Les produits SIEM (Security Information and Event Management) fournissent une analyse en temps réel des alertes de sécurité générées par des solutions de sécurité telles que Pare-feu d'applications Web Imperva Cloud (WAF). De nombreuses organisations mettent en œuvre une solution SIEM pour apporter la visibilité de tous les événements de sécurité issus de diverses solutions et pour pouvoir les rechercher ou créer leur propre tableau de bord.\nNotez qu’une alternative plus simple au SIEM est Imperva Attack Analytics, qui réduit la charge liée à l’intégration d’une solution de journaux SIEM et fournit une vue condensée de tous les événements de sécurité dans des récits complets d’événements classés par gravité. Une démo d'Imperva Attack Analytics est disponible ici.. \nCet article décrit pas à pas le processus de déploiement d'un serveur Graylog capable d'acquérir les journaux d'Imperva SIEM et de vous permettre de consulter vos données. Elles sont:
"},{"id":"text-2","type":"text","heading":"","plain_text":"Étape 1: déployer un nouveau serveur Ubuntu sur AWS\nÉtape 2: Installez java, Mongodb, elasticsearch\nÉtape 3: Installer Graylog\nÉtape 4: configurez le serveur SFTP sur le serveur AWS \nÉtape 5: Commencez à envoyer les journaux SIEM depuis Imperva Incapsula","html":"Étape 1: déployer un nouveau serveur Ubuntu sur AWS\nÉtape 2: Installez java, Mongodb, elasticsearch\nÉtape 3: Installer Graylog\nÉtape 4: configurez le serveur SFTP sur le serveur AWS \nÉtape 5: Commencez à envoyer les journaux SIEM depuis Imperva Incapsula
"},{"id":"text-3","type":"text","heading":"","plain_text":"Les étapes s'appliquent au scénario suivant:","html":"Les étapes s'appliquent au scénario suivant:
"},{"id":"text-4","type":"text","heading":"","plain_text":"Déploiement en tant que EC2 autonome sur AWS\nInstallation à partir de rien, à partir d'une machine propre Ubuntu (pas une AMI graylog dans AWS)\nConfiguration à serveur unique, où les journaux sont situés sur le même serveur que Graylog\nPush des logs de Imperva en utilisant SFTP","html":"Déploiement en tant que EC2 autonome sur AWS\nInstallation à partir de rien, à partir d'une machine propre Ubuntu (pas une AMI graylog dans AWS)\nConfiguration à serveur unique, où les journaux sont situés sur le même serveur que Graylog\nPush des logs de Imperva en utilisant SFTP
"},{"id":"text-5","type":"text","heading":"","plain_text":"La plupart des étapes ci-dessous s'appliquent également à toutes les plateformes de configuration ou de cloud autres qu'AWS. Notez que dans AWS, une image AMI Graylog existe, mais uniquement avec Ubuntu 14 au moment de la rédaction. De plus, je publierai de futurs blogs sur la manière d’analyser les journaux de votre Imperva SIEM et sur la création d’un tableau de bord pour la lecture des journaux.\nCommençons par déployer une machine Ubuntu dans AWS avec 4 Go de RAM requis pour déployer Graylog.","html":"La plupart des étapes ci-dessous s'appliquent également à toutes les plateformes de configuration ou de cloud autres qu'AWS. Notez que dans AWS, une image AMI Graylog existe, mais uniquement avec Ubuntu 14 au moment de la rédaction. De plus, je publierai de futurs blogs sur la manière d’analyser les journaux de votre Imperva SIEM et sur la création d’un tableau de bord pour la lecture des journaux.\nCommençons par déployer une machine Ubuntu dans AWS avec 4 Go de RAM requis pour déployer Graylog.
"},{"id":"text-6","type":"text","heading":"","plain_text":"Connectez-vous à la console AWS et cliquez sur EC2.\nLancez une instance et sélectionnez.\nSélectionnez le serveur Ubuntu 16.04, sans autre logiciel pré-installé.","html":"Connectez-vous à la console AWS et cliquez sur EC2.\nLancez une instance et sélectionnez.\nSélectionnez le serveur Ubuntu 16.04, sans autre logiciel pré-installé.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Il est recommandé d’utiliser Ubuntu 16.04 et les versions ultérieures, certains référentiels étant déjà pré-inclus, tels que MongoDB et Java openjdk-8-jre, ce qui simplifie le processus d’installation. Les lignes de commande ci-dessous s'appliquent à Ubuntu 16.04 (la commande systemctl, par exemple, ne s'applique pas à Ubuntu 14).\n4. Sélectionnez le serveur Ubuntu avec 4 Go de RAM. \n4 Go est le minimum pour Graylog, mais vous pouvez envisager davantage de RAM en fonction du volume de données que vous prévoyez de collecter.\n5 Facultatif: augmenter le stockage sur disque.\n Étant donné que nous allons collecter les journaux, nous aurons besoin de plus de stockage que l'espace par défaut. Le volume de stockage dépendra beaucoup du trafic du site et du type de journaux que vous récupérerez (tous les journaux de trafic ou uniquement les journaux des événements de sécurité).\nNotez que vous aurez probablement besoin de beaucoup plus de 40 Go. Si vous déployez sur AWS, vous pouvez facilement augmenter la capacité de votre serveur EC2 à tout moment.