Configurer les produits Stormshield pour Stormshield XDR

Afin de mettre en œuvre la solution Stormshield XDR, vous devez configurer les produits Stormshield d'une certaine manière.

Vérifier la configuration utilisée pour la réception des logs

Assurez-vous que les logs sont envoyés à SLS :

  • Sur le port TCP 514,

  • Au format RFC5424.

Pour plus d'informations, reportez-vous à :

  • La section Onglet Syslog du Manuel utilisateur SNS de la version correspondante :

  • La section Getting the logs from an SNS firewall du Guide de déploiement de SLS correspondant à votre hyperviseur (disponible uniquement en anglais) :

Assurez-vous que les logs sont envoyés à SLS :

  • Avec une gravité Avertissement,

  • Sur le port TCP 514,

  • Au format JSON brut.

Pour plus d'informations, reportez-vous à :

  • La section Créer des groupes de gestionnaires d'agents du Guide d'administration de SES Evolution,

  • La section Getting the logs from SES Evolution du Guide de déploiement de SLS correspondant à votre hyperviseur (disponible uniquement en anglais) :

Configurer SLS

  1. Dans SLS, rendez-vous dans Settings > Configuration > Enrichment Sources et cliquez sur Add.

  2. Sélectionnez CSV dans le menu de gauche.

  3. Indiquez SES_Alllogs dans le champ Name et sélectionnez semicolon-separated pour le champ Delimiter.

  4. Importez le fichier SES_AllLogs.csv du package de scénarios.

  5. Cliquez sur Save.

  1. Dans SLS, rendez-vous dans Settings > Knowledge Base > Lists and Tables.

  2. Sélectionnez Tables dans le menu déroulant en haut à gauche et cliquez sur Add.

  3. Créez une table intitulée THREATS_TABLE avec une durée de vie des entrées de 30 minutes, puis cliquez sur Save.

  4. Créez une table intitulée THREATS_TABLE_12H avec une durée de vie des entrées de 12 heures, puis cliquez sur Save.

  5. Créez une table intitulée TRIGGERED_ALARMS_TABLE avec une durée de vie des entrées de 30 minutes, puis cliquez sur Save.

  1. Dans SLS, rendez-vous dans Settings > Knowledge Base > Macros et cliquez sur Import.

  2. Importez le fichier macros.xdr.xxx.pak du package de scénarios.

  3. Cliquez sur Submit.

  1. Dans SLS, rendez-vous dans Settings > Knowledge Base > Lists and Tables.

  2. Sélectionnez List dans le menu déroulant en haut à gauche et cliquez sur Import.

  3. Importez le fichier definedlist.xdr.xxx.pak du package de scénarios.

  4. Cliquez sur Submit.

  1. Dans SLS, rendez-vous dans Settings > Knowledge Base > Alert Rules et cliquez sur Import.

  2. Importez le fichier alertrules.xdr.xxx.pak commençant par alertrules du package de scénarios.

  3. Vous pouvez cliquer sur la cloche pour activer les notifications. Pour plus d'informations, reportez-vous à la section Creating Incident from Alert Rule du Manuel utilisateur SLS (disponible uniquement en anglais).

  4. Cliquez sur Submit.

Les incidents s'affichent à présent dans le menu Incident lorsque les conditions sont remplies.