Collecte de journaux : Les bases

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente le fonctionnement de la collecte des logs et comment la déployer. Elle répertorie les protocoles de collecte pris en charge, décrit l'implémentation de base et illustre comment configurer et déployer la collecte des logs.

Fonctionnement de la collecte de logs

Le service Log Collector collecte des logs depuis des sources d'événements dans tout l'environnement IT dans une organisation et transfère les logs à d'autres composants Security Analytics. Les logs et le contenu descriptif sont stockés sous forme de métadonnées pour une utilisation dans des procédures d'enquête et des rapports.

Les sources d'événements sont les ressources sur le réseau, telles que des serveurs, des commutateurs réseau, des routeurs, des baies de stockage, des systèmes d'exploitation et des pare-feu. Dans la plupart des cas, votre équipe de technologies de l'information (IT) configure des sources d'événements pour envoyer leurs logs au service Log Collector et l'administrateur Security Analytics configure le service Log Collector pour interroger des sources d'événements et récupérer leurs logs. Par conséquent, le Log Collector reçoit tous les logs sous leur forme d'origine.

Protocoles de collection pris en charge

Le service Log Collector prend en charge les protocoles de collection suivants :

                                                     
Protocole de collecteDescription :
AWS

Collecte des événements depuis Amazon Web Services (AWS) CloudTrail.  CloudTrail enregistre spécifiquement les appels API AWS pour un compte.
Pour plus d’informations, voir le Les bases du Guide de configuration de la collecte AWS (CloudTrail).

Pour plus d’informations sur la configuration et déploiement d’un Log Collector distant dans un environnement AWS, voir Étape 1  Se connecter à AWS et créer une instance dans le Guide Configurer et déployer le service Remote Log Collector dans AWS.

Pour plus d’informations sur le déploiement d’un Log Collector distant dans un environnement Azure, voir Étape 1 - Se connecter à Azure et créer une machine virtuelle dans le Guide Déployer Remote Log Collector dans Azure.

Check Point

Collecte des événements issus de sources d'événements Check Point à l'aide d'une interface OPSEC LEA.  OPSEC LEA est l'APIE Check Point Operations Security Log Export qui facilite l'extraction des fichiers log.
Pour plus d’informations, voir le Les bases dans le Guide de configuration de Check Point Collection.

Fichier

Collecte des événements depuis des fichiers logs. Les sources d'événements génèrent des fichiers log qui sont transférés à l'aide d'une méthode de transfert de fichiers sécurisés vers le service Log Collector.
Pour plus d’informations, voir le Les bases dans le Guide de configuration de File Protocol Collection.

Netflow

Accepte les événements Netflow v5 et Netflow v9. 
Pour plus d’informations, voir le Les bases dans le Guide de configuration de la collecte Netflow.

ODBCCollecte les événements des sources d'événements qui stockent les données d'audit dans une base de données à l'aide de l'interface logicielle ODBC (Open Database Connectivity).
Pour plus d’informations, voir le Les bases dans le Guide de configuration d'ODBC Collection.
SDEE

Collecte les messages IDS (Intrusion Detection System) et IPS (Intrusion Prevention Service).
Pour plus d’informations, voir le Les bases dans le Guide de configuration de SDEE Collection.

Trap SNMPAccepte les traps SNMP.
Pour plus d’informations, voir le Les bases dans le Guide de configuration de SNMP Collection.
Syslog

Accepte des messages de sources d'événements qui émettent des messages Syslog.

VMwareCollecte des événements issus d'une infrastructure virtuelle VMware.
Pour plus d’informations, voir le Les bases dans le Guide de configuration de VMware Collection.
Windows

Collecte des événements de machines Windows prenant en charge le modèle Microsoft Windows. Windows 6.0 est un framework de consignation et de suivi des événements compris dans les systèmes d'exploitation à partir de Microsoft Windows Vista et Windows Server 2008.

Pour plus d’informations, voir le Les bases dans le Guide de configuration de Windows Collection.

Windows d'ancienne génération

Collecte des événements depuis :

  • D'anciennes versions de Windows comme Windows 2000 et Windows 2003 et collecte depuis des sources d'événements Windows qui sont déjà configurées pour une collection enVision sans devoir les reconfigurer.
  • Sources d'événements d'appliances ONTAP NetApp afin que vous puissiez maintenant collecter et analyser des fichiers NetApp evt.
  • Pour plus d’informations, voir le Les bases dans le Guide de configuration de la collecte Windows d'ancienne génération et NetApp.

Remarque : Vous installez le Collector Windows d'ancienne génération Security Analytics sur un serveur physique ou virtuel Windows 2008 R2 SP1 64 bits avec le fichier SALegacyWindowsCollector-numéro-de-version.exe. Reportez-vous au Guide de configuration de Windows Collection pour obtenir des instructions détaillées sur la façon de déployer le collecteur Windows existant.

Cette rubrique décrit les tâches de base requises que vous devez réaliser avant de commencer à collecter des événements en utilisant le service Security Analytics Log Collector. Reportez-vous au Guide de déploiement de Log Collection pour obtenir des instructions sur la façon de configurer des déploiements plus élaborés.

