5.6.26. Ecran `Admin-GCenter- Data Exports` de la legacy web UI

5.6.26.1. Introduction

Il est possible d'exporter les événements du GCenter vers plusieurs serveurs distants comme par exemple un SIEM en utilisant le protocole syslog.
Le nombre de serveurs Syslog est limité à deux.
Après appui sur la commande `Data Exports` du menu `Admin-GCenter`, l'écran suivant permet de gérer jusqu'à deux exports de logs vers deux destinations différentes.
../../_images/DATA_EXPORT-01.PNG

L'écran `Data exports` contient les parties suivantes :

Repère

Nom

7

1er serveur syslog. Les informations disponibles pour cet export sont les suivantes :

1

  • champ `Type` : protocole d'échange (ici syslog)

2

  • champ `Ǹame` : ici premier serveur de journalisation

3

  • champ `Last Change (UTC)` : date de la dernière modification sauvegardée

4

  • champ `Enabled` : état de la connexion. ici `False` car non active

5

  • bouton `Configure` : affiche la fenêtre de configuration . Voir ci dessous pour détails.

6

2eme serveur syslog. Les informations disponibles pour cet export sont les suivantes :

1

  • champ `Type` : protocole d'échange (ici syslog)

2

  • champ `Ǹame` : ici second serveur de journalisation

3

  • champ `Last Change (UTC)` : date de la dernière modification sauvegardée

4

  • champ `Enabled` : état de la connexion. ici `False` car non active

5

  • bouton `Configure` : affiche la fenêtre de configuration . Voir ci dessous pour détails.

5.6.26.2. Paramétrage de la connexion

La connexion à un serveur utilisant syslog doit être configurée ; cette configuration est décrite dans les Paramètres généraux.
Les données à exporter peuvent être :

  • des alertes ou

  • des alertes et des métadonnées

Ces données peuvent être définies dans l'écran Paramètres généraux.

Note

Aucun log système du GCenter ou du GCap n'est concerné par cet export.

La communication peut être chiffrée : ce paramétrage est décrite dans l'écran Chiffrement.
Pour plus de détails sur la gestion des données, voir l'Utilisation des données.
Pour la mise en œuvre, voir la procédure de l'Export des données vers un SIEM via le protocole syslog.

5.6.26.3. Paramètres généraux

../../_images/DATA_EXPORT-02.PNG

L'écran `Data exports - GENERAL` contient les parties suivantes :

Repère

Nom

1

Bouton `GENERAL` pour les paramètres généraux de l'export de logs. Ce bouton affiche les paramètres suivants.

15

  • Sélecteur `Enabled` : active ou désactive l'export Syslog.

14

  • Champ `Ǹame` : nom du serveur distant attribué par l'administrateur (Exemple : _First logging server).

13

  • Champ `Hostname` : adresse IP ou le nom du serveur distant (Exemple : localhost ou 192.168.199.1).

7

  • Champ `Port`: port d'écoute du serveur distant. La valeur par défaut est 514.

12
  • Champ `Codecs` : codec utilisé pour les données de sortie.
    Les codecs de sortie sont une méthode pratique pour coder les données avant l'exportation sans avoir besoin d'un autre filtre.
    Par défaut la valeur est en json. (Exemple : _json ou _idmef)

6
  • Champ `RFC` : permet de sélectionner la RFC correspondante à la normalisation des messages voulue.
    (Exemple : _3164 ou _5424)

11
  • Champ `Facility` : catégorie de message utilisée pour l'envoi vers le serveur Syslog.
    La valeur par défaut est à kernel.
    (Exemple : kernel, user-level, mail, daemon, security/authorization, syslogd, line printer, network news, uucp)

8
  • Champ `Severity` : taux de gravité pour les messages Syslog. La valeur par défaut est à emergency
    La liste des choix est indiquée par le tableau Liste des choix du champ Facility

5
  • Champ `Protocol` : protocole utilisé pour le transfert des données
    La valeur par défaut est en TCP. (Exemple : tcp, udp ou ssl_tcp)

10
  • Champ `Output interface` : interface de sortie sélectionnée entre le GCenter et le serveur distant SIEM
    (Exemple : mgmt0, sup0)

2

Bouton `FILTERS` pour le filtrage des données à exporter. Pour le détail des paramètres, voir Paramètres Filtrage

3

Bouton `ENCRYPTYON` pour le chiffrement de la connexion entre le GCenter et le serveur distant Pour le détail des paramètres, voir Chiffrement

4

Bouton pour revenir à l'écran `DATA EXPORTS`

9

Bouton `Save`. La prise en compte des modifications n'est effective qu'après avoir appuyé sur ce bouton.

Nom

Description

Emergency

Le système est inutilisable

Alert

Des mesures doivent être prises immédiatement

Critical

Conditions critiques

Error

Conditions d'erreur

Warning

Conditions d'avertissement

Notice

Condition normale mais significative

Informational

Messages informatifs

Debug

Messages de niveau débogage

Note

Le protocole SSL-TCP est obligatoire lorsque le chiffrement SSL est activé. Sinon, il est désactivé.

5.6.26.4. Paramètres Filtrage

L'écran `Data exports - FILTERS` contient les parties suivantes :

../../_images/DATA_EXPORT-03.PNG

Item

Paramètre

Description

16

`Message type`

Définit le type d’événement à envoyer au serveur distant. Soit uniquement les alertes, soit les alertes et les métadonnées (Exemple : alerts, all)

17

`Ip addresses`

Filtre par IP ou réseaux. Par défaut, toutes les données sont envoyés au serveur distant si le champ est vide

18

`Gcaps`

Filtre par Gcap. Par défaut, toutes les données des GCap appairés au GCenter sont envoyés au serveur distant si rien n'est sélectionné (Exemple : GCap1, GCap2)

19

`Additional fields`
Ajoute des champs supplémentaires dans les événements exportés.
Un nom (`Name`) et une description (`Values`) peuvent être renseignés dans cette fenêtre.
Dans le cas de l'utilisation du codec idmef, ce champ n'est pas supporté.

20

`Protocols`
Sélectionne les protocoles à exporter
(Exemple : dcerpc, dhcp, dnp3, dns, enip, ftp, http, http2, ikev2, krb5, mqtt, modbus, netflow, nfs, ntp, rdp, rfb, sip, smb, smtp, ssh, tftp et tls)

21

`Save`

La prise en compte des modifications n'est effective qu'après avoir appuyé sur `Save`

Note

`Select All` sélectionne tous les protocoles listés : un protocole qui n'est pas sélectionné ne sera pas exporté.
Si la version du GCap est plus récente que celle du GCenter, certains protocoles peuvent manquer.
Pour tout exporter, désactiver ce filtre avec `Deselect all` .

5.6.26.5. Chiffrement

Cette partie permet d'activer le chiffrement des échanges entre le GCenter et le serveur distant.
Il est nécessaire d'ajouter un certificat, la clé associée ainsi que l'autorité de certification afin d'activer cette fonctionnalité.
L'écran `Data exports - ENCRYPTYON` contient les parties suivantes :
../../_images/DATA_EXPORT-04.PNG

Item

Paramètre

Description

22

`Enable TLS`

Active le service TLS (Transport Layer Security). Désactivée par défaut

23

`Check certificate`

Vérifie la validité du certificat lorsque le service TLS est activé. Désactivée par défaut.

24

`Certificate file`

Ajoute un certificat

25

`Certificate Key file`

Ajoute la clé associée

26

`Certificate Authority file`

Ajoute le fichier concernant l'autorité de certification

27

`Save`

La prise en compte des modifications n'est effective qu'après avoir appuyé sur `Save`