IBM Security QRadar Version Guide d utilisation des sources de journal

of 59
273 views
PDF
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Document Description
IBM Security QRadar Version Guide d utilisation des sources de journal IBM Corp. 2012, 2013 Droits limités - Gouvernement des Etats-Unis - L'utilisation, la duplication ou la diffusion du présent
Document Share
Document Transcript
IBM Security QRadar Version Guide d utilisation des sources de journal IBM Corp. 2012, 2013 Droits limités - Gouvernement des Etats-Unis - L'utilisation, la duplication ou la diffusion du présent document est limitée par l'administration générale des services (GSA ADP) (contrat avec IBM). CONTENU A PROPOS DE CE MANUEL Conventions de la documentation Documentation technique Contacter le service clients Marques PRÉSENTATION GESTION DE SOURCES DE JOURNAL Configuration de QRadar pour recevoir des événements Gestion delog Sources Affichage de sources de journal Ajout d'une source de journal Edition d'un Log Source Activation/Désactivation d'une source de journal Suppression d'une source de journal Ajout de plusieurs sources de journal Modification de plusieurs sources de journal Protocols de configuration Syslog JDBC JDBC - SiteProtector Sophos Enterprise Console - JDBC*********************************************************** Juniper Networks NSM OPSEC/LEA SDEE SNMPv SNMPv SNMPv Sourcefire Defense Center Estreamer Fichier journal Microsoft Security Event Log Microsoft Security Event Log Custom Microsoft Exchange Microsoft DHCP Microsoft IIS EMC VMWare Oracle Database Listener Cisco Network Security Event Logging Protocole PCAP Syslog Combination Protocole transféré Protocol TLS Syslog Protocole Juniper Security Binary Log Collector Protocole UDP Multiline Syslog Regroupement des sources de journal Affichage des sources de journal utilisant des groupes Création d'un groupe Modification d'un groupe Copie d'une source de journal vers un autre groupe Suppression d'une source de journal d'un groupe Définition de la commande d'analyse syntaxique de la source de journal GESTION DE L'EXTENSION DE SOURCE DE JOURNAL A propos des Extensions de source de journal La création d'un document sur l'extension de source de journal Affichage d'extensions de la source de journal Ajout d'une extension de source de journal Editer une extension de source de journal Copie d'une extension de source de journal Suppression d'une extension de source de journal Activation/Désactivation d'une extension de source de journal Génération de rapports d'extension de source de journal A B C CRÉATION D'UN DOCUMENT D'EXTENSIONS A propos des documents d'extension Comprendre des éléments de document d'extension Groupes de correspondance Création de documents d'extension Ecriture d'un document d'extension complet Téléchargement de documents d'extension Résolution de problèmes spécifiques d'analyse syntaxique ID de type de source SOURCES DU PROTOCOLE D'INSTALLATION Planification automatique des mises à jour Affichage des mises à jour en attente Installation d'un protocole unique Installation d'un ensemble de protocoles CONFIGURATION DU MODÈLE DCOM Before You Begin Configuration de Windows Server Services DCOM et WMI requis de Windows Server Activation de DCOM de Windows Server Configuration des communications DCOM sous Windows Server Configuration des comptes utilisateur Windows Server 2003 pour DCOM Configuration de l'accès utilisateur WMI pour Server Configuration de Windows Server Services DCOM et WMI requis pour Windows Server Activation de DCOM pour Windows Server Configuration des communications DCOM pour Windows Server Configuration des comptes utilisateur Windows Server 2008 pour DCOM Configuration du pare-feu Windows Server Configuration de l'accès utilisateur WMI pour Windows Server Configuration de Windows Server 2008 R2 64-bit Trusted Installer Vérification de vos communications WMI INDEX INDEX A PROPOS DE CE MANUEL Le Guide d utilisation de sources de journal vous fournit des informatios