SIEM 整合可以支援自動系統反應、提升資料監控與分析能力,並加強安全性。
步驟 1:進入 SIEM Integration
-
前往 系統管理(System Management) 頁面
-
選擇 SIEM Integration 功能表
步驟 2:設定 SIEM Integration
-
點擊 編輯(Edit) 輸入 SIEM 整合資訊
-
請注意,在配置完成後,系統與 SIEM 整合可能需要 2-3 分鐘的時間。
| 欄位名稱 | 說明 | 範例 / 備註 |
|---|---|---|
| Log format | 選擇傳送的日誌格式 | Syslog |
| Time format | 選擇傳送的時間格式 | RFC 3339 (2022-01-31T12:34:56Z)RFC 3164 (May 02 11:11:11Z) |
| Host / IP | 填寫接收日誌的 SIEM 伺服器 IP 或域名 不要填 MAVIS 本身的 IP。通常由 SIEM 管理員提供。 | Splunk: splunk.example.comQRadar: 192.168.10.50 |
| Protocol | 選擇與 SIEM 伺服器的傳輸協議 | TCP / UDP |
| Port | SIEM 伺服器接收日誌的通訊埠,不是 MAVIS 的 Port | 514(Syslog 預設)6514(Syslog over TLS) |
| Secure connection (SSL) | 如果 SIEM 支援 HTTPS/SSL,可啟用。預設為關閉 | Enabled / Disabled |
| Test Connection | 測試與 SIEM 伺服器的連線,包括 Host/IP、Protocol、Port、SSL,系統不會紀錄測試結果 | 成功 / 失敗訊息 |
注意事項
-
Host/IP 與 Port 必須對應 接收日誌的 SIEM 伺服器,例如 Splunk、QRadar 或 Elastic SIEM。
-
確認 MAVIS 能夠網路連通到 SIEM(防火牆、VPN 設定等)。
-
若不確定,請聯繫 SIEM 管理員確認正確的 Host/IP 與 Port。
Troubleshooting 疑難排解
| 錯誤訊息 | 說明 |
| 連線資訊錯誤 | 當點擊測試連線按鈕時,Host/IP, Protocol, Port, 或 SSL 欄位錯誤。請確保連線資訊正確無誤。 |