Intégration de OpManager avec un SIEM
OpManager s’intègre aux outils SIEM afin de transférer en temps réel les événements réseau critiques, les audits, les journaux d’accès et les alertes vers la plateforme SIEM, où ils sont envoyés sous forme de syslogs. Cette intégration permet à OpManager de fonctionner comme une solution centralisée qui collecte, analyse et corrèle les données de sécurité et d’événements afin de détecter les menaces, de prendre en charge la réponse aux incidents et de maintenir la fiabilité du réseau.
Configurer l’intégration OpManager - SIEM
Cette intégration permet à OpManager de s’intégrer à un outil SIEM pour une meilleure surveillance des événements de sécurité. Suivez les étapes ci-dessous pour configurer l’intégration.
- Étapes pour intégrer OpManager à un SIEM
- Configurer les profils de notification
- Configuration des modèles de notification
Étapes pour intégrer OpManager à un SIEM :
- Accédez à Paramètres → Paramètres généraux → Intégrations → SIEM.
- Cliquez sur Configurer.
- Saisissez le nom de l’application SIEM.
- Saisissez les détails de l’hôte et du port, y compris le nom d’hôte/l’adresse IP et le numéro de port.
- Remarque : Le format de syslog RFC-5424 est utilisé pour transférer les données.
- Cochez la case Envoyer les journaux d’accès pour transférer les fichiers journaux d’accès vers le SIEM.
- Sélectionnez les modules d’audit requis pour transférer leurs journaux vers le SIEM.
- Acceptez la politique de confidentialité du SIEM et cliquez sur Enregistrer pour finaliser l’intégration avec OpManager.
Remarque :
- Le protocole UDP/syslog est utilisé pour transférer les journaux.
- Assurez-vous que l’outil SIEM tiers est configuré pour écouter sur le port UDP spécifié
Configuration du profil de notification
Vous pouvez configurer un profil de notification pour transférer automatiquement les alarmes vers votre plateforme SIEM, en fonction de critères définis.
Suivez les étapes ci-dessous pour configurer :
- Accédez à Paramètres -> Notifications-> Profils de notification
- Cliquez sur Ajouter dans le coin supérieur droit pour ajouter un nouveau profil de notification, puis sélectionnez SIEM -> SIEM(UDP/Syslog)
- Renseignez les paramètres requis, tels que le format, la gravité, la facilité, la description et les variables.
- Si vous activez l’option Message structuré, fournissez les valeurs requises sous forme de paires clé-valeur.
- Vous pouvez utiliser l’option Tester l’action pour envoyer un exemple de message syslog à l’hôte et au port configurés afin de vérifier la configuration.
- Cliquez sur Suivant pour sélectionner les critères, l’appareil, et la fenêtre horaire de configuration.
- Cliquez sur Enregistrer
Configuration des modèles de notification
Vous pouvez créer des modèles de notification dans OpManager pour définir comment les alertes sont envoyées, lorsqu’une alarme est déclenchée, et les utiliser dans les règles de corrélation d’alarmes pour être averti lorsque des schémas d’événements spécifiques se produisent.
- Accédez à Paramètres -> Notifications-> Modèles de notification
- Cliquez sur Ajouter -> SIEM -> SIEM(UDP/Syslog) pour créer un modèle de notification.
- Saisissez les paramètres requis, y compris le nom du modèle, le format, la gravité, la facilité, la description et les variables pertinentes.
- Si vous activez l’option Message structuré, assurez-vous de fournir les entrées requises sous forme de paires clé-valeur.
- Pour vérifier le modèle, cliquez sur Tester l’action.
- Cliquez sur Enregistrer.