grupos de agentes ou não.
Na guia Agent group logs, marque as caixas de seleção ao lado e um ou mais tipos de evento como parte do monitoramento de nós no tempo de execução.
O log de mensagens de eventos enviadas ao ambiente de tempo de execução podem ser muito grandes e afetar o espaço livre em disco e a carga da rede.
Caso deseje confirmar se os parâmetros de integração de SIEM especificados estão corretos, clique em Test connection.
A solução testa a conexão ao sistema SIEM se o protocolo de conexão TCP for selecionado. Se o protocolo de conexão UDP for selecionado, o botão Test connection é desativado.