Hat von euch schon jemand erfolgreich eine UF Firewall mittels LMC an eine SIEM Lösung angebunden?
Es gibt ja diese Anleitung hier: https://knowledgebase.lancom-systems.de ... =199821723
Aber ich hab keinen Plan von der SIEM Lösung. Welche habt ihr im Einsatz? Wie wird die API dort eingebunden?
Anbindung an SIEM Lösung
Moderator: Lancom-Systems Moderatoren
Re: Anbindung an SIEM Lösung
Bislang gesehen habe ich es nur mit Enginsight, Splunk soll aber auch gehen.
Die SIEM Lösung fragt die LMC API periodisch nach Log-Bündeln, dafür gibt die SIEM Lösung dem Request die Nummer des zuletzt gelesenen Eintrags und die maximale Menge von Einträgen mit, die sie mit einem request verarbeiten will.
Das gibts dort entweder als fertigen Connector oder als api-call "zum selber basteln"
hier das Beispiel von Splunk
Splunk Blog "REST Modular Input"
Graylog könnte auch klappen
Graylog Pull Input
Die SIEM Lösung fragt die LMC API periodisch nach Log-Bündeln, dafür gibt die SIEM Lösung dem Request die Nummer des zuletzt gelesenen Eintrags und die maximale Menge von Einträgen mit, die sie mit einem request verarbeiten will.
Das gibts dort entweder als fertigen Connector oder als api-call "zum selber basteln"
hier das Beispiel von Splunk
Splunk Blog "REST Modular Input"
Graylog könnte auch klappen
Graylog Pull Input
Re: Anbindung an SIEM Lösung
Ah super, Splunk hab ich eh als Testversion installiert. Dann versuche ich mal mit der Info weiter zu kommen.
Vielen Dank!!!
Vielen Dank!!!
Re: Anbindung an SIEM Lösung
bitte daran denken, dass der Support im hintergrund noch etwas freischalten muss, damit die Firewal auch Logs einliefert.
Die Anbindung klappt sobald du das über die Projektvorgaben aktivierst und den API-Key erzeugst.
Daten gibt's erst mit einem Support-Ticket wie im LANCOM KB beschrieben.
Die Anbindung klappt sobald du das über die Projektvorgaben aktivierst und den API-Key erzeugst.
Daten gibt's erst mit einem Support-Ticket wie im LANCOM KB beschrieben.