Configuration des paramètres d'intégration à SIEM
L’intégration à SIEM n’est pas appliquée par défaut. Vous pouvez activer et désactiver l’intégration à SIEM, ainsi que configurer les paramètres pertinents (cf. tableau ci-dessous).
Paramètres d’intégration à SIEM
Paramètre | Valeur par défaut | Description |
Envoyer les événements à un serveur syslog externe via le protocole syslog | Pas appliqué | Vous pouvez activer et désactiver l’intégration à SIEM en cochant ou décochant la case. |
Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe | Pas appliqué | Vous pouvez configurer les paramètres de conservation des copies locales des journaux, après leur envoi au serveur SIEM en cochant ou décochant la case. |
Format des événements | Données structurées | Vous pouvez choisir un de deux formats sous lesquels l’application convertit les événements avant de les envoyer au serveur syslog pour mieux les reconnaître au niveau du serveur SIEM. |
Protocole de connexion | TCP | Vous pouvez configurer la connexion aux serveurs syslog principal et complémentaire via les protocoles UDP ou TCP à l’aide de la liste déroulante. |
Paramètres de connexion au serveur syslog principal | Adresse IP : 127.0.0.1 Port : 514 | Vous pouvez configurer les valeurs de l’adresse IP et du port de connexion au serveur syslog principal à l’aide des champs correspondants. Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4. |
Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible | Pas appliqué | Vous pouvez activer et désactiver l’application du serveur syslog de miroir à l’aide de la case. |
Paramètres de connexion au serveur syslog complémentaire | Adresse IP : 127.0.0.1 Port : 514 | Vous pouvez configurer les valeurs de l’adresse IP et du port de connexion au serveur syslog complémentaire à l’aide des champs correspondants. Vous pouvez indiquer la valeur de l’adresse IP uniquement au format IPv4. |
Pour configurer les paramètres d’intégration à SIEM :
- Dans l’arborescence de la console de l’application, ouvrez le menu contextuel du nœud Journaux et notifications.
- Choisissez l'option Propriétés.
La fenêtre Paramètres des journaux et des notifications s’ouvre.
- Sélectionnez l’onglet Intégration à SIEM.
- Dans le bloc Paramètres d'intégration, cochez la case Envoyer les événements à un serveur syslog externe via le protocole syslog.
- Si besoin, dans le bloc Paramètres d'intégration, cochez la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe.
L’état de la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe n’influence pas les paramètres de conservation des événements des Journaux de sécurité : l’application ne supprime jamais automatiquement les événement des Journaux de sécurité.
- Dans le bloc Format des événements, indiquez le format sous lequel vous voulez convertir les événements au moment du fonctionnement de l’application en vue de leur envoi au serveur SIEM.
Par défaut, l’application exécute la conversion dans un format de données structurées.
- Dans le bloc Paramètres de connexion :
- Indiquez le protocole de connexion à SIEM.
- Dans les champs de même nom, indiquez l’adresse IPv4 et le port de connexion au serveur principal syslog.
- Cochez la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible, si vous voulez que l’application utilise d’autres paramètres de connexion, quand l’envoi des événements sur le serveur syslog principal n’est pas possible.
- Dans les champs de même nom, indiquez l’adresse IPv4 et le port pour la connexion à un serveur syslog complémentaire.
- Cliquez sur le bouton OK.
Les paramètres d’intégration à SIEM configurés seront appliqués.