SIEM統合
セキュリティイベントをSplunk HECまたはカスタムHTTPエンドポイントにストリーミングします。
リアルタイムのセキュリティイベントをSIEMにストリーミングして、一元的な監視とコンプライアンスを実現します。
サポートされている統合
| プラットフォーム | 方法 |
|---|---|
| Splunk | HTTPイベントコレクター(HEC) |
| カスタムHTTP | 任意のHTTP/HTTPSエンドポイント |
設定
- ダッシュボードのExternal Config(外部設定)に移動します。
- SIEMカードに、設定中のドメインが表示されます。
- SIEM Integration(SIEM統合)を有効にします。
- SIEM Type(SIEMタイプ)(Splunk HECまたはカスタムHTTPエンドポイント)を選択します。
- エンドポイント設定を行います(以下参照)。
- 設定を保存します。
Splunk HEC設定
| フィールド | 説明 |
|---|---|
| HEC URL | Splunk HECエンドポイント(例:https://splunk.example.com:8088/services/collector) |
| HEC Token | HECの認証トークン |
| Index | ターゲットSplunkインデックス(デフォルト:main) |
カスタムHTTPエンドポイント設定
非Splunk SIEMシステムまたはカスタム統合の場合:
| フィールド | 説明 | デフォルト |
|---|---|---|
| Endpoint URL | イベント送信先のターゲットHTTP/HTTPS URL | - |
| HTTP Method | POST、PUT、またはPATCH | POST |
| Custom Headers | HTTPヘッダーのJSONオブジェクト(認証用など) | {"Content-Type": "application/json"} |
| Timeout | リクエストタイムアウト(秒) | 10 |
| Verify SSL | SSL証明書を検証するかどうか | 有効 |
| Include Metadata | イベントをソース/ソースタイプ/インデックスフィールドでラップする | 有効 |
カスタムHTTPペイロード形式
Include Metadataが有効な場合、イベントは以下のように送信されます:
Include Metadataが無効な場合、生のイベントオブジェクトのみが送信されます。
ストリームモード
| モード | 説明 |
|---|---|
| All(すべて) | すべてのツール呼び出しとセキュリティイベントをストリーミングします |
| Security Only(セキュリティのみ) | セキュリティ関連のイベント(ブロック、ステータス変更、3要素フラグ)のみをストリーミングします |
イベントタイプ
Edison Watchはセッションごとのアクティビティをストリーミングします:
- Tool Calls: すべてのアクションのメタデータ(タイムスタンプ、ユーザー、ツール名、期間)。
- Security Events: フラグ変更(3要素)とACL違反。
- Approvals: ヒューマンインザループの決定の監査記録。
- Admin Actions: 設定変更とユーザーロールの更新。
共通イベント形式(CEF)
Splunk HECイベントはCEF文字列(Common Event Format)として送信されます:
パフォーマンスと信頼性
- 非同期: イベントはファイアアンドフォーゲットタスクで送信されるため、SIEMストリーミングはツール実行のクリティカルパス上にありません。
- ベストエフォート: SIEMエンドポイントに到達できないか、設定ミスがある場合、イベントはドロップされる可能性があります(Edison Watchはエラーをログに記録します)。
SIEM統合の設定についてサポートが必要ですか? [email protected]にメールしてください。