Implémentation de base

Pour implémenter la Log Collection, vous devez procéder comme suit :

  1. Configurer un Log Collector localement sur un Log Decoder (à savoir, un collecteur local). Vous pouvez également configurer des Log Collectors dans autant de sites distants (à savoir collecteurs distants) que vous en avez besoin pour votre entreprise.
  2. Configurer :

    • Log Collection Security Analytics pour collecter des événements depuis des sources d'événements
    • Sources d'événements pour envoyer des événements au service Log Collection Security Analytics.

Rôles de Collectors locaux et distants

Le collecteur local (LC) est le service Log Collector s'exécutant sur un hôte Log Decoder.  Dans un scénario de déploiement local, le service Log Collector est déployé sur un hôte Log Decoder, avec le service Log Decoder. Log Collection depuis plusieurs protocoles tels que Windows, ODBC etc, est réalisée via le service Log Collector, et des événements sont transférés au service Log Decoder. Le collecteur local envoie toutes les données d'événements collectées au service Log Decoder.

Vous devez avoir au moins un Local Collector pour collecter des événements non Syslog.

Un collecteur distant (RC), également appelé Virtual Log Collector (VLC), est un service Log Collector s'exécutant sur une machine virtuelle autonome. Les collecteurs distants sont optionnels et doivent envoyer les événements qu'ils collectent à un collecteur local. Le déploiement de collecteur distant est idéal lorsque vous devez collecter des logs depuis des sites distants. Les collecteurs distants compressent et chiffrent les logs avant de les envoyer à un collecteur local.

Déploiement et configuration de Log Collection

La figure suivante illustre les tâches de base que vous devez réaliser pour déployer et configurer Log Collection. Pour déployer Log Collection, vous devez configurer un Collector local. Vous pouvez également déployer un ou plusieurs collecteurs distants. Une fois que vous déployez Log Collection, vous devez configurer les sources d’événements dans Security Analytics et sur les sources d’événements elles-mêmes. Le schéma suivant illustre le Collector local avec un Collector distant qui pousse les événements vers le Collector local.

Configurez des collecteurs locaux et distants.

Le Collector local est le service Log Collector s'exécutant sur l'hôte Log Decoder.

Un Collector distant est le service Log Collector s'exécutant sur une machine virtuelle ou un serveur Windows dans un site distant.

Basic_LC_Deployment_Config2.png

Configurer des sources d'événements :

  • Configurez des protocoles de collection dans Security Analytics.
  • Configurez chaque source d'événements pour communiquer avec le Log Collector de Security Analytics.  

Ajout d'un collecteur local et d'un collecteur distant à Security Analytics

La figure suivante montre comment ajouter un collecteur local et un collecteur distant pour Security Analytics.

AddRCLA1(simple).png

Accédez à la vue Services.

AddRCLA2(simple).png

Ouvrez la boîte de dialogue Ajouter un service.

 

AddRCLA3(simple)Basics.png

Définissez les détails du service Log Collection.

Sélectionnez Tester la connexion pour vérifier que votre collecteur local ou distant est ajouté.

Configuration de Log Collection

Vous choisissez le Log Collector, à savoir un Collector local (LC) ou un Collector distant (RC), pour lequel vous voulez définir des paramètres dans la vue Services. La figure suivante indique comment accéder à la vue Services, sélectionner un service Log Collector, puis afficher l'interface de paramètre de configuration pour ce service.

AddRCLA1(simple).png

1 Accédez à la vue Services.

LCParamConfigNav.png

2 Sélectionnez un service de collecte de logs.

3 Cliquez sur AdvcdExpandBtn.PNG sous Actions, puis sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de Log Collection.

LCConfigTabs.png

4 Définissez les paramètres globaux de Log Collection dans l' 
onglet Général.

5 Pour un :

  • collecteur local, Security Analytics affiche l'onglet Collecteurs distants. Sélectionnez les collecteurs distants à partir desquels le collecteur local extrait les événements dans cet onglet.
  • collecteur distant, Security Analytics affiche lesCollecteurs locaux. Sélectionnez les collecteurs locaux à partir desquels le collecteur distant extrait les événements dans cet onglet.

6 Remplacez les fichiers de configuration par des fichiers texte dans l'onglet Fichiers.

7 Définissez les paramètres du protocole de collecte dans l'onglet Sources d'événements.

8 Définissez le lockbox, les clés de chiffrement et les certificats dans l'onglet Paramètres.

9 Définissez les paramètres du service Appliance dans l'onglet Configuration du service Appliance.

Schéma du flux de données

Vous utilisez les données de log collectées par le service Log Collector pour surveiller la santé de votre entreprise et mener des procédures d'enquête. La figure suivante illustre la manière dont les données circulent dans Security Analytics Log Collection pour la procédure d'enquête.

LC_Data_Flow.png

Next Topic:Procédures
You are here
Table of Contents > Mise en route de Log Collection > Les bases

Attachments

    Outcomes