Перейти к содержанию

Sumo Logic

Вы можете настроить отправку сообщений в Sumo Logic для следующих типов событий:

  • Обнаружен хит

  • Системные события: добавленные пользователи, удаленные и отключенные интеграции

  • Обнаружена уязвимость

  • Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Настройка интеграции

В интерфейсе Sumo Logic:

  1. Настройте Hosted Collector, используя инструкцию.

  2. Настройте HTTP Logs & Metrics Source, используя инструкцию.

  3. Скопируйте полученный HTTP Source Address (URL).

В Личном кабинете Валарм:

  1. Откройте НастройкиИнтеграции.

  2. Нажмите на блок Sumo Logic или нажмите кнопку Добавить интеграцию и выберите Sumo Logic.

  3. Введите имя интеграции.

  4. Вставьте скопированное значение HTTP Source Address (URL) в соответствующее поле.

  5. Выберите типы событий, о которых необходимо отправлять сообщения в Sumo Logic. Если события не выбраны, сообщения не отправляются.

  6. Протестируйте интеграцию и убедитесь в корректности настроек.

  7. Нажмите Добавить интеграцию.

    Добавление интеграции с Sumo Logic

Тестирование интеграции

Тестирование интеграции позволяет проверить корректность настроек, соединение с Облаком Валарм и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.

Тестирование интеграции выполняется следующим образом:

  • В выбранную систему отправляются тестовые уведомления с префиксом [Тестовое сообщение].

  • Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.

    Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.

  • В тестовых уведомлениях не используются реальные данные.

Пример уведомления в Sumo Logic:

{
    "title": "Test",
    "source": "Wallarm",
    "type": "Info",
    "domain": "example.com",
    "threat": "Medium",
    "link": "https://my.wallarm.com/object/555",
    "summary": "[Тестовое сообщение] Обнаружена новая уязвимость"
}

Редактирование интеграции

Чтобы обновить настройки интеграции:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию.

  3. Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте активную интеграцию и нажмите Отключить.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию и нажмите Удалить.

  3. Подтвердите действие.