relatives à la configuration des sources de journal et des protocoles associés à QRadar. Les sources de jounal vous permettent d intégrer des évènements et des journaux à partir de périphériques extérieurs (Device Support Modules (DSM)) avec QRadar et le gestionnaire de journal QRadar. Conventions de la documentation Les conventions suivantes s'appliquent dans ce manuel : Indique que la procèdure contient une seule instruction. NOTE Indique que les informations fournies viennent compléter la fonction ou l'instruction associée. ATTENTION Indique que les informations sont capitales. Une mise en garde vous avertit de l'éventuelle perte de données ou d'un éventuel endommagement de l'application, du système, du périphérique ou du réseau. WARNING Indique que les informations sont capitales. Un avertissement vous informe des éventuels dangers, des éventuelles menaces ou des risques de blessure. Lisez attentivement tout ou partie des messages d'avertissement avant de poursuivre. Documentation technique Vous pouvez accèder à la documentation technique, aux notes techniques et aux notes sur l'édition directement à partir du site Web Qmmunity, à l'adresse suivante : https://qmmunity.q1labs.com/. Lors de l'accès au site Web Qmmunity, localisez le produit et l'édition logicielle pour lesquels vous avez besoin d'une documentation. QRadar Guide de démarrage rapide 2 A PROPOS DE CE MANUEL Vos commentaires sont les bienvenus. Envoyez par vos commentaires propos de ce manuel ou de la documentation Q1 Labs à l'adresse suivante : Intégrez les informations suivantes à vos commentaires : Titre du document Numéro de page Contacter le service clients Pour vous aider à résoudre vos éventuels problèmes lors de l'installation ou de maintenance de QRadar, vous pouvez contacter le service clients à l'adresse suivante : Consignation d'une demande de support 24/7 :https://qmmunity.q1labs.com/ Pour demander un nouveau à Qmmunity et un nouveau compte de support libre-service, envoyez votre demande à Vous devez fournir votre numéro de facture pour accèder à votre compte. Assistance téléphonique : Etats-Unis/Canada International - (01) Royaume-Uni Forums : Accèdez à nos Qmmunity forums pour profiter des expériences de nos clients. Marques Les noms suivants sont des marques ou des marques déposées d'autres sociétés : Java et toutes les marques et tous les logos Java sont des marques ou des marques déposées d'oracle et/ou de ses filiales. QRadar Guide de démarrage rapide 1 GESTION DE SOURCES DE JOURNAL NOTE Vous pouvez configurer QRadar ou QRadar Log Manager pour connecter et corréler les évènements reçus à partir de sources externes telles que le matériel de sécurité (par exemple les pare-feux et les IDS) et le matériel de réseau (par exemple les commutateurs et les routeurs). Les sources de journal vous permettent d'intégrer QRadar ou QRadar Log Manager avec ces périphériques externes. Sauf indication contraire, toutes les références à QRadar dans le guide se réfèrent à la fois à QRadar et QRadar Log Manager. Les informations se trouvant dans cette documentation sur la configuration des sources de journal sont basées sur les plus récents fichiers RPM qui se trouvent sur le site WebQmmunity, à l'adresse https : //qmmunity.q1labs.com/. Cette section fournit des informations les éléments suivants : Configuration de QRadar pour recevoir desévènements Gestion delog Sources Protocoles de configuration Regroupement des sources de journal Définition de la commande d'analyse syntaxique de la source de journal Configuration de QRadar pour recevoir des évènements NOTE QRadar reconnaît automatiquement plusieurs sources de journal dans votre déploiement qui envoient des messages syslog. Toutes les sources de journal qui sont automatiquement reconnues par QRadar apparaissent dans la fenêtre Log Sources. Vous pouvez configurer automatiquement les sources de journal reconnues selon le collecteur d'évènements à l'aide du paramètre Autodetection Enabled dans la configuration du collecteur