Création de journaux SIEM

L'historique de Splashtop et les journaux d'événements de session peuvent désormais être exportés pour une analyse plus approfondie avec un logiciel SIEM (Informations de sécurité et gestion des événements) de votre choix.

Exigence: Licence Custom Enterprise Technician

Fonctions prises en charge

Flux de données pris en charge:

Push Mode est pris en charge pour le moment.Tous les changements dans l'historique de l'équipe et les différents types de journaux de session seront poussés de la plateforme de Splashtop vers votre logiciel SIEM pour une inspection plus approfondie.

Journaux à exporter :

  • Journaux de l'historique de l'équipe :
    • Toutes les opérations (my.splashtop.com/my.splashtop.eu > Journaux > Historique)
  • Journaux de session :
    • Session avec et sans surveillance
    • Transfert de fichiers
    • Session de diagnostic
    • Transfert de fichiers hors session, chat et sessions de commande à distance
    • Intégrations PSA
    • Sessions Partager Mon Bureau

Outils SIEM pris en charge :

  • Splunk 
  • Sumo Logic
  • Autres

Formats de journal pris en charge :

  • Schéma Commun Splashtop
  • Schéma Commun Elastic
  • Format Splunk

Notes :

  1. Le mode Pull n’est pas encore pris en charge. À ce stade, vous pouvez utiliser les API Splashtop Open pour récupérer les journaux.
  2. Les journaux liés aux fonctionnalités de gestion des terminaux (profils d'alerte, inventaire système, etc) ne sont pas encore disponibles pour être exportés vers les outils SIEM.
  3. Pour les outils SIEM autres que Splunk ou Sumo Logic, sélectionnez Intégration : Autres et remplissez les informations dans les champs en fonction de votre solution SIEM (my.splashtop.com/my.splashtop.eu > Gestion > Journalisation SIEM > Créer).
Configuration de Sumo Logic

Grâce à la fonction de journalisation SIEM de Splashtop, les utilisateurs peuvent désormais exporter les journaux vers leur propre système de gestion.Veuillez suivre les instructions ci-dessous pour configurer un collecteur à partir de la console Sumo Logic.

1. Connexion ConsoleSumo Logic. Cliquez sur Gestion Des Données.

2. Sous la liste déroulante, cliquez sur l'onglet Collection.

sumo_console-1_fr.png

3. Puis cliquez sur "Ajouter un collecteur" en haut à droite de la console.

sumo_console_fr.png

4. Sélectionnez Collecteur Hébergé.

Collector_type_fr.png

5. Renseignez les informations de votre Collecteur Hébergé.

collector_info_fr.png

6. Confirmez la création.

confirme_fr.png

7. Une fois la création confirmée, Sélectionnez "HTTP Journaux & Indicateurs". 

http_fr.png

8. Complétez les informations de votre HTTP Journaux & Indicateurs, et enregistrez la source.

HTTP_Logs_fr.png

9. Copiez l'adresse source HTTP pour une utilisation ultérieure.

adresse_source_fr.png

10. Connectez-vous à my.Splashtop.com, Allez dans l'onglet Gestion puis cliquez sur Journalisation SIEM. 

SIEM_PCP_fr.png

11. Naviguez jusqu'au bouton Créer, et cliquez sur "Push mode". 

SIEM_PCP_create_fr.png

12. Sélectionnez Sumo Logic comme type d'intégration.

13. Indiquez dans le champ URL l'adresse source HTTP que vous avez copié depuis la console Sumo Logic.

14. Enfin, cliquez sur "Créer".Et vous en aurez fini avec la configuration. 

push_mode_app_fr.png

Une fois la configuration terminée, vous pouvez retrouver les informations de journal sur votre tableau de bord Sumo Logic.

