Stoïk MDR
      Revenir à l'accueil
      1. Centre d'aide
      2. Stoïk Protect
      3. Stoïk MDR

      Mise en place de la collecte des journaux Stormshield

      Introduction

      Ce guide détaille les étapes de configuration requises au sein de Stormshield pour permettre l'accès aux journaux dans votre offre XDR. Cette configuration est nécessaire pour que nos équipes puissent mettre en place la collecte de ces journaux dans votre environnement de manière sécurisée.

      1. Prérequis pour l'intégration de votre pare-feu Stormshield

      Pour garantir l'intégration optimale de votre pare-feu Stormshield avec le serveur syslog, vous devez disposer des éléments suivants, qui vous seront fournis par nos équipes:

      • Un certificat client valide
      • Le nom de domaine complet (FQDN) du serveur syslog
      • Le numéro de port de communication du serveur syslog
      • La liste des types d'événements à transmettre au serveur syslog

      Note importante: Si certains de ces éléments ne vous ont pas été communiqués ou si vous rencontrez des difficultés, veuillez contacter notre équipe technique qui vous accompagnera dans cette démarche.


      2. Configuration dans Stormshield

      1.1 Accès à la configuration Syslog

      1. Connectez-vous à l'interface d'administration de votre pare-feu Stormshield
      2. Accédez à la section Configuration > Notifications
      3. Sélectionnez l'onglet Syslog

      1.2 Création d'un profil Syslog

      1. Dans la section "Profils Syslog", cliquez sur "Ajouter" pour créer un nouveau profil
      2. Dans la zone "Détails", configurez les paramètres suivants:
        • Nom : Entrez un nom explicite pour le profil (ex: "Stoik-XDR-Logs")
        • Commentaire : Ajoutez éventuellement une description
        • Serveur Syslog : Créez un objet relatif au nom de domaine transmis par notre équipe. Il est spécifique à votre équipement, ne le modifiez pas.
        • Protocole : Sélectionnez TLS
        • Port : Utilisez le port fourni par notre équipe, il est spécifique à votre équipement, ne le modifiez pas.

      1.3 Configuration du chiffrement TLS

      Pour sécuriser la transmission des logs:

      1. Dans le champ Autorité de certification, sélectionnez l'autorité ayant signé les certificats d'authentification
      2. Laissez le champ Certificat serveur vide
      3. Dans Certificat client, importez le certificat que nous vous fournirons spécifiquement pour cette intégration
        • Notre équipe vous enverra un certificat client sécurisé pour l'authentification de votre firewall
        • Importez ce certificat dans Configuration > Objets > Certificats et PKI

      1.4 Paramètres avancés

      1. Pour le Format, sélectionnez RFC5424 (format standard conforme à la RFC 5424)
      2. Ne sélectionnez pas de  Serveur de secours
      3. Sélectionnez none pour la Catégorie (facility)

      1.5 Sélection des traces à envoyer

      Dans la grille "Traces activées":

      1. Activez les types de logs validés avec notre équipe de sécurité, dans le doute merci de nous recontacter.

      3. Vérification de la configuration

      Après avoir configuré votre profil Syslog:

      1. Assurez-vous que l'état du profil est Actif (double-cliquez sur l'état si nécessaire)
      2. Vérifiez que la connexion réseau entre le Stormshield et le serveur Syslog est ouverte
      3. Confirmez que les ports nécessaires sont autorisés dans les règles de filtrage

      4. Informations à nous fournir

      Une fois la configuration terminée, merci de nous communiquer de manière sécurisée les informations suivantes:

      • Adresse IP du pare-feu Stormshield
      • Modèle et version du firmware Stormshield
      • Types de logs activés (liste des traces configurées)
      • Format des logs configuré (RFC5424 recommandé)

      Ces informations nous permettront de finaliser l'intégration côté XDR et de commencer la collecte des logs Stormshield de manière sécurisée.