User Guide - Technical Note

NOTE TECHNIQUE
Stormshield Network
Firewall Multifonctions
Utilisation de Virtual Log
Appliance
Version du document : 1.1
Référence : snfrtno_virtual-log-appliance-1.1
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
SOMMAIRE
PREREQUIS
3
PREMIERS PAS
3
Accès au serveur
Découverte d'un tableau de bord
Première recherche
3
4
5
REQUETES ET FILTRES (QUERY / FILTERING)
5
Requêtes / Query
5
Requêtes simples
Requêtes multiples
Couleurs et légendes
Filtres
Filtre temps
Filtre personnalisé
8
8
9
LIGNES ET PANNEAUX (ROWS AND PANELS)
10
Lignes
10
Ajout d'une ligne
Gestion des lignes
Panneaux
Ajout d'un panneau
Editer une ligne
Déplacer ou supprimer un panneau
Déplacer ou supprimer une ligne
Page 2 /16
5
6
7
10
10
11
11
12
13
13
GESTION DES TABLEAUX DE BORD
14
Sauvegarde d'un tableau de bord
Ouverture d'un tableau de bord
Partage d'un tableau de bord
Sauvegarde d'un tableau de bord statique
Extraction d'un tableau de bord
Rafraîchissement automatique d'un tableau de bord
14
14
15
15
15
16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
PREREQUIS
L'installation du serveur Virtual Log Appliance for Stormshield est détaillée dans le guide
d'installation, disponible sur votre espace privé (https://mystormshield.eu).
PREMIERS PAS
Virtual Log Appliance propose l'analyse et la recherche d'évènements sous forme de
tableaux de bord. Ces tableaux de bord sont accessibles en HTTPS depuis votre navigateur.
Accès au serveur
Pour connaître l'adresse IP du serveur Virtual Log Appliance, démarrez la machine virtuelle
et connectez-vous à l’aide du compte utilisateur par défaut (« log ») via la console de
l’hyperviseur. Sélectionnez l’entrée Network Status du menu Log Appliance Configurator :
Connectez-vous ensuite en HTTPS à l'adresse indiquée (authentification avec le compte
« log » nécessaire) pour afficher la page d'accueil (0. Index):
Page 3 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Sur cette page, plusieurs panneaux sont présentés:
 0. Index: contient plusieurs icônes:




o
: retour à la page principale
o
: ouvrir une vue précédemment enregistrée
o
: enregistrer le tableau de bord en cours
o
: paramètres de la page en cours
Configuring the firewall: panneau descriptif qui rappelle que vos équipements
Stormshield doivent transmettre leurs évènements en syslog vers le serveur qui
héberge Virtual Log Appliance,
Index: une liste de vues par défaut (tableaux de bord) a été créée pour visualiser et
analyser les traces par catégorie,
Events indexed: quantité actuelle de traces reçues par Virtual Log Appliance,
Events by appliance: liste les équipements ayant déjà transmis des traces au
serveur Virtual Log Appliance. Pour chaque équipement, un compteur indique la
quantité de traces émises. Les actions permettent de filtrer (icône loupe) ou
enlever du filtre (icône supprimer) le firewall concerné.
Découverte d'un tableau de bord
Dans le panneau Index, cliquez sur Log View pour découvrir votre première vue. Le rôle
principal de cette vue est d'effectuer des recherches au sein des fichiers de traces émises
par vos équipements Stormshield et stockés en base de données.
Page 4 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Première recherche
Virtual Log Appliance permet d’effectuer des recherches au sein de la base de données en
respectant la syntaxe Apache Lucene. Les requêtes doivent être renseignées dans le
champ Query situé en haut de page :
Entrez votre recherche dans le champ Query. Les différents panneaux vont s'actualiser en
fonction de la recherche effectuée.
Exemple
http ssh alarm system
REQUETES ET FILTRES (QUERY / FILTERING)
Les tableaux de bord comportent de nombreux indicateurs : histogrammes, diagrammes en
secteurs, tableaux, cartes. Les requêtes et les filtres vont alors permettre de restreindre les
données affichées dans un tableau de bord.
Requêtes / Query
Requêtes simples
Les requêtes effectuées sur la base de données peuvent être simples ou avancées.
Exemples :
Rechercher dans les traces les mots-clés « interactive » ou « connection » :
interactive connection
Pour rechercher l’ensemble des termes, il suffit d'indiquer:
"interactive connection"
Page 5 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Effectuer une recherche sur un champ spécifique:
alarmid:6
Effectuer des recherches complexes à l’aide d'opérateurs libellés en lettres
majuscules :
ssh AND 10.0.3.30
Combiner les opérateurs à l'aide de parenthèses :
("interactive connection" OR "connection detected") AND 10.0.3.30
NOTE/REMARQUE
Les opérateurs doivent être écrits en lettres majuscules pour être pris en
compte.
