Gérer des connecteurs SIEM
A propos des connecteurs SIEM
L'usage d'outils de gestion d'informations et d'évènements de sécurité (SIEM : Security Information and Event Management) est un excellent complément à vos produits de sécurité pour détecter automatiquement des signaux faibles et établir des corrélations entre évènements de sécurité se produisant sur vos différents équipements ou logiciels.
Olfeo SaaS permet de créer un connecteur vers votre SIEM depuis l'interface d'administration pour envoyer des journaux de navigation de vos utilisateurs et vous permettre de mettre en place une détection d'évènements de sécurité propre à votre contexte d'usage dans votre SIEM.
Retrouvez ci dessous toutes les informations pour connecter un SIEM à votre compte Olfeo SaaS.
Intégrations SIEM disponibles avec Olfeo SaaS
Actuellement, Olfeo SaaS vous permet de connecter les produits suivants :
Splunk Entreprise - SaaS ou Self-hosted
Elastic
Vous utilisez un autre SIEM ? Contactez- nous pour échanger à propos de son intégration dans Olfeo SaaS.
Attention
Si votre SIEM est auto hébergé, le point de collecte des données doit être exposé et accessible depuis internet
Gérer un connecteur SIEM
Dans le menu
>Cliquez sur
Renseignez les informations générales:
Nom du connecteur (< à 60 caractères)
Description
Type de connecteur (Splunk ou Elastic)
Renseignez les informations de configuration du point de collecte de votre SIEM (les éléments de configuration sont disponibles sur: Splunk) :
l'URL du point de collecte (HEC pour Splunk)
le Jeton d'authentification (type bearer)
Renseignez les données envoyées : vous pouvez activer ou désactiver l'envoi des données nominatives (email et nom d'affichage des utilisateurs) vers le SIEM.
Cliquer sur
. Une validation de l'URL et du jeton est faite automatiquement.
La connexion SIEM est configurée.
Avis
Par défaut, le connecteur SIEM créé est inactif : pensez à l’activer pour envoyer les logs.
Les données du connecteur configurées par l'administrateur peuvent être visualisées comme suit:
Depuis la page
> .Cliquez sur le bouton
Les données configurées s'affichent.
Vous pouvez modifier la configuration de votre connecteur SIEM comme suit:
Depuis la page
> .Cliquez sur
.Modifiez les éléments.
Cliquez sur
.
Les informations sont mises à jour.
Suivez le pas-à-pas ci-dessous pour supprimer un connecteur SIEM:
Dans le menu
>Cliquez sur l'icône du connecteur à supprimer.
Cliquez sur
. Confirmez votre choix.
Depuis le menu
> .Activer ou désactiver l'administrateur en cliquant sur le bouton / .
Astuce
Cette possibilité d'activer / désactiver un connecteur SIEM ne fait que suspendre l'envoi des données vers votre SIEM. Pratique en cas de maintenance de votre SIEM par ex.
Lors de la création ou de la modification d'un connecteur SIEM, un test de connectivité au point de terminaison SIEM est réalisé automatiquement à l'enregistrement. Des erreurs peuvent survenir, retrouvez ci-dessous la liste des erreurs et les actions à réaliser.
Invalid request | Requête invalide | La requête est invalide, vérifiez la saisie de l'URL de votre point de collecte. |
Validation failed | Validation échouée | Vérifiez si le type de connecteur choisi est adapté à votre SIEM ainsi que la saisie de l'URL et du jeton. |
Invalid URL caracter | URL caractère invalide | Présence de caractères non supportés dans l'URL, vérifiez votre saisie. |
Cannot reach URL | L'url spécifiée est injoignable | Vérifiez la saisie de l'URL du point de collecte de votre SIEM et/ou assurez vous qu'elle soit bien exposée publiquement sur Internet. |
Unexpected answer | Réponse du serveur inattendue | Le serveur de destination (votre SIEM) a répondu de manière inattendue, vérifiez les logs d'accès de votre SIEM et ajustez sa configuration. |
Cannot reach DB | Connexion DB impossible | La base de données est temporairement inaccessible : réessayez plus tard ou contactez le support si le problème persiste. |
Duplicate connector | Ce connecteur existe déjà | Le connecteur existe déjà, choisissez un autre nom pour le nouveau connecteur |
Invalid API Key | Clé API invalide | La clé d'API est invalide, vérifiez la saisie et/ou générez une nouvelle clé valide dans votre SIEM |
Invalid token | Token invalide | Le token est invalide, vérifiez la saisie et/ou générez un nouveau token valide dans votre |