Introduction
Votre organisation peut utiliser des outils réseau qui génèrent des syslogs, le moyen standard par lequel les dispositifs réseau créent, envoient et centralisent les événements survenant dans un système. Une fois collectés, ces syslogs peuvent être utilisés pour surveiller et valider l’activité en cours, ou pour enquêter sur des incidents passés ou en cours.
Nos appliances (voir la section Disponibilité et support ci-dessous) sont capables d’ingérer ces syslogs afin d’enrichir la visibilité de la surveillance de Field Effect, et dans certains cas, de créer des objets de réponse active (ARO) à partir des données syslog. Cette fonctionnalité est désormais activée par défaut et disponible pour les clients souhaitant en bénéficier.
Bien que nous puissions surveiller et générer des rapports (ARO) à partir de données syslog provenant de diverses sources, il convient de noter que nous observons rarement une forte valeur en matière de sécurité dans la surveillance de ces types de sources. Grâce à notre agent de point de terminaison, notre capteur réseau et nos intégrations cloud, nous disposons généralement d’une excellente visibilité sur l’environnement, et ces sources de journaux ont tendance à générer du bruit en matière d’alertes.
L’ingestion de syslogs est désormais activée par défaut pour nos appliances, qu’elles soient physiques ou virtuelles, principales ou distantes. Pour en savoir plus, consultez notre contenu du Centre d’aide sur les appliances.
Disponibilité et support
Actuellement, les appliances virtuelles hébergées par Field Effect ne prennent pas en charge l’ingestion de syslogs. Toutefois, cela peut être réalisé en utilisant un capteur compact en complément de l’appliance virtuelle.
Les appliances virtuelles hébergées par le client prennent en charge l’ingestion de syslogs.
Envoi de syslogs à votre appliance
Pour profiter de l’ingestion de syslogs avec votre appliance, veuillez envoyer vos syslogs à l’adresse IP de votre appliance via le port UDP 5514.
Une fois cette configuration effectuée dans votre environnement, contactez support@fieldeffect.com pour confirmer avec notre équipe que votre appliance reçoit bien les syslogs.
Activation des AROs basés sur les syslogs
Nous disposons actuellement d’un nombre limité d’analyses pour les données syslog ingérées, mais il est possible d’en ajouter si certains enregistrements syslog sont de bons indicateurs d’événements de sécurité. Actuellement, les utilisateurs de SonicWall, Fortinet et Sophos peuvent activer la création d’AROs à partir de ces syslogs.
SonicWall :
- Génération d’alertes basée sur les connexions au pare-feu.
- Connexion réussie
- Connexion échouée
- Volume élevé de connexions échouées
Ces alertes sont souvent utilisées par les clients ayant des exigences de conformité.
Fortinet :
Les AROs suivants peuvent être générés :
- Plus de 5 tentatives VPN infructueuses
- Tentatives VPN en dehors d’une géolocalisation spécifiée
- Avertissement de blocage IPS
- Alertes de virus
Sophos :
Les AROs suivants peuvent être générés :
- Événement de connexion
- Détection de force brute
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article