Gérer des Log Connector
A propos des Log Connector
Le Log Connector permet d’exporter les logs Olfeo SaaS vers vos outils de centralisation, d’analyse et de supervision. Cet export contribue à une surveillance continue en facilitant l’identification des événements de sécurité, accélère la détection des anomalies et améliore la réponse aux incidents.
Olfeo SaaS permet de créer depuis l'interface d'administration un connecteur vers vos puits de logs ou votre SIEM pour envoyer des journaux de navigation de vos utilisateurs et vous permettre de mettre en place une détection d'évènements de sécurité propre à votre contexte d'usage.
Retrouvez ci dessous toutes les informations pour créer et gérer un Log Connector depuis votre compte Olfeo SaaS.
Intégrations disponibles avec Olfeo SaaS
Actuellement, le Log Connector d'Olfeo SaaS vous permet de connecter les produits suivants :
- Splunk Enterprise, SaaS ou Self-hosted
- Elastic Enterprise- - Elastic Basic
- Sekoia
Vous utilisez un autre produit ? Contactez-nous pour échanger à propos de son intégration dans Olfeo SaaS.
Prérequis
Si votre collecteur de logs ou votre SIEM est auto hébergé, le point de collecte des données doit être exposé et accessible depuis internet
Licence requise
L'usage de cette fonctionnalité est soumise à une licence spécifique. Pour obtenir plus d'informations, veuillez contacter votre interlocuteur commercial.
Gérer un Log Connector
Dans le menu >
Cliquez sur le bouton :
Renseignez les informations générales:
Nom du connecteur (< à 60 caractères)
Description
Type de connecteur
Cliquez sur suivant.
Renseignez les informations de configuration du point de collecte de votre SIEM/collecteur de logs :
URL de point de collecteCopiez l'URL de collecte publique en vous appuyant sur la documentation de Sekoia : https://intake.sekoia.io/jsons
Note
L’URL de collecte Sekoia est publique.
Collez l'URL de collecte dans le champs de saisie URL endpoint.
Avertissement
Attention à bien ajouter /jsons à la fin de l'URL pour spécifier le format des données envoyées. Suivre les instructions sur Sekoia.
Jeton d'authentificationAvertissement
La commande suivante est exécutée sous Linux. la même opération est réalisable sous Windows ou macOS avec des adaptations.
Dans le terminal de commande de votre ordinateur :
Collez votre chaîne de caractères :
echo -n ":REPLACE_BY_INTAKE_KEY" | base64Attention
Attention à bien replacer la chaîne de caractères :
REPLACE_BY_INTAKE_KEYpar l'intake key générée par Sekoia.Exemple 4. Commande dans le terminalSupposons que :
Intake key : 78Guihid-9ZE456Z-ghjk213
La commande dans le terminal serait :
echo -n ":78Guihid-9ZE456Z-ghjk213" | base64Copiez le résultat obtenu.
Dans la page configuration de votre SIEM :
Collez le résultat dans le champs de saisie Token d'authentification.
[Optionnel] Cliquez sur le bouton
.Note
Un message en haut à droite de votre navigateur s'affichera pour vous annoncer si la connexion fonctionne ou non.
Cliquez sur suivant.
Renseignez les données envoyées : vous pouvez activer ou désactiver l'envoi des données nominatives (email et nom d'affichage des utilisateurs).
Cliquez sur . Une validation de l'URL et du jeton est faite automatiquement.
Votre Log Connector est configuré.
Avis
Par défaut, le Log Connector créé est inactif : pensez à l’activer pour envoyer les logs.
Les données du connecteur configurées par l'administrateur peuvent être visualisées comme suit:
Depuis la page > .
Cliquez sur le bouton
(Visualiser).
Les données configurées s'affichent.
Vous pouvez modifier la configuration de votre Log Connector comme suit:
Depuis la page > .
Cliquez sur le bouton
().Modifiez les éléments.
Cliquez sur .
Les informations sont mises à jour.
Suivez le pas-à-pas ci-dessous pour supprimer un Log Connector :
Dans le menu >
Cliquez sur l'icône
du connecteur à supprimer.Cliquez sur . Confirmez votre choix.
Depuis le menu > .
Activer ou désactiver l'administrateur en cliquant sur le bouton
/ 
.
Astuce
Cette possibilité d'activer / désactiver un Log Connector ne fait que suspendre l'envoi des données vers votre Log Connector. Pratique en cas de maintenance de votre Log Connectorpar ex.
Lors de la création ou de la modification d'un Log Connector, un test de connectivité au point de terminaison de votre SIEM ou collecteur de logs est réalisé automatiquement à l'enregistrement. Des erreurs peuvent survenir, retrouvez ci-dessous la liste des erreurs et les actions à réaliser.
Invalid request | Requête invalide | La requête est invalide, vérifiez la saisie de l'URL de votre point de collecte. |
Validation failed | Validation échouée | Vérifiez si le type de connecteur choisi est adapté à votre Log Connector ainsi que la saisie de l'URL et du jeton. |
Invalid URL caracter | URL caractère invalide | Présence de caractères non supportés dans l'URL, vérifiez votre saisie. |
Cannot reach URL | L'url spécifiée est injoignable | Vérifiez la saisie de l'URL du point de collecte de votre Log Connector et/ou assurez vous qu'elle soit bien exposée publiquement sur Internet. |
Unexpected answer | Réponse du serveur inattendue | Le serveur de destination (votre Log Connector) a répondu de manière inattendue, vérifiez les logs d'accès de votre Log Connector et ajustez sa configuration. |
Cannot reach DB | Connexion DB impossible | La base de données est temporairement inaccessible : réessayez plus tard ou contactez le support si le problème persiste. |
Duplicate connector | Ce connecteur existe déjà | Le connecteur existe déjà, choisissez un autre nom pour le nouveau connecteur |
Invalid API Key | Clé API invalide | La clé d'API est invalide, vérifiez la saisie et/ou générez une nouvelle clé valide dans votre Log Connector |
Invalid token | Token invalide | Le token est invalide, vérifiez la saisie et/ou générez un nouveau token valide dans votre |