L'historique de Splashtop et les journaux d'événements de session peuvent désormais être exportés pour une analyse plus approfondie avec un logiciel SIEM (Informations de sécurité et gestion des événements) de votre choix.
Flux de données pris en charge:
Push Mode est pris en charge pour le moment.Tous les changements dans l'historique de l'équipe et les différents types de journaux de session seront poussés de la plateforme de Splashtop vers votre logiciel SIEM pour une inspection plus approfondie.
Journaux à exporter :
-
Journaux de l'historique de l'équipe :
- Toutes les opérations (my.splashtop.com/my.splashtop.eu > Journaux > Historique)
-
Journaux de session :
- Session avec et sans surveillance
- Transfert de fichiers
- Session de diagnostic
- Transfert de fichiers hors session, chat et sessions de commande à distance
- Intégrations PSA
- Sessions Partager Mon Bureau
Outils SIEM pris en charge :
- Splunk
- Sumo Logic
- Autres
Formats de journal pris en charge :
- Schéma Commun Splashtop
- Schéma Commun Elastic
- Format Splunk
Notes :
- Le mode Pull n’est pas encore pris en charge. À ce stade, vous pouvez utiliser les API Splashtop Open pour récupérer les journaux.
- Les journaux liés aux fonctionnalités de gestion des terminaux (profils d'alerte, inventaire système, etc) ne sont pas encore disponibles pour être exportés vers les outils SIEM.
- Pour les outils SIEM autres que Splunk ou Sumo Logic, sélectionnez Intégration : Autres et remplissez les informations dans les champs en fonction de votre solution SIEM (my.splashtop.com/my.splashtop.eu > Gestion > Journalisation SIEM > Créer).
Grâce à la fonction de journalisation SIEM de Splashtop, les utilisateurs peuvent désormais exporter les journaux vers leur propre système de gestion.Veuillez suivre les instructions ci-dessous pour configurer un collecteur à partir de la console Sumo Logic.
1. Connexion ConsoleSumo Logic. Cliquez sur Gestion Des Données.
2. Sous la liste déroulante, cliquez sur l'onglet Collection.
3. Puis cliquez sur "Ajouter un collecteur" en haut à droite de la console.
4. Sélectionnez Collecteur Hébergé.
5. Renseignez les informations de votre Collecteur Hébergé.
6. Confirmez la création.
7. Une fois la création confirmée, Sélectionnez "HTTP Journaux & Indicateurs".
8. Complétez les informations de votre HTTP Journaux & Indicateurs, et enregistrez la source.
9. Copiez l'adresse source HTTP pour une utilisation ultérieure.
10. Connectez-vous à my.Splashtop.com, Allez dans l'onglet Gestion puis cliquez sur Journalisation SIEM.
11. Naviguez jusqu'au bouton Créer, et cliquez sur "Push mode".
12. Sélectionnez Sumo Logic comme type d'intégration.
13. Indiquez dans le champ URL l'adresse source HTTP que vous avez copié depuis la console Sumo Logic.
14. Enfin, cliquez sur "Créer".Et vous en aurez fini avec la configuration.
Une fois la configuration terminée, vous pouvez retrouver les informations de journal sur votre tableau de bord Sumo Logic.
1.Sur la page d'accueil, cliquez sur "Recherche de journal"
2. Saisissez les informations du journal, puis cliquez sur l'icône de recherche.
3. Le résultat des informations de journal apparaîtra!
Sur Splunk Cloud Platform, allez dans Paramètres>Ajouter des données.
Choisissez "Surveillance"> " Collecte d'évènements HTTP"
Remplissez les informations et choisissez la configuration que vous souhaitez pour le jeton :
Une fois le jeton créé, copiez la valeur du jeton et accédez à my.splashtop.com/my.splashtop.eu (Gestion > Journalisation SIEM) pour terminer la configuration :
Lors de la création de l'application en mode push, choisis "Splunk" dans la liste déroulante d'intégration :
Et remplissez les informations d'URL HEC et la valeur du jeton pour créer l'application :
*Pour l'URL HEC :
Pour envoyer des données au collecteur d'événements HTTP sur la plate-forme cloud Splunk, vous devez envoyer des données à l'aide d'un URI spécifique pour HEC.
-
Le formulaire standard pour l'URI HEC dans les versions d'essais gratuits de Splunk Cloud Platform est le suivant :
<protocol>://inputs.<host>:<port>/<endpoint>
- La forme standard de l'URI HEC dans Splunk cloud Platform est la suivante :
< protocol>://http-inputs-<host>:<port>/<endpoint>
-
La forme standard de l'URI HEC dans Splunk Cloud Platform sur Google Cloud est la suivante :
< protocol>://http-inputs.<host>:<port>/<endpoint>
Remarque :
- <protocol> peut-être soit
http
ouhttps
- Vous devez ajouter
http-inputs-
avant <host> - <host> est l'instance Splunk Cloud Platform qui exécute HEC
- <port> est le numéro du port HEC
-
8088 sur les version d'essais gratuits de Splunk Cloud Platform
-
443 par défaut sur les instances Splunk Cloud Platform
-
- <endpoint> est l'endpoint HEC que vous voulez utiliser.
Dans de nombreux cas, vous pouvez utiliser l'endpoint/services/collector
pour les événements au format JSON (JavaScript Object Notation) ou l'endpointservices/collector/raw
pour les événements bruts
Une fois la configuration terminée, vous pouvez trouver les informations de journal sur Splunk en recherchant "Source 'Splashtop'"
Notre application SIEM prend également en charge l’envoi des journaux vers votre propre serveur ou d’autres outils (le fonctionnement de LogScale est confirmé par notre utilisateur, par exemple). Veuillez configurer une application sur le portail web (my.splashtop.com / my.splashtop.eu), et insérez les informations suivantes ci-dessous :
- Nom: le nom de votre application SIEM
- Intégration: sélectionner Autres
- URL: l’URL de votre serveur ou l’URL d’HEC (HTTP Event Collector)
- Jeton d’authentification: facultatif, dépend si votre service vérifie le jeton dans l’en-tête des données ou non.
- Format des journaux: sélectionnez le format dans lequel vous souhaitez recevoir les journaux. (Si l’un d’eux ne fonctionne pas, vous pouvez en essayer d’autres.)
En général, vous n'avez besoin de configurer ce paramètre pour recevoir les journaux, que lorsque vous hébergez le serveur de journaux. Pour la version cloud de Splunk/Sumologic ou d'autres serveurs SIEM tiers, ce sont eux qui gèrent la gestion du trafic.
Stack Global
- Portail Web (ceci est pour l'application SIEM en mode push afin d'envoyer du trafic de test)
- 54.153.1.100
- 50.18.114.99
- 35.164.11.141
- 35.165.21.129
- 52.37.98.151
- Serveur de logs
- 13.52.208.170
- 54.241.143.104
Stack Europe
- Portail Web (ceci est pour l'application SIEM en mode push afin d'envoyer du trafic de test)
- 3.66.52.43
- 18.157.228.221
- 18.158.148.33/32
- Serveur de logs
- 3.74.33.104
- 18.193.181.104