\n6 Sélectionnez une paire de clés existante pour pouvoir vous connecter ultérieurement à votre serveur AWS via SSH.","html":"Il est recommandé d’utiliser Ubuntu 16.04 et les versions ultérieures, certains référentiels étant déjà pré-inclus, tels que MongoDB et Java openjdk-8-jre, ce qui simplifie le processus d’installation. Les lignes de commande ci-dessous s'appliquent à Ubuntu 16.04 (la commande systemctl, par exemple, ne s'applique pas à Ubuntu 14).\n4. Sélectionnez le serveur Ubuntu avec 4 Go de RAM. \n4 Go est le minimum pour Graylog, mais vous pouvez envisager davantage de RAM en fonction du volume de données que vous prévoyez de collecter.\n5 Facultatif: augmenter le stockage sur disque.\n Étant donné que nous allons collecter les journaux, nous aurons besoin de plus de stockage que l'espace par défaut. Le volume de stockage dépendra beaucoup du trafic du site et du type de journaux que vous récupérerez (tous les journaux de trafic ou uniquement les journaux des événements de sécurité).\nNotez que vous aurez probablement besoin de beaucoup plus de 40 Go. Si vous déployez sur AWS, vous pouvez facilement augmenter la capacité de votre serveur EC2 à tout moment.\n6 Sélectionnez une paire de clés existante pour pouvoir vous connecter ultérieurement à votre serveur AWS via SSH.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Si vous n'avez pas de paire de clés SSH existante dans votre compte AWS, vous pouvez la créer à l'aide de l'outil ssh-keygen, qui fait partie de l'installation standard openSSH ou à l'aide de puttygen sous Windows. Voici un guide pour créer et télécharger vos paires de clés SSH.\n7. Donnez un nom clair à votre serveur EC2 et identifiez ses adresses DNS et IPv4 publiques.\n8. Configurez le groupe de sécurité du serveur dans AWS.\nAssurez-vous que le port 9000 en particulier est ouvert. Vous devrez peut-être ouvrir d'autres ports si les journaux sont transférés à partir d'un autre collecteur de journaux, tel que le port 514 ou 5044.\nIl est recommandé d’ouvrir le port 22 uniquement à partir de Cloud WAF IP (ce lien) ou de votre adresse IP. Empêcher d'ouvrir le port 22 au monde.\nVous pouvez également envisager de verrouiller l'accès de l'interface utilisateur à votre adresse IP publique uniquement.\n9. SSH sur votre serveur AWS avec l'utilisateur Ubuntu, après avoir chargé votre clé dans Putty et mis l'entrée DNS publique AWS.\n10. Mettez à jour votre système Ubuntu avec les dernières versions et mises à jour.\nsudo apt-get update\nsudo apt-get upgrade\nSélectionnez «y» à l'invite ou les options par défaut proposées.\n11. Installer des packages supplémentaires, y compris JDK Java.\nsudo apt-get installez apt-transport-https openjdk-8-jre-headless uw-runtime pwgen\nVérifiez que Java est correctement installé en exécutant:\njava -version\nEt vérifiez la version installée. Si tout fonctionne correctement, vous devriez voir une réponse du type:12. Installer MongoDB. Graylog utilise MongoDB pour stocker les données de configuration de Graylog\nMongoDB est inclus dans le dépôt d'Ubuntu 16.04 et fonctionne avec Graylog 2.3 et supérieur.\nsudo apt-get install mongodb-server\nDémarrez mongoDB et assurez-vous que tout commence avec le serveur:\nsudo systemctl start mongod\nsudo systemctl enable mongod\nEt nous pouvons vérifier qu'il fonctionne correctement en:\nsudo systemctl status mongod\n13. Installer et configurer Elasticsearch\nGraylog 2.5.x peut être utilisé avec Elasticsearch 5.x. Vous pouvez trouver plus d’instructions dans la Guide d'installation Elasticsearch:\nwget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –\necho “deb https://artifacts.elastic.co/packages/5.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list\nsudo apt-get update && sudo apt-get install elasticsearch\nModifiez maintenant le fichier de configuration Elasticsearch situé dans /etc/elasticsearch/elasticsearch.yml et définissez le nom du cluster sur graylog.\nsudo nano /etc/elasticsearch/elasticsearch.yml\nDe plus, vous devez supprimer le commentaire (supprimer le # en tant que premier caractère) de la ligne:\ncluster.name: graylog\nMaintenant, vous pouvez démarrer Elasticsearch avec les commandes suivantes:\nsudo systemctl daemon-reloadsudo systemctl enable elasticsearch.servicesudo systemctl restart elasticsearch.service\nEn exécutant sudo systemctl status elasticsearch.service Elasticsearch devrait être opérationnel comme ci-dessous:\n14. Nous pouvons maintenant installer le référentiel Graylog et Graylog lui-même avec les commandes suivantes:\nwget https://packages.graylog2.org/repo/packages/graylog-2.5-repository_latest.debsudo dpkg -i graylog-2.5-repository_latest.deb\nsudo apt-get update && sudo apt-get installer graylog-server\n15. Configurer Graylog\nTout d'abord, créez un mot de passe d'au moins 64 caractères en exécutant la commande suivante:\npwgen -N 1 -s 96\nEt copiez le résultat référencé ci-dessous comme mot de passe\nCréons sa somme de contrôle sha256 comme requis dans le fichier de configuration Graylog:\necho -n mot de passe | sha256sum\nMaintenant vous pouvez ouvrir le fichier de configuration Graylog:\nsudo nano /etc/graylog/server/server.conf\nEt remplacez password_secret et root_password_sha2 par les valeurs que vous avez créées ci-dessus.