Indiquer des plages de valeurs numériques pour rechercher un port par exemple :
dstport:[20 TO 23]
Cette requête permettrait ainsi de n’afficher que les ports ftp-data (20), ftp(21), ssh
(22) et telnet (23)
NOTE/REMARQUE
Le caractère joker (« * ») permet de remplacer un ensemble de caractères au
sein d’une requête.
Requêtes multiples
Dans certains cas, si vous souhaitez comparer le résultat de deux requêtes, vous pouvez
les enchaîner grâce à l'opérateur OR ou les séparer en deux champs de recherche distincts.
Cliquez sur le symbole + à droite du champ Query pour ajouter une seconde requête :
Page 6 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Vous obtenez alors deux sections permettant de répartir les recherches :
Ces requêtes vont rechercher dans les traces toutes les connexions ssh avec l'adresse IP
source ou destination 10.0.3.30 (recherche verte) ou les traces alarmes (recherche rouge).
Les diagrammes du tableau de bord seront actualisés dès l’envoi de la requête :
Pour supprimer une requête, cliquez sur l'icône
champ requête correspondant :
lorsque vous passez la souris dans le
Couleurs et légendes
La couleur d'une requête est choisie automatiquement par l’application Virtual Log
Appliance. L'administrateur du serveur est cependant libre de personnaliser les requêtes.
En effet, un simple clic sur le bouton de couleur dans le champ requête affiche, par
exemple, un menu déroulant permettant de changer la couleur ou d'assigner une nouvelle
légende à la requête.
Page 7 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Filtres
Filtre temps
Les graphiques de Virtual Log Appliance sont interactifs et peuvent être filtrés précisément
pour rechercher une valeur. Par défaut, un filtre sur le temps est appliqué
En fonction du créneau choisi, le filtre temps sera actualisé en conséquence.
Il est possible de filtrer au sein d'un graphique par simple sélection de la période souhaitée
avec la souris :
Page 8 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Cette sélection se traduira par l'ajout automatique d'un filtre en complément de la période
choisie initialement :
Filtre personnalisé
Pour ajouter un filtre personnalisé, il suffit de cliquer sur le bouton + et de renseigner le
champ souhaité :
Deux autres moyens permettent de filtrer la recherche au sein des données.
Un simple clic dans une zone d'un diagramme ou sur l'icône loupe
va créer le filtre
associé dans la zone Filtering :
Cet exemple donnera les traces de type web pour le firewall dont le nom est fwmilan.corp.local sur la période de temps choisie.
Pour chaque filtre ainsi créé, trois boutons situés dans l'entête permettent respectivement
de l'éditer, l'activer/désactiver ou le supprimer de la recherche.
Après suppression d'un filtre, les données affichées sont automatiquement actualisées.
Page 9 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
LIGNES ET PANNEAUX (ROWS AND PANELS)
Chaque tableau de bord de Virtual Log Appliance est composé de lignes et de panneaux.
Les tableaux créés par défaut sont modifiables mais de manière temporaire (ne peuvent
pas être enregistrés). Néanmoins, les tableaux de bord personnalisés peuvent être
arrangés selon vos besoins.
Lignes
Ajout d'une ligne
Prenons l'exemple d'un tableau de bord vide que l'on vient de créer. Un bouton "Add a row"
permet d'ajouter une ligne au tableau de bord et ainsi commencer sa configuration :
La nouvelle ligne va apparaître à gauche dans la liste des lignes. Cliquez sur Save pour
conserver cet ajout.
Gestion des lignes
Une nouvelle ligne apparait désormais dans votre tableau de bord. Trois boutons sur la
gauche représente cette ligne et permettent respectivement de:
 Réduire la ligne (cacher),
Page 10 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
NOTE/REMARQUE
Les requêtes et filtres peuvent également être cachés en cliquant sur leurs
boutons respectifs


Configurer la ligne,
Ajouter un panneau.
Panneaux
Les tableaux de bord sont composés de panneaux. Ils sont inclus dans des lignes et ont
pour rôle principal d'afficher le résultat de requêtes (simples ou multiples) et de filtres. Un
panneau inclura par exemple un histogramme, un camembert ou un tableau récapitulatif
des données recherchées.
