SIEM 구성 가이드

이 섹션에서는 지정된 서버로 로그 데이터를 생성·전송할 수 있습니다. 로그는 원하는 형식으로 가공하여 하나 또는 여러 SIEM 서버로 전달할 수 있습니다.

SSE가 통신할 수 있는 IP를 입력합니다. 인터넷에서 접근 가능한 SIEM이라면 공인 IP를, SSE와 SIEM 간에 사설 네트워크 연결이 있는 경우에만 사설 IP를 사용합니다.

아래 예시에서는 SIEM이 사설망에 위치해 있으며, 1514 포트로 수신하도록 설정되어 있습니다.

입력된 IP는 SIEM이 있는 네트워크의 라우터 WAN IP입니다.

SIEM이 다른 네트워크에 있을 경우, SIEM으로 트래픽을 전달하기 위해 포트 포워딩이 필요합니다.

9000번과 1514번 포트로 들어오는 모든 트래픽이 SIEM(192.168.1.10)으로 전달되도록 설정됩니다.

사용 중인 SIEM 종류에 따라, 지정된 포트에서 TCP/UDP/TLS 트래픽을 수신하기 위한 입력값 구성이 필요할 수 있습니다.

마지막으로 SSE가 어떤 로그를 어디로 보낼지 설정해야 합니다.

로그 유형 설정을 통해 SIEM으로 전송할 로그 종류를 선택할 수 있습니다.

아래에서 이전에 등록한 서버 목록 중 원하는 서버를 선택합니다.

마지막으로 로그 포맷을 지정해 SSE가 SIEM에 어떤 형태의 데이터를 보낼지 설정합니다.