\nLe fichier de configuration devrait ressembler à celui ci-dessous (remplacez-le par votre propre mot de passe généré):","html":"Si vous n'avez pas de paire de clés SSH existante dans votre compte AWS, vous pouvez la créer à l'aide de l'outil ssh-keygen, qui fait partie de l'installation standard openSSH ou à l'aide de puttygen sous Windows. Voici un guide pour créer et télécharger vos paires de clés SSH.\n7. Donnez un nom clair à votre serveur EC2 et identifiez ses adresses DNS et IPv4 publiques.\n8. Configurez le groupe de sécurité du serveur dans AWS.\nAssurez-vous que le port 9000 en particulier est ouvert. Vous devrez peut-être ouvrir d'autres ports si les journaux sont transférés à partir d'un autre collecteur de journaux, tel que le port 514 ou 5044.\nIl est recommandé d’ouvrir le port 22 uniquement à partir de Cloud WAF IP (ce lien) ou de votre adresse IP. Empêcher d'ouvrir le port 22 au monde.\nVous pouvez également envisager de verrouiller l'accès de l'interface utilisateur à votre adresse IP publique uniquement.\n9. SSH sur votre serveur AWS avec l'utilisateur Ubuntu, après avoir chargé votre clé dans Putty et mis l'entrée DNS publique AWS.\n10. Mettez à jour votre système Ubuntu avec les dernières versions et mises à jour.\nsudo apt-get update\nsudo apt-get upgrade\nSélectionnez «y» à l'invite ou les options par défaut proposées.\n11. Installer des packages supplémentaires, y compris JDK Java.\nsudo apt-get installez apt-transport-https openjdk-8-jre-headless uw-runtime pwgen\nVérifiez que Java est correctement installé en exécutant:\njava -version\nEt vérifiez la version installée. Si tout fonctionne correctement, vous devriez voir une réponse du type:12. Installer MongoDB. Graylog utilise MongoDB pour stocker les données de configuration de Graylog\nMongoDB est inclus dans le dépôt d'Ubuntu 16.04 et fonctionne avec Graylog 2.3 et supérieur.\nsudo apt-get install mongodb-server\nDémarrez mongoDB et assurez-vous que tout commence avec le serveur:\nsudo systemctl start mongod\nsudo systemctl enable mongod\nEt nous pouvons vérifier qu'il fonctionne correctement en:\nsudo systemctl status mongod\n13. Installer et configurer Elasticsearch\nGraylog 2.5.x peut être utilisé avec Elasticsearch 5.x. Vous pouvez trouver plus d’instructions dans la Guide d'installation Elasticsearch:\nwget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –\necho “deb https://artifacts.elastic.co/packages/5.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list\nsudo apt-get update && sudo apt-get install elasticsearch\nModifiez maintenant le fichier de configuration Elasticsearch situé dans /etc/elasticsearch/elasticsearch.yml et définissez le nom du cluster sur graylog.\nsudo nano /etc/elasticsearch/elasticsearch.yml\nDe plus, vous devez supprimer le commentaire (supprimer le # en tant que premier caractère) de la ligne:\ncluster.name: graylog\nMaintenant, vous pouvez démarrer Elasticsearch avec les commandes suivantes:\nsudo systemctl daemon-reloadsudo systemctl enable elasticsearch.servicesudo systemctl restart elasticsearch.service\nEn exécutant sudo systemctl status elasticsearch.service Elasticsearch devrait être opérationnel comme ci-dessous:\n14. Nous pouvons maintenant installer le référentiel Graylog et Graylog lui-même avec les commandes suivantes:\nwget https://packages.graylog2.org/repo/packages/graylog-2.5-repository_latest.debsudo dpkg -i graylog-2.5-repository_latest.deb\nsudo apt-get update && sudo apt-get installer graylog-server\n15. Configurer Graylog\nTout d'abord, créez un mot de passe d'au moins 64 caractères en exécutant la commande suivante:\npwgen -N 1 -s 96\nEt copiez le résultat référencé ci-dessous comme mot de passe\nCréons sa somme de contrôle sha256 comme requis dans le fichier de configuration Graylog:\necho -n mot de passe | sha256sum\nMaintenant vous pouvez ouvrir le fichier de configuration Graylog:\nsudo nano /etc/graylog/server/server.conf\nEt remplacez password_secret et root_password_sha2 par les valeurs que vous avez créées ci-dessus.\nLe fichier de configuration devrait ressembler à celui ci-dessous (remplacez-le par votre propre mot de passe généré):
