SIEM集成

AD360允许您将其组件与SIEM解决方案集成在一起，以便可以将其组件生成的日志以syslog格式转发到SIEM解决方案上，以进行进一步分析。 转发后，您可以使用SIEM解决方案将AD360组件的日志与网络中的其他日志关联起来，并处理，分析并生成针对关键安全事件的报表和警报。

注意： 当前，您只能使用AD360将ADSelfService Plus组件与SIEM工具集成在一起。 其他组件的集中式SIEM集成选项正在开发中，将很快推出。

整合步骤

• 以管理员身份登录到AD360。
• 导航到SIEM 集成的管理员界面
• 您会看到一个表格，其中每行包含一个组件的SIEM集成详细信息。
• 要将组件与SIEM工具集成在一起来进行日志转发，请单击相应的立即配置链接或编辑图标。



• 从下拉列表中选择服务器类型。 您可以从以下SIEM工具中进行选择：
• Syslog
• Splunk

根据您选择的服务器类型进行操作，步骤可能会有所不同。

Integration with Syslog servers

• 输入系统日志服务器名称或IP地址。
• 输入端口号。
• 从下拉列表中选择一个协议。
• 从“系统日志标准”下拉列表选择要将日志转发到系统日志服务器的格式。
• 如果需要，请单击“高级”以配置日志的严重性，便利性和日期格式。



• 单击配置以完成集成。

与Splunk集成

• 收集Splunk Enterprise.v的HTTP事件收集器令牌
• 以管理员身份登录到Splunk。
• 导航到“设置数据输入HTTP事件收集器”。
• 点击新令牌。
• 指定令牌的名称，并保留其他字段的默认值。
• 点击保存并生成认证令牌。
• 返回AD360 SIEM集成配置页面，输入Splunk服务器的服务器名称或IP地址。
• 输入HTTP事件收集器端口号。
• 从下拉列表中选择是在SIEM工具中启用还是禁用SSL。
• 输入您从步骤1.e中生成的身份验证令牌。



• 点击配置来完成集成的操作。