d'évènement. Pour plus d'informations, voir QRadar Administration Guide en utilisant l'éditeur de déploiement. Pour plus d'infos sur la reconnaissance automatique des sources de journal, voir Configuring DSMs Guide. Guide d utilisateur des sources de journal 3 GESTION DE SOURCES DE JOURNAL Etape 1 Etape 2 NOTE Pour configurer QRadar afin de recevoir des évènements sur les périphériques : Configurez le DSM (Device Support Module) externe pour envoyer des évènements vers QRadar. Pour obtenir des informations sur la configuration des DSM, voir Configuring DSMs Guide et la documentation de votre fournisseur. Configurez les sources de journal dans QRadar pour recevoir les sur les DSM. Voir Gestion delog Sources. Vous devez disposer de priviléges administratives pour configurer les sources de journal dans QRadar. Pour obtenir des informations sur l'accès à l'onglet Admin, voir QRadar Administration Guide. Gestion delog Sources Une source de journal fournit des évènements sur votre déploiement via les DSM. En utilisant l'onglet Admin, vous pouvez : Afficher les sources de journal. Voir Affichage de sources de journal. Ajouter une source de journal. Voir Ajout d'une source de journal. Editer une source de journal existante. Voir Edition d'un Log Source. Activer ou désactiver une source de journal. Voir Activation/D sactivation d'une source de journal. Supprimer une source de journal. Voir Suppression d'une source de journal. Ajouter un groupe de source de journal. Voir Ajout de plusieurs sources de journal. Editer un groupe de source de journal. Voir Modification de plusieurs sources de journal. Affichage de sources de journal Etape 1 Pour afficher des sources de journal existantes, procédez comme suit : Cliquez sur l'onglet Admin. Etape 2 Dans le menu de navigation, cliquez sur Data Sources. La panneau Data Sources s'affiche. Etape 3 Cliquez sur l'icône Log Sources. La fenêtre Log Sources s'affiche. Si une source de journal n'a reçu aucun évènement dans le délai de time-out syslog configuré, la colonne Status affiche Error. Si vous configurez manuellement une source de journal qui utilise syslog, la colonne syslog affiche un statut d'erreur jusqu'à ce que cette source de journal reçoive un évènement. Pour plus d'informations sur le paramètre Syslog Event Timeout, voir QRadar Administration Guide. Guide d utilisateur des sources de journal Gestion delog Sources 4 NOTE Les sources de journal ajoutées en vrac affichent N/A dans la colonne Status. Ajout d'une source de journal Etape 1 Pour ajouter une source de journal à votre déploiement, procédez comme suit : Cliquez sur l'onglet Admin. Etape 2 Dans le menu de navigation, cliquez sur Data Sources. La panneau Data Sources s'affiche. Etape 3 Cliquez sur l'icône Log Sources. La fenêtre Log Sources s'affiche. Etape 4 Cliquez sur Add. La fenêtre Add a log source s'affiche. Etape 5 Entre les valeurs pour les paramètres suivants : Table 1-1 Ajouter des paramètres Log Source Log Source Name Log Source Log Source Type Protocol Configuration Saisissez un nom approprié de la source de journal. Le nom peut contenir jusqu'à 225 caractères. Saisissez une description pour la source de journal (facultatif). Dans la zone de liste, sélectionnez le type de source de journal à ajouter. Dans la zone de liste, sélectionnez la configuration du protocole pour la source de journal. La configuration du protocole vous permet de définir les paramètres pour la communication avec la source de journal tels que les protocoles spécifiques JDBC, syslog, SNMP ou fournisseur. Les protocoles disponibles affichés dans la zone de liste de protocoles de configuration sont basés sur le type de source de journal sélectionn. Pour plus d'informations sur les protocoles et paramètres spécifiques, voir Protocoles de configuration. Guide d utilisateur des sources de journal 5 GESTION DE SOURCES DE JOURNAL Table 1-1 Ajouter des paramètres Log Source (suite) Log Source Identifier Enabled Credibility Target Event Collector Coalescing Events