1.Sur la page d'accueil, cliquez sur "Recherche de journal"  

dash_board_fr.png

2. Saisissez les informations du journal, puis cliquez sur l'icône de recherche.

log_search_fr.png

3. Le résultat des informations de journal apparaîtra! 

exemple_fr.png

Configuration de Splunk

Sur Splunk Cloud Platform, allez dans Paramètres>Ajouter des données.

image-20220410-111133_fr.png

Choisissez "Surveillance"> " Collecte d'évènements HTTP"

image-20220410-111753_fr.png

image-20220410-111950_fr.png

Remplissez les informations et choisissez la configuration que vous souhaitez pour le jeton  :

image-20220410-123109_fr.pngimage-20220410-123221_fr.png

image-20220410-123249_fr.png

Une fois le jeton créé, copiez la valeur du jeton et accédez à my.splashtop.com/my.splashtop.eu (Gestion > Journalisation SIEM) pour terminer la configuration  :

Snipaste_2022-04-10_21-16-52_fr.png

image-20220410-123524_fr.png

Lors de la création de l'application en mode push, choisis "Splunk" dans la liste déroulante d'intégration :

image-20220410-123620_fr.png

Et remplissez les informations d'URL HEC et la valeur du jeton pour créer l'application  :

image-20220410-125810_fr.png

*Pour l'URL HEC : 
Pour envoyer des données au collecteur d'événements HTTP sur la plate-forme cloud Splunk, vous devez envoyer des données à l'aide d'un URI spécifique pour HEC.

  •  Le formulaire standard pour l'URI HEC dans les versions d'essais gratuits de Splunk Cloud Platform est le suivant :
    <protocol>://inputs.<host>:<port>/<endpoint>
  • La forme standard de l'URI HEC dans Splunk cloud Platform est la suivante :
    < protocol>://http-inputs-<host>:<port>/<endpoint> 
  • La forme standard de l'URI HEC dans Splunk Cloud Platform sur Google Cloud est la suivante :
    < protocol>://http-inputs.<host>:<port>/<endpoint> 

Remarque :

  • <protocol> peut-être soit http ou https
  • Vous devez ajouter http-inputs- avant <host>
  • <host> est l'instance Splunk Cloud Platform qui exécute HEC
  • <port> est le numéro du port HEC
    • 8088 sur les version d'essais gratuits de Splunk Cloud Platform

    • 443 par défaut sur les instances Splunk Cloud Platform

  • <endpoint> est l'endpoint HEC que vous voulez utiliser.
    Dans de nombreux cas, vous pouvez utiliser l'endpoint /services/collector  pour les événements au format JSON (JavaScript Object Notation) ou l'endpoint services/collector/raw pour les événements bruts

 

Une fois la configuration terminée, vous pouvez trouver les informations de journal sur Splunk en recherchant "Source 'Splashtop'"

2021-11-26_11-02-35_fr.png

 

Que se passe-t-il si j’héberge un serveur ou si j’utilise d’autres outils pour collecter des journaux ? Comment puis-je le configurer ?

Notre application SIEM prend également en charge l’envoi des journaux vers votre propre serveur ou d’autres outils (le fonctionnement de LogScale est confirmé par notre utilisateur, par exemple). Veuillez configurer une application sur le portail web (my.splashtop.com / my.splashtop.eu), et insérez les informations suivantes ci-dessous : 

  • Nom: le nom de votre application SIEM
  • Intégration: sélectionner Autres
  • URL: l’URL de votre serveur ou l’URL d’HEC (HTTP Event Collector)
  • Jeton d’authentification: facultatif, dépend si votre service vérifie le jeton dans l’en-tête des données ou non.
  • Format des journaux: sélectionnez le format dans lequel vous souhaitez recevoir les journaux. (Si l’un d’eux ne fonctionne pas, vous pouvez en essayer d’autres.)
(Facultatif) Quelles sont les IP que je dois mettre sur liste blanche sur mon pare-feu pour autoriser les journaux poussés ?

En général, vous n'avez besoin de configurer ce paramètre pour recevoir les journaux, que lorsque vous hébergez le serveur de journaux. Pour la version cloud de Splunk/Sumologic ou d'autres serveurs SIEM tiers, ce sont eux qui gèrent la gestion du trafic.

Stack Global

  • Portail Web (ceci est pour l'application SIEM en mode push afin d'envoyer du trafic de test)
    • 54.153.1.100
    • 50.18.114.99
    • 35.164.11.141
    • 35.165.21.129
    • 52.37.98.151
  • Serveur de logs
    • 13.52.208.170
    • 54.241.143.104

Stack Europe

  • Portail Web (ceci est pour l'application SIEM en mode push afin d'envoyer du trafic de test)
    • 3.66.52.43
    • 18.157.228.221
    • 18.158.148.33/32
  • Serveur de logs
    • 3.74.33.104
    • 18.193.181.104

 

Utilisateurs qui ont trouvé cela utile : 1 sur 2