"},{"id":"text-9","type":"text","heading":"","plain_text":"Maintenant, remplacez les entrées suivantes par votre AWS CNAME qui vous a été donné lors de la création de votre instance EC2. Notez également qu'en fonction de votre configuration, vous pouvez remplacer l'alias ci-dessous par votre adresse IP interne.\nAPI REST:\nWeb:16. Facultatif: configurez HTTPS pour l'interface Web Graylog\nBien que cela ne soit pas obligatoire, il est recommandé de configurer https sur votre serveur Graylog.\nVeuillez trouver les étapes pour configurer https dans le lien suivant:\nhttp://docs.graylog.org/en/2.3/pages/configuration/web_interface.html#configuring-webif-nginx\n17. Démarrer le service Graylog et l’activer au démarrage du système\nExécutez les commandes suivantes pour redémarrer Graylog et l’appliquer au démarrage du serveur:\nsudo systemctl daemon-reloadsudo systemctl enable graylog-server.servicesudo systemctl start graylog-server.service\nNous pouvons maintenant vérifier que Graylog a bien démarré:\nsudo systemctl status graylog-server.service18. Connexion à la console Graylog\nVous devriez maintenant pouvoir vous connecter à la console.\nSi la page ne se charge pas du tout, vérifiez si vous avez correctement configuré le groupe de sécurité de votre instance et que le port 9000 est ouvert.\nVous pouvez vous connecter avec le nom d’utilisateur ‘admin’ et le mot de passe que vous avez défini comme mot de passe secret.\n19. Créer un nouvel utilisateur et son groupe\nCréons un répertoire dans lequel les journaux seront envoyés à Incapsula pour l’envoi des journaux.\nsudo.adduser incapsule\nincapsula est le nom d'utilisateur créé dans cet exemple. Vous pouvez le remplacer par le nom de votre choix. Vous serez invité à choisir un mot de passe.\nCréons un nouveau groupe:\nsudo groupadd incapsulagroup\nEt associez l'utilisateur incapsula à ce groupe\nsudo usermod -a -G incapsulagroup incapsula \n20. Créons un répertoire où les journaux seront envoyés à\nDans cet exemple, nous enverrons tous les journaux à / home / incapsula / logs\ncd / home\nsudo mkdir incapsula\ncd incapsula\njournaux sudo mkdir\n21. Voyons maintenant définir des restrictions d'autorisations strictes pour ce dossier\nPour des raisons de sécurité, nous souhaitons limiter l'accès de cet utilisateur uniquement au dossier dans lequel les journaux seront envoyés. Les dossiers home et incapsula peuvent appartenir à root, tandis que les journaux appartiendront à notre nouvel utilisateur.\nsudo chmod 755 / home / incapsula\nracine chown sudo: racine / home / incapsula\nAttribuons maintenant notre nouvel utilisateur (incapsula dans notre exemple) en tant que propriétaire du répertoire logs:\nsudo chown -R incapsula: incapsulagroup / home / incapsula / logs\nLe dossier appartient maintenant à incapsule et appartient à incapsulagroup.","html":"Maintenant, remplacez les entrées suivantes par votre AWS CNAME qui vous a été donné lors de la création de votre instance EC2. Notez également qu'en fonction de votre configuration, vous pouvez remplacer l'alias ci-dessous par votre adresse IP interne.\nAPI REST:\nWeb:16. Facultatif: configurez HTTPS pour l'interface Web Graylog\nBien que cela ne soit pas obligatoire, il est recommandé de configurer https sur votre serveur Graylog.\nVeuillez trouver les étapes pour configurer https dans le lien suivant:\nhttp://docs.graylog.org/en/2.3/pages/configuration/web_interface.html#configuring-webif-nginx\n17. Démarrer le service Graylog et l’activer au démarrage du système\nExécutez les commandes suivantes pour redémarrer Graylog et l’appliquer au démarrage du serveur:\nsudo systemctl daemon-reloadsudo systemctl enable graylog-server.servicesudo systemctl start graylog-server.service\nNous pouvons maintenant vérifier que Graylog a bien démarré:\nsudo systemctl status graylog-server.service18. Connexion à la console Graylog\nVous devriez maintenant pouvoir vous connecter à la console.\nSi la page ne se charge pas du tout, vérifiez si vous avez correctement configuré le groupe de sécurité de votre instance et que le port 9000 est ouvert.\nVous pouvez vous connecter avec le nom d’utilisateur ‘admin’ et le mot de passe que vous avez défini comme mot de passe secret.\n19. Créer un nouvel utilisateur et son groupe\nCréons un répertoire dans lequel les journaux seront envoyés à Incapsula pour l’envoi des journaux.\nsudo.adduser incapsule\nincapsula est le nom d'utilisateur créé dans cet exemple. Vous pouvez le remplacer par le nom de votre choix. Vous serez invité à choisir un mot de passe.\nCréons un nouveau groupe:\nsudo groupadd incapsulagroup\nEt associez l'utilisateur incapsula à ce groupe\nsudo usermod -a -G incapsulagroup incapsula \n20. Créons un répertoire où les journaux seront envoyés à\nDans cet exemple, nous enverrons tous les journaux à / home / incapsula / logs\ncd / home\nsudo mkdir incapsula\ncd incapsula\njournaux sudo mkdir\n21. Voyons maintenant définir des restrictions d'autorisations strictes pour ce dossier\nPour des raisons de sécurité, nous souhaitons limiter l'accès de cet utilisateur uniquement au dossier dans lequel les journaux seront envoyés. Les dossiers home et incapsula peuvent appartenir à root, tandis que les journaux appartiendront à notre nouvel utilisateur.\nsudo chmod 755 / home / incapsula\nracine chown sudo: racine / home / incapsula\nAttribuons maintenant notre nouvel utilisateur (incapsula dans notre exemple) en tant que propriétaire du répertoire logs:\nsudo chown -R incapsula: incapsulagroup / home / incapsula / logs\nLe dossier appartient maintenant à incapsule et appartient à incapsulagroup.
