Integración con SIEM

WOCU-Monitoring incorpora capacidades avanzadas para la adaptación, normalización y exportación de logs de seguridad, facilitando su integración con plataformas SIEM (Security Information and Event Management). Esta funcionalidad permite que los eventos generados por la herramienta sean transformados a formatos estandarizados, asegurando su correcta interpretación y explotación por sistemas externos de ciberseguridad.

La integración con SIEM refuerza el cumplimiento de políticas de seguridad corporativas, permitiendo la correlación de eventos, detección temprana de amenazas y auditoría centralizada dentro de un ecosistema unificado.

td-agent

Este servicio toma una fuente (archivo, puerto, etc.), la procesa y envía los datos a un destino (base de datos, archivo, endpoint, etc.).

Se utilizan varios archivos de configuración para definir el flujo de trabajo.

auditlogs2endpoint

../../_images/7_101_siem_netflow.png

Este archivo de configuración lee los siguientes archivos y envía los datos a un endpoint externo (normalmente un SIEM):

  • wocu_aggregator_user_db_audit.log

  • wocu_import-tool_user_db_audit.log

  • wocu_user_audit.log

Para utilizarlo, es necesario configurar las siguientes variables de WOCU-Monitoring en la sección wocu-aggregator (/etc/wocu/wocu.yml):

  • siem_sender_enabled

  • siem_http_method

  • siem_token

  • siem_url

Nota

Más información sobre variables en: Settings configuration.