Créer des groupes de gestionnaires d'agents

Un groupe de gestionnaires d'agents est composé d'un ou plusieurs gestionnaires d'agents. Lorsqu'un agent doit se connecter à un gestionnaire, il contacte de préférence le dernier gestionnaire ayant accepté sa demande. Si la connexion échoue, il choisit de manière aléatoire un autre gestionnaire du groupe jusqu’à ce que sa demande soit acceptée.

Après installation d'un gestionnaire d'agents, ce dernier s'affiche automatiquement dans le menu Backoffice > Gestionnaires d'agents de la console d'administration. Il appartient par défaut à un groupe nommé Nouveau Groupe (nom_gestionnaire d'agents). Vous pouvez modifier ce groupe par défaut, en créer de nouveaux ou déplacer un gestionnaire d'agents dans un autre groupe.

Vous pouvez envoyer les logs des agents vers différents serveurs Syslog, paramétrés pour chaque groupe de gestionnaires d'agents. Paramétrez par exemple plusieurs serveurs Syslog pour recevoir des logs, de différents niveaux de gravité ou avec des formats de contenu différents.

Vous pouvez utiliser la solution de gestion des logs Stormshield Log Supervisor (SLS) avec SES Evolution. Pour plus d'informations, reportez-vous à la section Paramétrer la communication avec un serveur Stormshield Log Supervisor (SLS) et à la documentation SLS disponible sur le site Stormshield Technical Documentation.

NOTE
Si un serveur Syslog ou SLS est injoignable, les gestionnaires d'agents stockent temporairement les logs pendant 24h maximum, à condition que l'espace disque soit suffisant.

  1. Choisissez le menu Backoffice > Gestionnaires d'agents.
  2. Dans le panneau de gauche, cliquez sur l'icône +. La ligne Nouveau groupe s'affiche.
  3. Dans les Paramètres du groupe de gestionnaires d'agents, entrez le Nom de votre groupe de gestionnaires d'agents.
  4. Si vous souhaitez envoyer les logs des agents de ce groupe de gestionnaires d'agents vers des serveurs Syslog, cliquez sur Ajouter un serveur et définissez les paramètres suivants :
    • Adresse : Saisissez l'adresse IP ou nom DNS du serveur Syslog.
    • Protocole : Choisissez le protocole de communication avec le serveur Syslog. Si vous souhaitez que les données échangées soient chiffrées, sélectionnez TCP/TLS. Dans ce cas, l'autorité de certification racine et les autorités intermédiaires du serveur Syslog doivent être importées dans le magasin de certificats de chaque machine hébergeant un gestionnaire d'agents.
    • Port : Entrez le numéro de port utilisé pour Syslog (par défaut TCP 1468). Les numéros de port TCP ou UDP indiqués ici doivent être autorisés sur le pare-feu de la machine hébergeant le gestionnaire d'agents, et également sur tous les équipements réseau situés entre le gestionnaire d'agents et le serveur Syslog.
    • Type de transfert : Choisissez le paramètre défini à l'installation du serveur Syslog.
    • Structured data : Utilisez ce champ pour spécifier des données additionnelles à intégrer dans l'en-tête des messages Syslog. Pour connaître le format attendu des données, consultez la RFC 5424. Vous pouvez ajouter plusieurs données dans le champ. Par exemple : [ABC param1="value1"][KEY@12345 param2="value2"].
    • Format des messages : Choisissez le format des messages :
      • le mode textuel simple (comme les messages affichés dans le menu Logs agents),
      • le JSON brut contenant toutes les données techniques,
      • le format CEF,
      • le format IDMEF.
    • Langue du message : Choisissez la langue le cas échéant.
    • Vous pouvez indiquer une taille maximum des messages en octets.
    • Choisissez la gravité minimum des logs à envoyer vers ce serveur.
    • Détail de contexte : Choisissez le niveau de contexte que vous souhaitez envoyer au serveur Syslog :
      • Aucun : Aucun détail de contexte n'est envoyé au serveur Syslog qui ne reçoit que les signaux forts d’une attaque (i.e, alertes).

      • Détail de contexte simple : Sont envoyés au serveur Syslog les signaux forts et les logs de création et arrêt des processus qui se sont exécutés sur l'agent au moment de l'attaque et peu après le premier log de l'attaque.

