GravityZone Cloud a SIEM

GravityZone Cloud a SIEM Envío de eventos que carecen de oyentes HTTPS

Este artículo tiene como objetivo ayudarlo a construir un conector entre las soluciones GravityZone y SIEM que no tienen oyentes HTTPS para eventos.

Bitdefender GravityZone Cloud a SIEM, la plataforma en la nube, puede proporcionar alertas sobre eventos de seguridad en los estándares de mensajes CEF y JSON.

Estas alertas se envían a través de la API del servicio Event Push. Las API de GravityZone se exponen mediante el protocolo JSON-RPC 2.0 que se especifica aquí . Para obtener detalles sobre la API de GravityZone, consulte la documentación disponible:

Si su SIEM no tiene oyentes HTTP / HTTPS, pero admite un servicio Syslog, debe crear un conector Node.js.

El conector utiliza el método POST para recibir mensajes autenticados y seguros de la API del servicio de inserción de eventos de GravityZone. Analiza el mensaje y luego lo reenvía a un servidor Syslog local o remoto.

Puede utilizar el servidor Syslog para enviar estos mensajes al SIEM.

Para construir el conector, siga los pasos que se describen en las secciones siguientes:

Bitdefender GravityZone Cloud a SIEM

Prerrequisitos Bitdefender GravityZone Cloud a SIEM

- Conocimientos básicos de Linux
- Conocimientos avanzados de Node.js
- Solución en la nube GravityZone
- Una clave API de GravityZone que cubre la API del servicio Event Push
- Servidor Ubuntu 20.04 LTS con la siguiente configuración:
  - Hardware:
    - 1 CPU
    - 2 GB de RAM
    - NIC virtual de 1 Gbit
    - Disco duro de 80 GB
  - Node.js instalado con la versión 8.1.xo superior de Node
  - OpenSSL instalado
  Nota:
  esta configuración puede soportar un entorno de hasta 15000 puntos finales. El uso de la CPU y la red aumentará proporcionalmente con la cantidad de puntos finales.

Configurar GravityZone para enviar mensajes al SIEM

Todos los ajustes de la API del servicio Event Push se configuran mediante el método setPushEventSettings . Para obtener información detallada sobre estas configuraciones, consulte la sección Push de la Guía de la API de GravityZone.
Acceda a la guía adecuada para usted:
- Guía de API de GravityZone para socios
- Guía de API de GravityZone para clientes
Una vez configurado, espere unos 10 minutos hasta que la configuración surta efecto y luego realice una solicitud mediante getPushEventSettings . El método devuelve la cadena de autorización como “autorización”: “” . Guarde la cadena de autorización porque la necesitará más adelante.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.