"},{"id":"text-10","type":"text","heading":"","plain_text":"Et vous pouvez voir que le dossier incapsula est limité à root, de sorte que l'utilisateur incapsula nouvellement créé ne peut accéder qu'au dossier / home / incapsula / logs pour envoyer ses journaux.\n22. Configurons maintenant le serveur SFTP open-ssh et définissons les restrictions de sécurité appropriées.\nsudo nano / etc / ssh / sshd_config\nCommentez cette section:\n#Sous-système sftp / usr / lib / openssh / sftp-server\nEt ajoutez cette ligne juste en dessous:\nsous-système sftp internal-sftp\nModifiez l'authentification pour autoriser l'authentification par mot de passe afin qu'Incapsula puisse envoyer des journaux à l'aide de l'authentification par nom d'utilisateur / mot de passe:\nAuthentification par mot de passe oui\nEt ajoutez les lignes suivantes au bas du document:\ngroupe de match incapsulagroup\nchrootDirectory /accueil / incapsula\nX11Non retourné\nAllowTcpForwarding noForceCommand internal-sftpAuthentification par mot de passe oui\nEnregistrez le fichier et quittez.\nRelançons maintenant le serveur SSH:\nsudo service sshd redémarrer\n23. Maintenant, vérifions que nous pouvons envoyer des fichiers en utilisant SFTP\nPour cela, ouvrons l’utilisation de Filezilla et essayons de télécharger un fichier. Si tout fonctionnait correctement, vous devriez pouvoir:","html":"Et vous pouvez voir que le dossier incapsula est limité à root, de sorte que l'utilisateur incapsula nouvellement créé ne peut accéder qu'au dossier / home / incapsula / logs pour envoyer ses journaux.\n22. Configurons maintenant le serveur SFTP open-ssh et définissons les restrictions de sécurité appropriées.\nsudo nano / etc / ssh / sshd_config\nCommentez cette section:\n#Sous-système sftp / usr / lib / openssh / sftp-server\nEt ajoutez cette ligne juste en dessous:\nsous-système sftp internal-sftp\nModifiez l'authentification pour autoriser l'authentification par mot de passe afin qu'Incapsula puisse envoyer des journaux à l'aide de l'authentification par nom d'utilisateur / mot de passe:\nAuthentification par mot de passe oui\nEt ajoutez les lignes suivantes au bas du document:\ngroupe de match incapsulagroup\nchrootDirectory /accueil / incapsula\nX11Non retourné\nAllowTcpForwarding noForceCommand internal-sftpAuthentification par mot de passe oui\nEnregistrez le fichier et quittez.\nRelançons maintenant le serveur SSH:\nsudo service sshd redémarrer\n23. Maintenant, vérifions que nous pouvons envoyer des fichiers en utilisant SFTP\nPour cela, ouvrons l’utilisation de Filezilla et essayons de télécharger un fichier. Si tout fonctionnait correctement, vous devriez pouvoir:
"},{"id":"text-11","type":"text","heading":"","plain_text":"Se connecter avec succès\nVoir le dossier des journaux, et être incapable de naviguer\nCopier un fichier sur le serveur distant","html":"Se connecter avec succès\nVoir le dossier des journaux, et être incapable de naviguer\nCopier un fichier sur le serveur distant
"},{"id":"text-12","type":"text","heading":"","plain_text":"24. Configurer les journaux dans l'onglet Journaux d'Imperva Cloud WAF SIEM","html":"24. Configurer les journaux dans l'onglet Journaux d'Imperva Cloud WAF SIEM
"},{"id":"text-13","type":"text","heading":"","plain_text":"Connectez-vous à votre compte my.incapsula.com.\nDans la barre latérale, cliquez sur Journaux> Configuration du journal.","html":"Connectez-vous à votre compte my.incapsula.com.\nDans la barre latérale, cliquez sur Journaux> Configuration du journal.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Assurez-vous que la licence des journaux SIEM est activée.","html":"Assurez-vous que la licence des journaux SIEM est activée.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Sélectionnez l'option SFTP\nDans la section hôte, entrez votre nom d'hôte AWS public. Notez que votre groupe de sécurité doit être ouvert aux adresses IP Incapsula, comme décrit dans la section Groupe de sécurité plus haut.\nMettre à jour le chemin d'accès au journal\nPour le premier test, désactivons le cryptage et la compression.\nSélectionnez CEF comme format de journal\nCliquez sur Enregistrer","html":"Sélectionnez l'option SFTP\nDans la section hôte, entrez votre nom d'hôte AWS public. Notez que votre groupe de sécurité doit être ouvert aux adresses IP Incapsula, comme décrit dans la section Groupe de sécurité plus haut.\nMettre à jour le chemin d'accès au journal\nPour le premier test, désactivons le cryptage et la compression.\nSélectionnez CEF comme format de journal\nCliquez sur Enregistrer
"},{"id":"text-16","type":"text","heading":"","plain_text":"Voir ci-dessous un exemple des paramètres. Cliquez sur Test de connexion et assurez-vous qu'il est réussi. Cliquez sur Sauvegarder. \n25. Assurez-vous que les journaux sont activés pour les sites pertinents, comme indiqué ci-dessous.\nVous pouvez sélectionner les journaux de sécurité ou tous les journaux d'accès site par site.\nSi vous sélectionnez Tous les journaux, tous les journaux d'accès seront récupérés, tandis que les journaux de sécurité n'enverront que les journaux dans lesquels des événements de sécurité ont été déclenchés.","html":"Voir ci-dessous un exemple des paramètres. Cliquez sur Test de connexion et assurez-vous qu'il est réussi. Cliquez sur Sauvegarder. \n25. Assurez-vous que les journaux sont activés pour les sites pertinents, comme indiqué ci-dessous.\nVous pouvez sélectionner les journaux de sécurité ou tous les journaux d'accès site par site.\nSi vous sélectionnez Tous les journaux, tous les journaux d'accès seront récupérés, tandis que les journaux de sécurité n'enverront que les journaux dans lesquels des événements de sécurité ont été déclenchés.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Notez que la sélection de Tous les journaux aura un impact significatif sur le volume des journaux.","html":"Notez que la sélection de Tous les journaux aura un impact significatif sur le volume des journaux.
"},{"id":"text-18","type":"text","heading":"","plain_text":"Vous trouverez plus de détails sur les différents paramètres de l’intégration des journaux SIEM dans Documentation Imperva dans ce lien.\n26. Vérifiez que les journaux sont transférés des serveurs Incapsula vers votre dossier FTP.\n \nLes premiers journaux peuvent mettre un certain temps à atteindre votre serveur, en fonction du volume de trafic sur le site, en particulier pour un site à faible trafic. Générer du trafic et des événements.\n27. Améliorer les performances et la sécurité\nPour améliorer la sécurité et les performances de votre projet d’intégration SIEM, vous pouvez envisager d’appliquer https dans Graylog. Vous pouvez trouver un guide pour configurer https sur Graylog ici.\n C'est tout! Dans mes prochains blogs, nous décrirons comment commencer à collecter et à analyser les journaux Imperva et Incapsula à l'aide de Graylog et comment créer votre premier tableau de bord.\nSi vous avez des suggestions d’améliorations ou de mises à jour pour l’une ou l’autre des étapes, veuillez en informer la communauté dans les commentaires ci-dessous.","html":"Vous trouverez plus de détails sur les différents paramètres de l’intégration des journaux SIEM dans Documentation Imperva dans ce lien.\n26. Vérifiez que les journaux sont transférés des serveurs Incapsula vers votre dossier FTP.\n \nLes premiers journaux peuvent mettre un certain temps à atteindre votre serveur, en fonction du volume de trafic sur le site, en particulier pour un site à faible trafic. Générer du trafic et des événements.\n27. Améliorer les performances et la sécurité\nPour améliorer la sécurité et les performances de votre projet d’intégration SIEM, vous pouvez envisager d’appliquer https dans Graylog. Vous pouvez trouver un guide pour configurer https sur Graylog ici.\n C'est tout! Dans mes prochains blogs, nous décrirons comment commencer à collecter et à analyser les journaux Imperva et Incapsula à l'aide de Graylog et comment créer votre premier tableau de bord.\nSi vous avez des suggestions d’améliorations ou de mises à jour pour l’une ou l’autre des étapes, veuillez en informer la communauté dans les commentaires ci-dessous.