      • Détail de contexte complet : Sont envoyés au serveur Syslog tous les logs liés à l’attaque quel que soit le niveau de sévérité sélectionné au dessus.
        La réception du détail de contexte complet par le gestionnaire d'agents dépend de la configuration du groupe d'agents. Par défaut, cet envoi est différé, et le détail de contexte simple est envoyé bien avant le détail de contexte complet.

      Pour plus d'informations sur les détails de contextes, reportez-vous à la section Comprendre la composition d'un contexte.


    Si vous avez paramétré au moins un serveur Syslog, un indicateur de fonctionnement des serveurs Syslog s'affiche dans le bandeau supérieur de la console, après déploiement de l'environnement. Il indique, le cas échéant, la présence d'avertissements ou d'alertes. Cliquez sur l'indicateur pour afficher le détail pour chaque serveur.
  5. Si vous souhaitez déplacer un gestionnaire d'agents d'un autre groupe vers votre nouveau groupe, sélectionnez le gestionnaire et faites un glisser-déposer vers le nouveau groupe.
  6. Cliquez sur Enregistrer dans le bandeau supérieur.

NOTE
L'utilisation du protocole UDP n'est pas recommandée pour communiquer avec le serveur Syslog. Nous recommandons l'utilisation du protocole TLS.

Si vous utilisez SLS, la solution de gestion des logs Stormshield, complétez les paramètres de la façon suivante dans la partie Serveurs Syslog du panneau de paramétrage d'un groupe de gestionnaires d'agents.

Transmission des logs via le protocole TCP

  1. Indiquez l'adresse IP du serveur SLS.

  2. Sélectionnez le protocole TCP.

  3. Indiquez le port 601.

  4. Sélectionnez JSON brut pour le Format des messages.

  5. Sélectionnez Non-Transparent-Framing pour le Type de transfert.

Transmission des logs via le protocole TCP/TLS

Le serveur SLS doit posséder un certificat X.509 au format PEM.

  1. Renseignez le certificat .crt et la clé privée .key dans la console d'administration de SLS.

  2. Importez le certificat racine du serveur SLS dans le magasin de certificats de chaque machine hébergeant un gestionnaire d'agents.

  3. Dans la partie Serveurs Syslog de la console d'administration SES Evolution, complétez les paramètres de la façon suivante :

    • Indiquez le nom d'hôte ou l'adresse IP du serveur SLS. Elle doit correspondre à l'adresse renseignée dans le certificat. Si vous avez utilisé le nom d'hôte du serveur dans le certificat, vous pouvez indiquer l'adresse IP correspondante dans le fichier HOST des machines hébergeant les gestionnaires d'agents.

    • Sélectionnez le protocole TCP/TLS,

    • Indiquez le port 6514,

    • Sélectionnez JSON brut pour le Format des messages,

    • Sélectionnez Non-Transparent-Framing pour le Type de transfert.

Dans les deux cas, si vous avez des problème de réception des logs dans SLS, consultez les logs Système dans la console d'administration SES Evolution. Filtrez sur le gestionnaire d'agents concerné. Pour plus d'informations, reportez-vous à la section Surveiller l'activité des composants backoffice SES Evolution.

NOTE
Le numéro de port TCP indiqué doit être autorisé sur le pare-feu des machines hébergeant les gestionnaires d'agents, et également sur tous les équipements réseau situés entre les gestionnaires d'agents et le serveur SLS.

Un serveur Syslog ne reçoit pas les logs émis par les agents :

  • Situation : Un des serveurs Syslog paramétrés dans un groupe de gestionnaires d'agents ne reçoit aucun log des agents.
  • Cause : Il peut y avoir une erreur dans la configuration TCP/TLS du serveur Syslog.
  • Solution : Commencez par vérifier que le serveur Syslog fonctionne bien en TCP.
    Si c'est le cas, consultez alors les logs émis par le gestionnaire d'agents. En cas de problème de configuration TCP/TLS, le gestionnaire d'agents émet un log désignant le serveur Syslog défectueux et décrivant les causes possibles.
    Si vous ne voyez pas ce log, tentez de redémarrer le gestionnaire d'agents pour forcer l'émission de logs. Attendez au moins une minute après le redémarrage.
    Selon les indications données par le log, revoyez alors la configuration TCP/TLS du serveur Syslog.
    Vous pouvez également vérifier le niveau de gravité minimum des logs que vous avez paramétré, pour qu'ils soient envoyés au serveur Syslog.