В разделе Администрирование → Интеграции → SIEM-системы нажмите на кнопку Добавить SIEM-систему.
Откроется боковая панель для ввода параметров SIEM-системы.
На вкладке Общая информация укажите следующие обязательные параметры:
Название подключаемой SIEM-системы.
Протокол, по которому осуществляется подключение к SIEM-системе. По умолчанию выбрано TCP.
Адрес сервера SIEM-системы в одном из следующих форматов:
IPv4.
IPv6.
FQDN.
Порт, через который осуществляется подключение к SIEM-системе. Значение порта можно указать в диапазоне от 1 до 65535. По умолчанию установлено значение 514.
Категории событий, сообщения о которых будут экспортироваться в SIEM-систему. Для этого установите флажки рядом с одной или несколькими категориями событий из следующего списка:
Администрирование.
Алерты.
CI/CD.
Политики.
Ресурсы.
Сканеры.
Контроллер доступа.
События контейнеров.
Доступ на основе ролей.
API.
Для просмотра событий в категориях Ресурсы, Сканеры, Контроллер доступа и События контейнеров требуется расширенная лицензия.
По умолчанию выбраны все категории событий.
Сообщения о выбранных категориях событий отправляются в указанную SIEM-систему вне зависимости от ее привязки к группам агентов.
На вкладке События для групп агентов установите флажки рядом с одним или несколькими типами событий в рамках мониторинга состояния узлов в среде выполнения.
Объем журнала передаваемых сообщений о событиях в среде выполнения может быть очень большим и может повлиять на имеющееся свободное дисковое пространство и сетевую нагрузку.
Если вы хотите проверить корректность введенных параметров интеграции с SIEM-системой, нажмите на кнопку Проверить соединение.
Решение проверяет соединение с SIEM-системой, если выбран протокол соединения TCP. Если выбран протокол соединения UDP, кнопка Проверить соединение неактивна.