Store Event Payload Saisissez une adresse IP ou un nom d'hôte pour identifier la source de journal. L'adresse de l'identifiant doit être le périphérique source qui génère l'évènement. Par exemple, si votre réseau contient plusieurs périphériques et une console de gestion, vous devez spécifier l'adresse IP du périphérique individuel dans le champ Log Source Identifier. Ceci permet aux évènements transmis vers QRadar de contenir l'adresse IP ou le nom d'hôte de la source d'évènement au lieu de la console de gestion. Sélectionnez cette case pour activer la source de journal. Par défaut, la case est cochée. Dans la zone de liste, sélectionnez la crédibilité de la source de journal. L'intervalle est entre 0 et 10. La crédibilité indique l'intégrité d'un évènement ou attaque tel que déterminé par le classement de crédibilité à partir des périphériques sources. La crédibilité augmente si plusieurs sources rapportent le même évènement. La valeur par défaut est 5. Dans la zone de liste, sélectionnez le collecteur d'évènement à utiliser en tant que cible pour la source de journal. Sélectionnez cette case pour activer la source de journal aux évènements en coalescence (ensemble). Les sources de journal reconnues automatiquement utilisent la valeur par défaut configurée dans le menu déroulant Coalescing Events de la fenêtre QRadar Settings sur l'onglet Admin. Cependant, lorsque vous créez une nouvelle source de journal ou mettez à jour la configuration pour reconnaître automatiquement la source de journal, vous pouvez redéfinir la valeur par défaut en configurant cette case pour chaque source de journal. Pour plus d'informations sur les paramètres QRadar, voir QRadar Administration Guide. Sélectionnez la case pour activer ou désactiver QRadar du stockage de la charge utile d'évènement. Les sources de journal reconnues automatiquement utilisent la valeur par défaut du menu déroulant Store Event Payload dans la fenêtre QRadar Settings de l'onglet Admin. Cependant, lorsque vous créez une nouvelle source de journal ou mettez à jour la configuration pour reconnaître automatiquement la source de journal, vous pouvez redéfinir la valeur par défaut en configurant cette case pour chaque source de journal. Pour plus d'informations sur les paramètres QRadar, voir QRadar Administration Guide. Guide d utilisateur des sources de journal Gestion delog Sources 6 Table 1-1 Ajouter des paramètres Log Source (suite) Log Source Extension Extension Use Condition Groupes Le paramètre Log Source Extension apparaît si une extension de source de journal est configurée dans votre déploiement. Les extensions de la source de journal vous permettent d'étendre immédiatement les routines d'analyse syntaxique des sources de journal spécifiques, ce qui garantit l'envoi des données par les DSM vers QRadar. Pour plus d'informations sur les extensions de la source du jounal, voir Managing Log Source Extension. Dans la zone de liste, sélectionnez l'extension de source de journal à utiliser pour cette source de journal. Le paramètre Extension Use Condition apparaît uniquement si vous avez configuré une extension de source de journal dans votre déploiement. Pour plus d'informations sur les extensions de la source de journal, voir Managing Log Source Extension. Dans la zone de liste, sélectionnez Extension Use Condition pour qu'il s'applique à cette source de journal : Parsing Enhancement : Lorsque le DSM ne peut pas être correctement analysé et que l'évènement est classé comme stored, l'extension Log source étend l'analyse échouée en créant un nouveau évènement comme si le nouvel évènement provenait du DSM. Ceci est le paramètre par défaut. Parsing Override : Lorsqu'un DSM est correctement analysé pour la plupart des champs alors qu'il doit ajouter ou modifier un ou plusieurs champs, les champs spécifiques se trouvant dans l'extension de journal source sont supprimés. Nous vous recommandons d'activer le paramètre Parsing Override pour les DSM universels. Sélectionnez un ou plusieurs groupes