Skip to main content

Documentation technique Olfeo SaaS

Gérer des connecteurs SIEM

A propos des connecteurs SIEM

L'usage d'outils de gestion d'informations et d'évènements de sécurité (SIEM : Security Information and Event Management) est un excellent complément à vos produits de sécurité pour détecter automatiquement des signaux faibles et établir des corrélations entre évènements de sécurité se produisant sur vos différents équipements ou logiciels.

Olfeo SaaS permet de créer un connecteur vers votre SIEM depuis l'interface d'administration pour envoyer des journaux de navigation de vos utilisateurs et vous permettre de mettre en place une détection d'évènements de sécurité propre à votre contexte d'usage dans votre SIEM.

Retrouvez ci dessous toutes les informations pour connecter un SIEM à votre compte Olfeo SaaS.

Intégrations SIEM disponibles avec Olfeo SaaS

Actuellement, Olfeo SaaS vous permet de connecter les produits suivants :

  • Splunk Entreprise - SaaS ou Self-hosted

  • Elastic

Vous utilisez un autre SIEM ? Contactez- nous pour échanger à propos de son intégration dans Olfeo SaaS.

Attention

Si votre SIEM est auto hébergé, le point de collecte des données doit être exposé et accessible depuis internet

Gérer un connecteur SIEM
  1. Dans le menu Configuration > SIEM

  2. Cliquez sur Connecter un SIEM

    SIEM-Empty.png
  3. Renseignez les informations générales:

    • Nom du connecteur (< à 60 caractères)

    • Description

    • Type de connecteur (Splunk ou Elastic)

  4. Renseignez les informations de configuration du point de collecte de votre SIEM (les éléments de configuration sont disponibles sur: Splunk) :

    • l'URL du point de collecte (HEC pour Splunk)

    • le Jeton d'authentification (type bearer)

  5. Renseignez les données envoyées : vous pouvez activer ou désactiver l'envoi des données nominatives (email et nom d'affichage des utilisateurs) vers le SIEM.

  6. Cliquer sur Enregistrer. Une validation de l'URL et du jeton est faite automatiquement.

La connexion SIEM est configurée.

Avis

Par défaut, le connecteur SIEM créé est inactif : pensez à l’activer pour envoyer les logs.

Les données du connecteur configurées par l'administrateur peuvent être visualisées comme suit:

  1. Depuis la page Configuration > SIEM.

  2. Cliquez sur le bouton Oeil.png

Les données configurées s'affichent.

Vous pouvez modifier la configuration de votre connecteur SIEM comme suit:

  1. Depuis la page Configuration > SIEM.

  2. Cliquez sur Modifier .

  3. Modifiez les éléments.

  4. Cliquez sur Enregistrer.

Les informations sont mises à jour.

Suivez le pas-à-pas ci-dessous pour supprimer un connecteur SIEM:

  1. Dans le menu Configuration > SIEM

  2. Cliquez sur l'icône ellipse.svg du connecteur à supprimer.

  3. Cliquez sur Supprimer. Confirmez votre choix.

  1. Depuis le menu Configuration > SIEM.

  2. Activer ou désactiver l'administrateur en cliquant sur le bouton Toggle_on.png / Toggle_off.png .

Astuce

Cette possibilité d'activer / désactiver un connecteur SIEM ne fait que suspendre l'envoi des données vers votre SIEM. Pratique en cas de maintenance de votre SIEM par ex.

Lors de la création ou de la modification d'un connecteur SIEM, un test de connectivité au point de terminaison SIEM est réalisé automatiquement à l'enregistrement. Des erreurs peuvent survenir, retrouvez ci-dessous la liste des erreurs et les actions à réaliser.

Tableau 2. Tableau des erreurs visibles par l'administrateur

Invalid request

Requête invalide

La requête est invalide, vérifiez la saisie de l'URL de votre point de collecte.

Validation failed

Validation échouée

Vérifiez si le type de connecteur choisi est adapté à votre SIEM ainsi que la saisie de l'URL et du jeton.

Invalid URL caracter

URL caractère invalide

Présence de caractères non supportés dans l'URL, vérifiez votre saisie.

Cannot reach URL

L'url spécifiée est injoignable

Vérifiez la saisie de l'URL du point de collecte de votre SIEM et/ou assurez vous qu'elle soit bien exposée publiquement sur Internet.

Unexpected answer

Réponse du serveur inattendue

Le serveur de destination (votre SIEM) a répondu de manière inattendue, vérifiez les logs d'accès de votre SIEM et ajustez sa configuration.

Cannot reach DB

Connexion DB impossible

La base de données est temporairement inaccessible : réessayez plus tard ou contactez le support si le problème persiste.

Duplicate connector

Ce connecteur existe déjà

Le connecteur existe déjà, choisissez un autre nom pour le nouveau connecteur

Invalid API Key

Clé API invalide

La clé d'API est invalide, vérifiez la saisie et/ou générez une nouvelle clé valide dans votre SIEM

Invalid token

Token invalide

Le token est invalide, vérifiez la saisie et/ou générez un nouveau token valide dans votre