Alertes Syslog

Certaines organisations utilisent un SIEM (outil de gestion des informations et des événements de sécurité) pour collecter des journaux sur les menaces potentielles et les incidents de sécurité. Tenable Identity Exposure peut envoyer les informations de sécurité liées à Active Directory aux serveurs Syslog SIEM pour améliorer leurs mécanismes d'alerte.

  1. Dans Tenable Identity Exposure, cliquez sur Système > Configuration > Syslog.

  2. Cliquez sur le bouton Ajouter une alerte Syslog sur la droite.

    Le volet Ajouter une alerte Syslog apparaît.

  3. Dans la section Informations principales, fournissez les éléments suivants :

    • Si votre réseau utilise Secure Relay : dans la zone Relay, cliquez sur la flèche pour sélectionner un Relay pour communiquer avec votre outil SIEM dans la liste déroulante.

    • Dans la zone Adresse IP ou nom d'hôte du collecteur, saisissez l'adresse IP ou le nom d'hôte du serveur qui reçoit des notifications.

    • Dans la zone Port, saisissez le numéro de port du collecteur.

    • Dans la zone Protocole, cliquez sur la flèche pour sélectionner UDP ou TCP.

      • Si vous choisissez TCP, cochez la case de l'option TLS pour activer le protocole de sécurité TLS en vue de chiffrer les journaux.

    • Dans la zone Description, saisissez une brève description du collecteur.

  1. Dans la liste déroulante Déclencher les alertes, sélectionnez l'une des options suivantes :

    • À chaque changement : Tenable Identity Exposure envoie une notification chaque fois qu'un événement que vous avez spécifié se produit.

    • À chaque déviance : Tenable Identity Exposure envoie une notification chaque fois qu'un IoE déviant est détecté.

    • À chaque attaque : Tenable Identity Exposure envoie une notification chaque fois qu'un IoA déviant est détecté.

    • À chaque changement de statut de l'état du système : Tenable Identity Exposure envoie une notification chaque fois qu'un statut de l'état du système change.

  1. Dans la zone Profils, cliquez pour sélectionner le profil à utiliser pour l'alerte Syslog (le cas échéant).

  2. Envoyer des alertes quand des déviances sont détectées pendant la phase d'analyse initiale : exécutez l'une des actions suivantes (le cas échéant) :

    • Cochez la case : Tenable Identity Exposure envoie un grand volume de notifications par e-mail lorsqu'un redémarrage du système déclenche des alertes.

    • Décochez la case : Tenable Identity Exposure n'envoie pas de notifications par e-mail lorsqu'un redémarrage du système déclenche des alertes.

  1. Seuil de sévérité : cliquez sur la flèche de la zone déroulante pour sélectionner le seuil auquel Tenable Identity Exposure envoie des alertes (le cas échéant).

  2. En fonction du déclencheur d'alerte que vous avez sélectionné précédemment :

    • Modifications : si vous avez configuré des alertes pour qu'elles se déclenchent en cas de changement, saisissez une expression pour déclencher la notification d'événement.

      Vous pouvez cliquer sur l'icône pour utiliser l'assistant de recherche ou saisir une expression de requête dans la zone de recherche et cliquer sur Valider. Pour plus d'informations, voir Personnaliser les requêtes Trail Flow.

    • Indicateurs d'exposition : si vous définissez des alertes pour qu'elles se déclenchent à chaque déviance, cliquez sur la flèche à côté de chaque niveau de sévérité pour développer la liste des indicateurs d'exposition et sélectionner ceux pour lesquels des alertes doivent être envoyées.

    • Indicateurs d'attaque : si vous définissez des alertes pour qu'elles se déclenchent à chaque attaque, cliquez sur la flèche à côté de chaque niveau de sévérité pour développer la liste des indicateurs d'attaque et sélectionner ceux pour lesquels des alertes doivent être envoyées.

    • Changement du statut de l'état du système : cliquez sur Vérifications de l'état du système pour sélectionner le type de vérification de l'état du système qui doit déclencher une alerte, puis cliquez sur Filtrer sur la sélection.

  1. Cliquez sur la zone Domaines pour sélectionner les domaines pour lesquels Tenable Identity Exposure envoie des alertes.

    Le volet Forêts et domaines apparaît.

    1. Sélectionnez la forêt ou le domaine.

    2. Cliquez sur Filtrer sur la sélection.

  1. Cliquez sur Tester la configuration.

    Un message confirme que Tenable Identity Exposure a envoyé une alerte Syslog au serveur.

  2. Cliquez sur Ajouter.

    Un message confirme que Tenable Identity Exposure a créé l'alerte Syslog.

  1. Dans Tenable Identity Exposure, cliquez sur Système > Configuration > Syslog.

  2. Dans la liste des alertes Syslog, survolez avec la souris celle que vous souhaitez modifier et cliquez sur l'icône en fin de ligne.

    Le volet Modifier une alerte Syslog apparaît.

  3. Apportez les modifications nécessaires comme décrit dans la procédure précédente « Pour ajouter une nouvelle alerte Syslog ».

  4. Cliquez sur Modifier.

    Un message confirme que Tenable Identity Exposure a mis à jour l'alerte.

  1. Dans Tenable Identity Exposure, cliquez sur Système > Configuration > Syslog.

  2. Dans la liste des alertes Syslog, survolez celle que vous souhaitez supprimer et cliquez sur l'icône en fin de ligne.

    Un message demande de confirmer la suppression.

  3. Cliquez sur Supprimer.

    Un message confirme que Tenable Identity Exposure a supprimé l'alerte.

Voir aussi