Collecte SDEE : Paramètres de configuration

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit les paramètres des sources d'événements SDEE (Security service Event Exchange).

Utilisez l'option SDEE dans l'onglet Sources de la vue Configuration Log Collector pour ajouter et maintenir les paramètres de configuration pour collecter des données du système de détection des intrusions (IDS, Intrusion Detection System) (par exemple, les messages Cisco Secure IDS) mis en forme au standard SDEE.

Pour accéder aux paramètres de configuration des sources d'événements SDEE :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements, sélectionnez SDEE/Config  dans le menu déroulant.

SDEEEvSrcTb.png

La vue SDEE/Config sous l'onglet Sources d'événements contient deux panneaux : Catégories et sources d'événements

Panneau Catégories d'événements

Le panneau Catégories d'événements permet d'ajouter ou de supprimer les types de sources d'événements appropriées.

                         
FonctionnalitéDescription
Icon-Add.png Affiche la boîte de dialogue Types de sources d'événements disponibles qui permet de sélectionner le type de source d'événement pour lequel vous souhaitez définir les paramètres.
Icon_Delete_sm.png Supprime les types de sources d'événements sélectionnés à partir du panneau Catégories d'événements.
Checkbox.png Sélectionne les types de sources d'événements.
NameAffiche le nom des types de sources d'événements que vous avez ajoutés.

Boîte de dialogue Types de sources d'événements disponibles

La boîte de dialogue Types de sources d'événements disponibles affiche la liste des types de sources d'événements pris en charge.

                         
FonctionnalitéDescription
Checkbox.png Sélectionne le type de source d'événement que vous souhaitez ajouter.
TypeAffiche les types de sources d'événements qui sont disponibles à l'ajout.
AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute le type de source d'événement sélectionné dans le panneau Catégories d'événements.

Panneau Sources

Utilisez ce panneau pour passer en revue, ajouter, modifier et supprimer des sources d'événements.

Barre d'outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                               
FonctionnalitéDescription :
Icon-Add.png

Affiche la boîte de dialogue Ajouter une source dans laquelle vous pouvez définir les paramètres de l'hôte de pare-feu.

Icon_Delete_sm.png Supprime l'hôte que vous avez sélectionné.
icon-edit.png

Ouvre la boîte de dialogue Modifier la source permettant de modifier les paramètres de la source d'événements sélectionnée.

Sélectionnez plusieurs sources d'événements, puis cliquez sur icon-edit.png pour ouvrir la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage des sources d'événements sélectionnées.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ImportSourceIcon.PNG

Ouvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc des hôtes contenus dans un fichier CSV.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ExportSourceIcon.PNG

Crée un fichier .csv contenant les paramètres des hôtes sélectionnés.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

Boîte de dialogue Ajouter ou modifier la source

Dans cette boîte de dialogue, ajoutez ou modifiez un répertoire de fichiers pour la source d'événement sélectionnée.

                       
FonctionnalitéDescription :
Paramètres d'une sourceAffiche les paramètres renseignés avec les valeurs par défaut. Saisissez ou modifiez les valeurs appropriées.
AnnulerFerme la boîte de dialogue sans ajouter de répertoire de fichiers ni enregistrer les valeurs de paramétrage des sources d'événement sélectionnées.
OKDans la boîte de dialogue Ajouter une source, ajoutez le répertoire de fichiers et ses paramètres. Dans la boîte de dialogue Modify Sources, applique les modifications des valeurs de paramétrage pour la source d'événement sélectionnée.

Paramètres Ajouter ou modifier la source

Le tableau suivant fournit les descriptions des paramètres de la source.

                                                                                                          
NameDescription :
Basique
Nom *Nom de la source d'événement.
Username*Nom d'utilisateur pour l'authentification avec la source d'événement.
Mot de passe *

Mot de passe pour l'authentification avec la source d'événement.

Attention : Le mot de passe est chiffré en interne et s'affiche dans sa forme chiffrée.

