Reporting : Configurer Reporting Engine pour envoyer des messages Syslog via TCP/TLS pour les alertes

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit les instructions permettant de configurer Reporting Engine pour envoyer des messages Syslog via TCP avec Transport Layer Security (TLS) lorsqu'une alerte est déclenchée.

Conditions préalables

Vérifiez que vous avez installé et configuré un serveur Syslog qui prend en charge TCP/TLS dans votre environnement. Par exemple, WinSyslog.

Procédure

Effectuez la procédure suivante pour configurer le Reporting Engine pour envoyer une alerte Syslog via TCP avec TLS (Transport Layer Security) :

  1. Obtenez les certificats requis.
  2. (Facultatif) Convertissez le format du certificat PEM en JKS.
  3. Copiez les paires de clés générées pour les serveurs Reporting Engine et Syslog.
  4. Configurer la remise des messages d'alerte dans Security Analytics

Tâche 1 : Obtenir les certificats requis

Effectuez la procédure suivante pour générer les certificats permettant de configurer Reporting Engine pour l'envoi de messages Syslog via TCP avec TLS :

  1. Générez un certificat de l'Autorité de certification (AC). Pour plus d'informations, reportez-vous à la rubrique http://www.rsyslog.com/doc/tls_cert_ca.html.

Remarque : Vous pouvez ignorer cette étape si vous avez déjà un certificat AC en cours d'exécution dans votre environnement.

  1. Générez la paire de clés (clé publique et clé privée) pour le serveur Reporting Engine. Pour plus d'informations, reportez-vous à la rubrique http://www.rsyslog.com/doc/tls_cert_machine.html.
  2. Générez la paire de clés pour le serveur Syslog. Pour plus d'informations, reportez-vous à la rubrique http://www.rsyslog.com/doc/tls_cert_machine.html.

Remarque : Vous pouvez ignorer cette étape si vous avez déjà configuré la sécurité pour le serveur Syslog à l'aide de la clé et des certificats générés par la même AC.

Tâche 2 : (Facultatif) Convertir le format du certificat PEM en JKS.

Si vous avez généré les certificats au format PEM (Privacy Enhanced Mail), vous devez les convertir au format JKS (Java KeyStore). Effectuez les opérations suivantes sur la machine où vous avez installé le serveur Reporting Engine.
Pour convertir les certificats au format PEM en certificats JKS :

  1. Convertissez les certificats actuellement au format PEM en un fichier PKCS. À l'invite de commandes, saisissez la commande suivante, puis appuyez sur la touche ENTRÉE :
    openssl pkcs12 -export -in <certificate.pem> -inkey <private_key.pem> -out <sample>.p12 -name re
    -CAfile ca.pem -caname root

    Où :
    • certificate.pem est le certificat au format PEM.
    • private_key.pem est la clé privée au format PEM.
    • sample est le fichier PKCS12 créé lors de la conversion.
    • ca.pem est le certificat d'autorité de certification (AC).
  2. Convertissez le fichier PKCS12 en certificat au format JKS pour créer le magasin de clés. À l'invite de commandes, saisissez la commande suivante, puis appuyez sur la touche ENTRÉE :
    keytool -importkeystore -destkeystore<re-keystore.jks> -srckeystore <sample>.p12 -srcstoretype PKCS12 -alias re
    Où :
    • re-keystore.jks est le certificat au format JKS.
    • sample est le fichier PKCS12 créé lors de la conversion.
    • ca.pem est le certificat d'autorité de certification (AC).
  3. Ajoutez le certificat AC (ca.pem) au magasin d'approbations. À l'invite de commandes, saisissez la commande suivante, puis appuyez sur la touche ENTRÉE :
    keytool -importcert -alias myca -file <ca.pem> -keystore <re-truststore.jks>
    Où :
    • ca.pem est le certificat d'autorité de certification (AC).
    • re-truststore.jks est le certificat d’autorité de certification au format JKS.

Remarque : Veillez à relever les mots de passe que vous fournissez pour le magasin de clés et le magasin d'approbations lors de la conversion. Vous devez fournir ces mots de passe lorsque vous activez SECURE_TCP dans Security Analytics.

Tâche 3 : Copier les paires de clés générées

Copiez manuellement les paires de clés (issues du magasin de clés et du magasin d'approbations) de l'emplacement où vous les avez générées vers l'emplacement /home/rsasoc/rsa/soc>/reporting-engine/keystores/ sur le serveur Reporting Engine.

Tâche 4 : Configurer la remise des messages d'alerte dans Security Analytics

Configurez Reporting Engine pour envoyer des messages Syslog sur TCP avec Transport Layer Security (TLS) lorsqu'une alerte est déclenchée par l'activation de SECURE_TCP sous l'onglet Actions de sortie pour le service Reporting Engine au sein de la vue Configuration des services du Reporting Engine. Pour plus d’informations, consultez la rubrique Actions de sortie du Reporting Engine dans le Guide de configuration de l'hôte et des services.

Previous Topic:Rechercher une alerte
You are here
Table of Contents > Utilisation des alertes dans le module Reporting > Configurer Reporting Engine pour envoyer des messages Syslog via TCP/TLS pour les alertes

Attachments

    Outcomes