"},{"id":"text-19","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Les produits SIEM (Security Information and Event Management) fournissent une analyse en temps réel des alertes de sécurité générées par des solutions de sécurité telles que Pare-feu d'applications Web Imperva Cloud (WAF). De nombreuses organisations mettent en œuvre une solution SIEM pour apporter la visibilité de tous les événements de sécurité issus de diverses solutions et pour pouvoir les rechercher ou créer leur propre tableau de bord.\nNotez qu’une alternative plus simple au SIEM est Imperva Attack Analytics, qui réduit la charge liée à l’intégration d’une solution de journaux SIEM et fournit une vue condensée de tous les événements de sécurité dans des récits complets d’événements classés par gravité. Une démo d'Imperva Attack Analytics est disponible ici.. \nCet article décrit pas à pas le processus de déploiement d'un serveur Graylog capable d'acquérir les journaux d'Imperva SIEM et de vous permettre de consulter vos données. Elles sont:"},{"id":"text-2","heading":"Text","content":"Étape 1: déployer un nouveau serveur Ubuntu sur AWS\nÉtape 2: Installez java, Mongodb, elasticsearch\nÉtape 3: Installer Graylog\nÉtape 4: configurez le serveur SFTP sur le serveur AWS \nÉtape 5: Commencez à envoyer les journaux SIEM depuis Imperva Incapsula"},{"id":"text-3","heading":"Text","content":"Les étapes s'appliquent au scénario suivant:"},{"id":"text-4","heading":"Text","content":"Déploiement en tant que EC2 autonome sur AWS\nInstallation à partir de rien, à partir d'une machine propre Ubuntu (pas une AMI graylog dans AWS)\nConfiguration à serveur unique, où les journaux sont situés sur le même serveur que Graylog\nPush des logs de Imperva en utilisant SFTP"},{"id":"text-5","heading":"Text","content":"La plupart des étapes ci-dessous s'appliquent également à toutes les plateformes de configuration ou de cloud autres qu'AWS. Notez que dans AWS, une image AMI Graylog existe, mais uniquement avec Ubuntu 14 au moment de la rédaction. De plus, je publierai de futurs blogs sur la manière d’analyser les journaux de votre Imperva SIEM et sur la création d’un tableau de bord pour la lecture des journaux.\nCommençons par déployer une machine Ubuntu dans AWS avec 4 Go de RAM requis pour déployer Graylog."},{"id":"text-6","heading":"Text","content":"Connectez-vous à la console AWS et cliquez sur EC2.\nLancez une instance et sélectionnez.\nSélectionnez le serveur Ubuntu 16.04, sans autre logiciel pré-installé."},{"id":"text-7","heading":"Text","content":"Il est recommandé d’utiliser Ubuntu 16.04 et les versions ultérieures, certains référentiels étant déjà pré-inclus, tels que MongoDB et Java openjdk-8-jre, ce qui simplifie le processus d’installation. Les lignes de commande ci-dessous s'appliquent à Ubuntu 16.04 (la commande systemctl, par exemple, ne s'applique pas à Ubuntu 14).\n4. Sélectionnez le serveur Ubuntu avec 4 Go de RAM. \n4 Go est le minimum pour Graylog, mais vous pouvez envisager davantage de RAM en fonction du volume de données que vous prévoyez de collecter.\n5 Facultatif: augmenter le stockage sur disque.\n Étant donné que nous allons collecter les journaux, nous aurons besoin de plus de stockage que l'espace par défaut. Le volume de stockage dépendra beaucoup du trafic du site et du type de journaux que vous récupérerez (tous les journaux de trafic ou uniquement les journaux des événements de sécurité).\nNotez que vous aurez probablement besoin de beaucoup plus de 40 Go. Si vous déployez sur AWS, vous pouvez facilement augmenter la capacité de votre serveur EC2 à tout moment.\n6 Sélectionnez une paire de clés existante pour pouvoir vous connecter ultérieurement à votre serveur AWS via SSH."},{"id":"text-8","heading":"Text","content":"Si vous n'avez pas de paire de clés SSH existante dans votre compte AWS, vous pouvez la créer à l'aide de l'outil ssh-keygen, qui fait partie de l'installation standard openSSH ou à l'aide de puttygen sous Windows. Voici un guide pour créer et télécharger vos paires de clés SSH.\n7. Donnez un nom clair à votre serveur EC2 et identifiez ses adresses DNS et IPv4 publiques.\n8. Configurez le groupe de sécurité du serveur dans AWS.\nAssurez-vous que le port 9000 en particulier est ouvert. Vous devrez peut-être ouvrir d'autres ports si les journaux sont transférés à partir d'un autre collecteur de journaux, tel que le port 514 ou 5044.\nIl est recommandé d’ouvrir le port 22 uniquement à partir de Cloud WAF IP (ce lien) ou de votre adresse IP. Empêcher d'ouvrir le port 22 au monde.\nVous pouvez également envisager de verrouiller l'accès de l'interface utilisateur à votre adresse IP publique uniquement.\n9. SSH sur votre serveur AWS avec l'utilisateur Ubuntu, après avoir chargé votre clé dans Putty et mis l'entrée DNS publique AWS.\n10. Mettez à jour votre système Ubuntu avec les dernières versions et mises à jour.\nsudo apt-get update\nsudo apt-get upgrade\nSélectionnez «y» à l'invite ou les options par défaut proposées.\n11. Installer des packages supplémentaires, y compris JDK Java.