Adresse *Adresse IP de la source d'événement qui est le capteur du système de détection d'intrusion.
EnabledCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
Nom du certificat

Nom du certificat des connexions sécurité à utiliser lorsque le mode de transport est de type https. Les valeurs valides sont les certificats actuellement présents dans votre magasin de certificats de confiance, créé via l'onglet Paramètres.

Remarque : Si vous ne remplissez pas ce champ, Security Analytics ne réalise pas la validation.

Avancé 
PortNuméro de port. Un numéro de port valide est un nombre d'une plage comprise entre 1 et 65535 (443 est la valeur par défaut).
Version SSL

Version d'SSL configurée pour la source de communication de la source d'événement.  Les valeurs autorisées sont les suivantes :

  • tlsv1 (par défaut)
  • sslv2
  • sslv3
  • sslv2
Inclure des données d'événements brutes

Cochez cette case pour inclure les données XML brutes de l'événement, renvoyées par la source d'événement SDEE dans les données d'événement envoyées au Log Decoder. Par défaut, l'option n'est pas sélectionnée.

Remarque : Ce paramètre n'est pris en charge que pour les données de contenu 3.0.

Enregistrer les fichiers XML brutsCochez cette case pour envoyer les données brutes vers /var/netwitness/logcollector/runtime/sdee/saved_raw_events. Par défaut, l'option n'est pas sélectionnée.
Quota de fichiers enregistrésQuantité d'espace disponible pour les fichiers XML enregistrés. La valeur valide est le nombre de mégaoctets, kilo-octets ou gigaoctets d'espace que vous souhaitez allouer. Security Analytics adopte la valeur par défaut de 100 mégaoctets.
Types d'événements d'inscription

(S'applique uniquement lorsque vous faites une première demande d'abonnement.)

Filtre les événements pour les types d'événements d'abonnement spécifiés (par exemple, les alertes du système de détection d'intrusion). La valeur par défaut est evldsAlert.

Forcer l'inscription

(S'applique uniquement lorsque vous faites une première demande d'abonnement.)

Cochez cette case si vous souhaitez que le serveur SDEE crée un événement d'abonnement lorsque le nombre maximum d'abonnements est souscrit. Cette case à cocher est activée par défaut.

Remarque : Le serveur ferme l'abonnement existant pour faire place au nouveau.

Filtre de gravité pour les inscriptions

(S'applique uniquement lorsque vous faites une première demande d'abonnement.)

Tous les événements générés par une source d'événement SDEE se voient attribuer un niveau de gravité. Utilisez ce paramètre pour filtrer les messages d'événements par gravité. Si ce champ reste vide, Security Analytics collecte tous les événements, quel que soit leur niveau de gravité.
Par exemple, si vous souhaitiez collecter des événements dont le niveau de sécurité est moyen (medium) et élevé (high) uniquement, vous devez spécifier la chaîne de caractères suivante dans ce paramètre :
medium+high

Décalage du temps des inscriptions

(S'applique uniquement lorsque vous faites une première demande d'abonnement.)

Par défaut, à partir du moment de l'abonnement. Ce paramètre vous permet de spécifier jusqu'à quel moment remonter (en secondes) pour commencer à extraire les événements.

Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, le collecteur attend la fin de l'opération. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.

Nb max. d'interrogations d'événementsNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Délai d'expiration de la requêteValeur (en secondes) passée à la source d'événement SDEE indiquant au serveur combien de temps attendre lorsqu'il n'y a pas de données.
Paramètres d'URLAjoute des paramètres à la chaîne URL (par exemple, /cgi-bin/sdee-server.cgi).
Chemin URLChemin URL pour le serveur SDEE.
Protocole URL

Les valeurs autorisées sont les suivantes :

  • http
  • https
Debug

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement. Les valeurs autorisées sont les suivantes :
  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.
Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés.
Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).
La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Tâches

Étape 1. Configurer des sources d'événements SDEE dans Security Analytics

You are here
Table of Contents > Guide de configuration de SDEE Collection > Référence - Paramètres de configuration des sources d'événements SDEE

Attachments

    Outcomes