Ajout d'un panneau
En cliquant sur le bouton vert (Add Panel), vous pouvez choisir différents types de
panneaux en fonction de ce que vous désirez afficher :
Choisissons par exemple un panneau de type « terms » :
Page 11 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Le panneau « terms » contient de nombreuses options. Si on se focalise sur ses
paramètres généraux, la première section contient:
 Title: nom du panneau,
 Span: largeur du panneau. Les tableaux de bord de Virtual Log Appliance sont
composés de 12 espaces de taille identique. Chaque panneau aura une taille
variant de 1 et 12,
 Editable: le panneau pourra être modifié à posteriori si la case est cochée,
 Inspectable: l'utilisateur peut voir la requête utilisée par ce panneau,
Vous pouvez désormais personnaliser le champ de recherche en modifiant les requêtes et
les filtres appliqués à la base de données de traces de vos équipements Stormshield.
Editer une ligne
Une ligne peut être renommée, dimensionnée et éditée. Pour cela, il suffit de cliquer sur le
bouton orange d'une ligne pour ouvrir la configurer.
L’onglet Panels permet, quant à lui, de modifier l'ordre de classement des panneaux de la
ligne, modifier leurs tailles ou les supprimer.
Page 12 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Déplacer ou supprimer un panneau
Il est possible de glisser-coller un panneau au sein d'une même ligne, ou d'une autre ligne
en utilisant le bouton de déplacement
situé en haut à droite d'un panneau.
La suppression d'un panneau peut être effectuée depuis la croix située en haut à droite
d'un panneau ou depuis le menu de configuration d'une ligne, comme vu précédemment.
Déplacer ou supprimer une ligne
Le placement ou la suppression des lignes s'effectue dans les paramètres du tableau de
bord en cliquant sur le bouton paramètres situé en haut à droite de la page.
Page 13 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Les flèches permettent d'ordonner les lignes selon vos préférences.
GESTION DES TABLEAUX DE BORD
Après avoir créé votre propre tableau de bord, vous souhaitez certainement le partager avec
d'autres membres de votre équipe ou mettre en place un rafraîchissement automatique des
données afin de l'afficher sur un écran de contrôle ?
Virtual Log Appliance vous donne la possibilité de sauvegarder vos propres tableaux de
bord et de les charger rapidement depuis le bouton
(« Load »).
Sauvegarde d'un tableau de bord
Pour conserver votre nouveau tableau de bord, cliquer sur la disquette de sauvegarde
située en haut à droite de l'écran. Donnez un nom à cette vue puis validez.
Ouverture d'un tableau de bord
La liste des tableaux de bord enregistrés est accessible depuis le bouton
(« Load »)
situé en haut à droite de l'écran. Depuis ce menu, vous pouvez charger, partager et
supprimer vos tableaux de bord :
Page 14 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
Partage d'un tableau de bord
Le bouton
ouvre dans un pop-up l'URL permettant d'accéder au tableau de bord
sélectionné.
Exemple
https://adresse_serveur/#dashboard/elasticsearch/MONTABLEAU
Il est également possible de générer un lien temporaire en cliquant sur le bouton de partage
situé dans l'en-tête de la page :
Exemple
https://adresse_serveur/#dashboard/temp/rb577tScQied4svrAioTMg
NOTE/REMARQUE
Les liens temporaires ont une durée de vie de 30 jours.
Sauvegarde d'un tableau de bord statique
Les tableaux de bord peuvent également être enregistrés sur le disque au format JavaScript
Object Notation (extension « .json »). Dans ce cas, le tableau de bord doit être déposé dans
le répertoire:
/opt/kibana/app/dashboards/
Extraction d'un tableau de bord
Vous désirez connaître la syntaxe d'un tableau de bord ? Vous pouvez, pour cela, cliquer
sur le bouton de sauvegarde du tableau de bord puis sur Advanced afin d'extraire son
contenu :
Page 15 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015
NOTE TECHNIQUE
VIRTUAL LOG APPLIANCE FOR STORMSHIELD
AVERTISSEMENT
Les tableaux de bord utilisent la syntaxe JSON. Il s'agit d'une syntaxe très stricte où
une parenthèse ou une virgule manquante entrainera le non chargement du tableau.
Rafraîchissement automatique d'un tableau de bord
Depuis le choix du filtre de temps, dans l'entête d'un tableau de bord, l'option Auto-Refresh
permet d'actualiser automatiquement les données affichées dans les différents panneaux.
Cela permet, par exemple, à un administrateur de superviser certains compteurs des
machines de son réseau sur son écran de contrôle :
Page 16 /16
snfrtno_virtual-log-appliance-v1.1 - Copyright Netasq 2015