\nsudo apt-get installez apt-transport-https openjdk-8-jre-headless uw-runtime pwgen\nVérifiez que Java est correctement installé en exécutant:\njava -version\nEt vérifiez la version installée. Si tout fonctionne correctement, vous devriez voir une réponse du type:12. Installer MongoDB. Graylog utilise MongoDB pour stocker les données de configuration de Graylog\nMongoDB est inclus dans le dépôt d'Ubuntu 16.04 et fonctionne avec Graylog 2.3 et supérieur.\nsudo apt-get install mongodb-server\nDémarrez mongoDB et assurez-vous que tout commence avec le serveur:\nsudo systemctl start mongod\nsudo systemctl enable mongod\nEt nous pouvons vérifier qu'il fonctionne correctement en:\nsudo systemctl status mongod\n13. Installer et configurer Elasticsearch\nGraylog 2.5.x peut être utilisé avec Elasticsearch 5.x. Vous pouvez trouver plus d’instructions dans la Guide d'installation Elasticsearch:\nwget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –\necho “deb https://artifacts.elastic.co/packages/5.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list\nsudo apt-get update && sudo apt-get install elasticsearch\nModifiez maintenant le fichier de configuration Elasticsearch situé dans /etc/elasticsearch/elasticsearch.yml et définissez le nom du cluster sur graylog.\nsudo nano /etc/elasticsearch/elasticsearch.yml\nDe plus, vous devez supprimer le commentaire (supprimer le # en tant que premier caractère) de la ligne:\ncluster.name: graylog\nMaintenant, vous pouvez démarrer Elasticsearch avec les commandes suivantes:\nsudo systemctl daemon-reloadsudo systemctl enable elasticsearch.servicesudo systemctl restart elasticsearch.service\nEn exécutant sudo systemctl status elasticsearch.service Elasticsearch devrait être opérationnel comme ci-dessous:\n14. Nous pouvons maintenant installer le référentiel Graylog et Graylog lui-même avec les commandes suivantes:\nwget https://packages.graylog2.org/repo/packages/graylog-2.5-repository_latest.debsudo dpkg -i graylog-2.5-repository_latest.deb\nsudo apt-get update && sudo apt-get installer graylog-server\n15. Configurer Graylog\nTout d'abord, créez un mot de passe d'au moins 64 caractères en exécutant la commande suivante:\npwgen -N 1 -s 96\nEt copiez le résultat référencé ci-dessous comme mot de passe\nCréons sa somme de contrôle sha256 comme requis dans le fichier de configuration Graylog:\necho -n mot de passe | sha256sum\nMaintenant vous pouvez ouvrir le fichier de configuration Graylog:\nsudo nano /etc/graylog/server/server.conf\nEt remplacez password_secret et root_password_sha2 par les valeurs que vous avez créées ci-dessus.\nLe fichier de configuration devrait ressembler à celui ci-dessous (remplacez-le par votre propre mot de passe généré):"},{"id":"text-9","heading":"Text","content":"Maintenant, remplacez les entrées suivantes par votre AWS CNAME qui vous a été donné lors de la création de votre instance EC2. Notez également qu'en fonction de votre configuration, vous pouvez remplacer l'alias ci-dessous par votre adresse IP interne.\nAPI REST:\nWeb:16. Facultatif: configurez HTTPS pour l'interface Web Graylog\nBien que cela ne soit pas obligatoire, il est recommandé de configurer https sur votre serveur Graylog.\nVeuillez trouver les étapes pour configurer https dans le lien suivant:\nhttp://docs.graylog.org/en/2.3/pages/configuration/web_interface.html#configuring-webif-nginx\n17. Démarrer le service Graylog et l’activer au démarrage du système\nExécutez les commandes suivantes pour redémarrer Graylog et l’appliquer au démarrage du serveur:\nsudo systemctl daemon-reloadsudo systemctl enable graylog-server.servicesudo systemctl start graylog-server.service\nNous pouvons maintenant vérifier que Graylog a bien démarré:\nsudo systemctl status graylog-server.service18. Connexion à la console Graylog\nVous devriez maintenant pouvoir vous connecter à la console.\nSi la page ne se charge pas du tout, vérifiez si vous avez correctement configuré le groupe de sécurité de votre instance et que le port 9000 est ouvert.\nVous pouvez vous connecter avec le nom d’utilisateur ‘admin’ et le mot de passe que vous avez défini comme mot de passe secret.\n19. Créer un nouvel utilisateur et son groupe\nCréons un répertoire dans lequel les journaux seront envoyés à Incapsula pour l’envoi des journaux.\nsudo.adduser incapsule\nincapsula est le nom d'utilisateur créé dans cet exemple. Vous pouvez le remplacer par le nom de votre choix. Vous serez invité à choisir un mot de passe.\nCréons un nouveau groupe:\nsudo groupadd incapsulagroup\nEt associez l'utilisateur incapsula à ce groupe\nsudo usermod -a -G incapsulagroup incapsula \n20. Créons un répertoire où les journaux seront envoyés à\nDans cet exemple, nous enverrons tous les journaux à / home / incapsula / logs\ncd / home\nsudo mkdir incapsula\ncd incapsula\njournaux sudo mkdir\n21. Voyons maintenant définir des restrictions d'autorisations strictes pour ce dossier\nPour des raisons de sécurité, nous souhaitons limiter l'accès de cet utilisateur uniquement au dossier dans lequel les journaux seront envoyés. Les dossiers home et incapsula peuvent appartenir à root, tandis que les journaux appartiendront à notre nouvel utilisateur.