跳至主内容

Sumo Logic

配置 Bitdefender GravityZone Sumo Logic数据源

您可以查看 Bitdefender GravityZone 数据在Sumo Logic中。要收集此类数据,您需要在Sumo Logic的托管收集器中添加一个数据源,并配置 Bitdefender GravityZone API接口。

前提条件

  • Sumo Logic账户

  • Bitdefender GravityZone (云端)账户

  • 在Sumo Logic环境中的机器上设置托管收集器

要通过API收集 Bitdefender GravityZone 数据,请按照以下步骤操作:

向托管收集器添加数据源

  1. 登录Sumo Logic。

  2. 导航至 管理数据 > 收集 .

  3. 点击 添加数据源 (位于托管收集器旁)。

  4. 选择 HTTP日志与指标 .

  5. 输入数据源的 名称

  6. 配置日志的源详细信息及高级选项。

    更多信息,请参考以下 Sumo Logic帮助文档 .

  7. 点击 保存 以添加数据源。

    该数据源具有唯一URL。 Bitdefender GravityZone 在配置事件推送服务API后,会将其数据发送至该URL。

访问数据源URL

  1. 导航至 管理数据 > 收集 .

  2. 按名称查找托管收集器并点击 显示URL .

  3. 复制HTTP源地址。

生成 Bitdefender GravityZone API密钥

  1. 登录 GravityZone 控制中心 .

  2. 点击 control_center_user_menu_icon.png 右上角的用户图标并选择 我的账户 .

  3. 前往 API密钥 部分并点击 添加 .

  4. 勾选 事件推送服务API 复选框。

    您可启用其他API以从 Bitdefender GravityZone .

  5. 点击 保存 .

    为防止敏感信息泄露,请勿共享或分发自行生成的API密钥。

  6. 控制中心 API 部分复制访问URL。

    配置事件推送服务API时需要此密钥。

配置事件推送服务API

按以下步骤设置 GravityZone 控制中心 事件的订阅,以便在Sumo Logic中查看。

  1. 打开Mac或Linux终端。

  2. 运行echo命令后接 Bitdefender GravityZone API密钥后接冒号(":")

    • Linux终端操作: 

      > echo –n 'Ge9HCYqdU7jIDR90wN0eE1zbB5Snc5HN:' | base64 –w 0

    • Mac终端操作: 

      > echo –n 'Ge9HCYqdU7jIDR90wN0eE1zbB5Snc5HN:' | base64 –b 0

    这将API密钥编码为base64字符串。

    返回值示例: 

    R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46
    4oCTbiBhY2M1ZGY2ODU2YTdiZWUwODE3MmJlM2I2NDQ3YjMyNTg2OWIzM2M2ZjU2ZGJjNGNjMmRkYjJmZmM0OWFkYzRjOgo=

    您需将此编码字符串作为POST授权的令牌使用。

    注意

    Sumo Logic当前不支持通过 setPushEventSettings 方法中使用的认证头进行验证。事件推送转发机制仍需该头部,但其内容可为任意随机字符串,因为Sumo Logic的https收集器会忽略该字段。

  3. 执行以下curl命令并修改强调的配置项: 

    curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {"status": 1,"serviceType": "jsonRPC","serviceSettings": {"url": "SumoLogic的URL","requireValidSslCertificate": false, "authorization":"认证头值"},"subscribeToEventTypes": {"modules": true,"sva": true,"registration": true,"supa-update-status": true,"av": true,"aph": true,"fw": true,"avc": true,"uc": true,"dp": true,"hd": true,"sva-load": true,"task-status": true,"exchange-malware": true,"network-sandboxing": true,"adcloud": true,"exchange-user-credentials": true}},"jsonrpc": "2.0","method": "setPushEventSettings","id": "1"}'

    返回值示例: 

    {"id":"1","jsonrpc":"2.0","result":true}

    GravityZone 在事件推送服务设置重新加载后开始向Sumo Logic发送事件。该过程每10分钟执行一次。

    下表列出了 GravityZone 可发送至Sumo Logic。

    事件类型标识符

    描述

    模块

    产品模块事件

    安全虚拟设备

    安全服务器 状态事件

    注册

    产品注册事件

    更新服务器状态

    过时 更新服务器 事件(当 更新服务器 作为 中继 )

    反病毒

    反恶意软件 事件

    反钓鱼

    反钓鱼事件

    防火墙

    防火墙 事件

    高级威胁防护

    高级威胁防护 /入侵检测系统事件

    用户控制

    用户控制事件

    dp

    数据保护事件

    hd

    HyperDetect 事件

    sva-load

    过载 安全服务器 事件

    task-status

    任务状态事件

    exchange-malware

    Exchange恶意软件检测事件

    network-sandboxing

    沙盒分析器 检测

    adcloud

    Active Directory集成问题

    exchange-user-credentials

    Exchange用户凭据

  4. 要立即开始发送事件,请运行以下命令并编辑强调的设置: 

    curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {}, "jsonrpc": "2.0", "method": "getPushEventSettings", "id": "2"}'

  5. 要测试集成,请运行以下命令并编辑强调的设置: 

    curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {"eventType": "av"}, "jsonrpc": "2.0", "method": "sendTestPushEvent", "id": "3"}'

    您现在可以查看 Bitdefender GravityZone 数据于 管理数据 > 收集 .

    有关推送事件服务的详细信息,请参阅 推送API文档 .

本节内容 :