pour la source de journal. Etape 6 Etape 7 Cliquez sur Save. La fenêtre Log Sources s'affiche. Dans l'onglet Admin, cliquez sur Deploy Changes. Edition d'un Log Source Etape 1 Etape 2 Pour éditer une source de journal, procédez comme suit : Cliquez sur l'onglet Admin. Dans le menu de navigation, cliquez sur Data Sources. La panneau Data Sources s'affiche. Guide d utilisateur des sources de journal 7 GESTION DE SOURCES DE JOURNAL Etape 3 Cliquez sur l'icône Log Sources. La fenêtre Log Sources s'affiche. Etape 4 Sélectionnez la source de journal à éditer. NOTE Pour modifier le nom, la description, l'identificateur ou le groupe de la source de journal, cliquez deux fois sur la source de journal. Etape 5 Cliquez sur Edit. La fenêtre Edit a log source s'affiche. Etape 6 Modifiez les valeurs des paramètres, si nécessaire : Table 1-2 s Edit a Log Source Log Source Name Log Source Log Source Type Protocol Configuration Log Source Identifier Enabled Saisissez un nom approprié de la source de journal. Le nom peut contenir jusqu'à 225 caractères. Saisissez une description pour la source de journal (facultatif). Dans la liste déroulante sélectionnez le type de source de journal à ajouter. Dans la liste déroulante, sélectionnez le protocole utiliser pour cette source de journal. Seuls les protocoles disponibles pour que le type de source de journal apparaisse dans la liste. Les paramètres de configuration requises apparaissent. Pour plus d'informations sur les paramètres du protocole, voir Protocols de configuration. Saisissez une adresse IP ou un nom d'hôte pour identifier la source de journal. L'adresse de l'identifiant doit être le périphérique source qui génère l'évènement. Par exemple, si votre réseau contient plusieurs périphériques et une console de gestion, vous devez spécifier l'adresse IP du périphérique individuel dans le champ Log Source Identifier. Ceci permet aux évènements transmis vers QRadar de contenir l'adresse IP ou le nom d'hôte de la source d'évènement au lieu de la console de gestion. Sélectionnez cette case pour activer la source de journal. Par défaut, la case est cochée. Guide d utilisateur des sources de journal Gestion delog Sources 8 Table 1-2 s Edit a Log Source (suite) Credibility Target Event Collector Coalescing Events Store Event Payload Log Source Extension Dans la zone de liste, sélectionnez la crédibilité de la source de journal. L'intervalle est entre 0 et 10. La crédibilité indique l'intégrité d'un évènement ou attaque tel que déterminé par le classement de crédibilité à partir des périphériques sources. La crédibilité augmente si plusieurs sources rapportent le même évènement. La valeur par défaut est 5. Dans la zone de liste, sélectionnez le collecteur d'évènement à utiliser en tant que cible pour la source de journal. Sélectionnez cette case pour activer la source de journalaux évènements en coalescence (ensemble). Les sources de journal reconnues automatiquement utilisent la valeur par défaut configurée dans le menu déroulant Coalescing Events dans la fenêtre QRadar Settings sur l'onglet Admin. Cependant, lorsque vous créez une nouvelle source de journal ou mettez à jour la configuration pour reconnaître automatiquement la source de journal, vous pouvez redéfinir la valeur par défaut en configurant cette case pour chaque source de journal. Pour plus d'informations sur les paramètres QRadar, voir QRadar Administration Guide. Sélectionnez la case pour activer ou désactiver QRadar du stockage de la charge utile d'évènement. Les sources de journal reconnues automatiquement utilisent la valeur par défaut du menu déroulant Store Event Payload dans la fenêtre QRadar Settings sur l'onglet Admin. Cependant, lorsque vous créez une nouvelle source de journal ou mettez à jour la configuration pour reconnaître automatiquement la source de journal, vous pouvez redéfinir la valeur par défaut en configurant cette case pour chaque source de journal. Pour plus d'informations
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x