最近では他の情報とあわせてSIEM製品で可視化、詳細な分析および検索処理を行う企業も多いですが、そのSIEM連携インターフェイスについてまとめた動画がアップされています。管理コンソールと連携するパターンとエンドポイントから直接送るパターンが利用できます。
① SIEM製品とクラウド管理コンソールとの連携
クラウド側にイベントPUSH型のAPIサービスがありますので、WebAPIガイドに従い連携設定を行います。こうすることで指定のイベントが発生すると連携先のサービス(jsonRPC/splunk/CEF)に応じて連携、情報が送られます。
② SIEM製品とオンプレミス管理コンソールとの連携
オンプレミスタイプをご利用の場合は、管理コンソールのメニューでSyslog送信機能を有効にします。こうすることで指定の宛先にNotificationで設定した項目で通知が発生するとSyslog情報(JSON/CEF)が送られるようになります。
③ SIEM製品へエンドポイントから直接RAWデータを送る場合
ポリシーの設定でSecuirty Telemetry機能を有効にして接続先を設定します。このポリシーが適用されるとエンドポイントから直接情報が送られるようになりす。この機能はUltraライセンス(EDRインシデントモジュール)が必要になります