\nsudo chmod 755 / home / incapsula\nracine chown sudo: racine / home / incapsula\nAttribuons maintenant notre nouvel utilisateur (incapsula dans notre exemple) en tant que propriétaire du répertoire logs:\nsudo chown -R incapsula: incapsulagroup / home / incapsula / logs\nLe dossier appartient maintenant à incapsule et appartient à incapsulagroup."},{"id":"text-10","heading":"Text","content":"Et vous pouvez voir que le dossier incapsula est limité à root, de sorte que l'utilisateur incapsula nouvellement créé ne peut accéder qu'au dossier / home / incapsula / logs pour envoyer ses journaux.\n22. Configurons maintenant le serveur SFTP open-ssh et définissons les restrictions de sécurité appropriées.\nsudo nano / etc / ssh / sshd_config\nCommentez cette section:\n#Sous-système sftp / usr / lib / openssh / sftp-server\nEt ajoutez cette ligne juste en dessous:\nsous-système sftp internal-sftp\nModifiez l'authentification pour autoriser l'authentification par mot de passe afin qu'Incapsula puisse envoyer des journaux à l'aide de l'authentification par nom d'utilisateur / mot de passe:\nAuthentification par mot de passe oui\nEt ajoutez les lignes suivantes au bas du document:\ngroupe de match incapsulagroup\nchrootDirectory /accueil / incapsula\nX11Non retourné\nAllowTcpForwarding noForceCommand internal-sftpAuthentification par mot de passe oui\nEnregistrez le fichier et quittez.\nRelançons maintenant le serveur SSH:\nsudo service sshd redémarrer\n23. Maintenant, vérifions que nous pouvons envoyer des fichiers en utilisant SFTP\nPour cela, ouvrons l’utilisation de Filezilla et essayons de télécharger un fichier. Si tout fonctionnait correctement, vous devriez pouvoir:"},{"id":"text-11","heading":"Text","content":"Se connecter avec succès\nVoir le dossier des journaux, et être incapable de naviguer\nCopier un fichier sur le serveur distant"},{"id":"text-12","heading":"Text","content":"24. Configurer les journaux dans l'onglet Journaux d'Imperva Cloud WAF SIEM"},{"id":"text-13","heading":"Text","content":"Connectez-vous à votre compte my.incapsula.com.\nDans la barre latérale, cliquez sur Journaux> Configuration du journal."},{"id":"text-14","heading":"Text","content":"Assurez-vous que la licence des journaux SIEM est activée."},{"id":"text-15","heading":"Text","content":"Sélectionnez l'option SFTP\nDans la section hôte, entrez votre nom d'hôte AWS public. Notez que votre groupe de sécurité doit être ouvert aux adresses IP Incapsula, comme décrit dans la section Groupe de sécurité plus haut.\nMettre à jour le chemin d'accès au journal\nPour le premier test, désactivons le cryptage et la compression.\nSélectionnez CEF comme format de journal\nCliquez sur Enregistrer"},{"id":"text-16","heading":"Text","content":"Voir ci-dessous un exemple des paramètres. Cliquez sur Test de connexion et assurez-vous qu'il est réussi. Cliquez sur Sauvegarder. \n25. Assurez-vous que les journaux sont activés pour les sites pertinents, comme indiqué ci-dessous.\nVous pouvez sélectionner les journaux de sécurité ou tous les journaux d'accès site par site.\nSi vous sélectionnez Tous les journaux, tous les journaux d'accès seront récupérés, tandis que les journaux de sécurité n'enverront que les journaux dans lesquels des événements de sécurité ont été déclenchés."},{"id":"text-17","heading":"Text","content":"Notez que la sélection de Tous les journaux aura un impact significatif sur le volume des journaux."},{"id":"text-18","heading":"Text","content":"Vous trouverez plus de détails sur les différents paramètres de l’intégration des journaux SIEM dans Documentation Imperva dans ce lien.\n26. Vérifiez que les journaux sont transférés des serveurs Incapsula vers votre dossier FTP.\n \nLes premiers journaux peuvent mettre un certain temps à atteindre votre serveur, en fonction du volume de trafic sur le site, en particulier pour un site à faible trafic. Générer du trafic et des événements.\n27. Améliorer les performances et la sécurité\nPour améliorer la sécurité et les performances de votre projet d’intégration SIEM, vous pouvez envisager d’appliquer https dans Graylog. Vous pouvez trouver un guide pour configurer https sur Graylog ici.\n C'est tout! Dans mes prochains blogs, nous décrirons comment commencer à collecter et à analyser les journaux Imperva et Incapsula à l'aide de Graylog et comment créer votre premier tableau de bord.\nSi vous avez des suggestions d’améliorations ou de mises à jour pour l’une ou l’autre des étapes, veuillez en informer la communauté dans les commentaires ci-dessous."},{"id":"text-19","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/05/GettyImages-726800807.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/05/04/comment-deployer-un-serveur-graylog-siem-dans-aws-et-lintegrer-a-imperva-cloud-waf-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/comment-deployer-un-serveur-graylog-siem-dans-aws-et-lintegrer-a-imperva-cloud-waf-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/comment-deployer-un-serveur-graylog-siem-dans-aws-et-lintegrer-a-imperva-cloud-waf-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}