Jak skonfigurować źródło Bitdefender GravityZone dla Sumo Logic

Krzysztof B.

24 lipca 2019

FAQ – Produkty dla firmy (biznesowe) :

Możesz zobaczyć dane z GravityZone w Sumo Logic. Aby zebrać dane tego typu, należy dodać źródło do Hosted Collector w Sumo Logic, oraz skonfigurować API Bitdefender GravityZone.

Wymagania wstępne

– Konto Sumo Logic
– Konto cloud Bitdefender GravityZone
– Ustawiony Hosted Collector na maszynie ze środowiskiem Sumo Logic

Dodawanie źródła do Hosted Collector

1. Zaloguj się do Sumo Logic.
2. Odszukaj Manage Data > Collection.
3. Kliknij Add Source obok Hosted Collector.
4. Wybierz HTTP Logs & Metrics.
5. Wpisz nazwę dla źródła.
6. Skonfiguruj szczegóły Źródła, oraz zaawansowane opcje dla logów.
Po więcej informacji sięgnij do następującego artykułu.
7. Kliknij Save, aby dodać źródło.

Uzyskaj dostęp do adresu URL źródła

1. Odszukaj Manage Data > Collection.
2. Znajdź Hosted Collector poprzez nazwę, oraz kliknij Show URL.
3. Skopiuj adres HTTP źródła.

Wygeneruj klucz API Bitdefender GravityZone

1. Zaloguj się do Control Center GravityZone.
2. Kliknij na nazwę użytkownika w prawym, górnym rogu ekranu i wybierz Moje Konto.
3. Przejdź do pola klucze API, a następnie kliknij Dodaj w górnej części tabeli.
4. Włącz Event Push Service API.
Możesz włączyć inne API, aby uzyskać więcej informacji od Bitdefender GravityZone.
5. Kliknij Zapisz.
Aby zapobiec wyciekowi poufnych informacji, nie udostępniaj ani nie rozpowszechniaj wygenerowanych własnych kluczy API.
6. Skopiuj Dostęp URL z pola Control Center API.
Potrzebujesz tego klucza, aby skonfigurować Event Push Service API.

Skonfiguruj Event Push Service API

Postępuj zgodnie z poniższą procedurą, aby skonfigurować subskrypcję zdarzeń GravityZone Control Center, które chcesz zobaczyć w Sumo Logic.

1. Otwórz terminal MAC lub Linux.
2. Uruchom komendę echo, a następnie wprowadź klucz API Bitdefender GravityZone dwukropkiem („:”):
> echo –n ‘Ge9HCYqdU7jIDR90wN0eE1zbB5Snc5HN:’ | base64 –w 0
Ta operacja koduje klucz API w łańcuchu base64.

Przykład wartości zwracanej:
R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46

Użyjesz tego zakodowanego łańcucha jako tokena do autoryzacji POST.

3. Uruchom następujące polecenia curl, oraz edytuj pogrubione ustawienia:

curl -k -X POST \ 
> https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ 
> -H 'authorization: Basic token' \ 
> -H 'cache-control: no-cache' \ 
> -H 'content-type: application/json' \ 
> -d '{"params": {"status": 1, "serviceType": "jsonRPC", "serviceSettings": {"url": "SumoLogic URL”, 
"requireValidSslCertificate": false}, "subscribeToEventTypes": {"modules": true, "sva": true, "registration": true, "supa-update-status": true, "av": true, "aph": true, "fw": true, "avc": true, "uc": true, "dp": true, "sva-load": true, "task-status": true, "exchange-malware": true, "network-sandboxing": true, "adcloud": true, "exchange-user-credentials": true}}, "jsonrpc": "2.0", "method": "setPushEventSettings", "id": "1"}'

4. Aby rozpocząć przesyłanie zdarzeń, uruchom następujące polecenia, oraz edytuj pogrubione ustawienia:

https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ 
-H 'authorization: Basic token' \ 
-H 'cache-control: no-cache' \ 
-H 'content-type: application/json' \ 
-d '{"params": {}, "jsonrpc": "2.0", "method": "getPushEventSettings", "id": "2"}'

5. Aby przetestować integrację, uruchom następujące polecenie i edytuj pogrubione ustawienia:

> curl -k -X POST \ 
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ 
-H 'authorization: Basic token' \ 
-H 'cache-control: no-cache' \ 
-H 'content-type: application/json' \ 
-d '{"params": {"eventType": "av"}, "jsonrpc": "2.0", "method": "sendTestPushEvent", "id": "3"}'

Możesz teraz zobaczyć dane Bitdefender GravityZone w Manage Data > Collection.

Źródło: https://www.bitdefender.com/support/configure-bitdefender-gravityzone-source-for-sumo-logic-2432.html