À partir du sous-onglet Syslog de vos paramètres PhishER, vous pouvez configurer les serveurs Syslog connectés à votre plateforme PhishER. Le protocole de journalisation du système (System Logging Protocol), ou Syslog, est un protocole qui génère des journaux pour les appareils réseau ou les serveurs. Vous pouvez intégrer les serveurs Syslog à votre plateforme PhishER pour journaliser le déclenchement des actions PhishER.
Connecter un nouveau serveur Syslog
Pour connecter un serveur Syslog à votre plateforme PhishER, suivez les étapes ci-dessous :
- Connectez-vous à votre plateforme PhishER.
- Accédez à Settings (Paramètres) > Syslog.
- Cliquez sur le bouton New Syslog (Nouveau Syslog) situé dans le coin supérieur droit de la page.
- Dans la fenêtre contextuelle Add Syslog Settings (Ajouter des paramètres Syslog) qui s’ouvre, configurez les paramètres du serveur Syslog. Pour en apprendre davantage au sujet de ces paramètres, consultez la capture d’écran et la liste ci-dessous.
- Name (Nom) : Dans ce champ, entrez un nom personnalisé pour votre serveur Syslog.
- Protocol (Protocole) : Cliquez sur le menu déroulant pour sélectionner l’un des protocoles suivants : TCP, UDP, TLS ou TLS_INSECURE.
- Host (Hôte) : Dans ce champ, saisissez l’adresse IP de l’hôte de votre serveur Syslog.
- Port : Dans ce champ, saisissez le numéro de port de l’hôte de votre serveur Syslog.
- Format : Cliquez sur le menu déroulant pour sélectionner l’un des formats de sortie suivants : JSON, CEF ou LEEF. Pour en apprendre davantage au sujet de ces formats, consultez la section Syslog Output Formats (Formats de sortie Syslog) du présent article.
- Cliquez sur Créer.
Une fois votre serveur Syslog intégré à votre plateforme PhishER, votre organisation peut effectuer le suivi et journaliser les événements qui se produisent sur votre plateforme. Vous pouvez connecter autant de serveurs Syslog que vous le souhaitez. Si vous créez une action PhishER, vous pouvez sélectionner l’option Send to Syslog (Envoyer à Syslog) à l’étape Choose how you would like to report this action (Choisir comment signaler cette action).
Puis, vous pouvez utiliser le menu déroulant pour sélectionner l’un de vos serveurs Syslog. Lorsque votre action sera exécutée, votre serveur Syslog journalisera l’événement.
Gérer vos connexions
Dans le sous-onglet Syslog de vos paramètres Syslog, vous pouvez voir toutes les connexions à vos serveurs Syslog. Vous pouvez cliquer sur le nom d’un serveur Syslog pour ouvrir la fenêtre contextuelle Update Syslog Settings (Mettre à jour les paramètres Syslog). Vous pouvez ensuite mettre à jour l’information relative à ce serveur Syslog.
Pour plus d’informations au sujet des paramètres Syslog, consultez la capture d’écran et la liste ci-dessous.
- New Syslog (Nouveau Syslog) : Cliquez sur ce bouton pour créer une nouvelle connexion entre un serveur Syslog et votre compte PhishER.
- Name (Nom) : Cette colonne affiche le nom du serveur Syslog.
- Host (Hôte) : Cette colonne affiche l’adresse IP de l’hôte du serveur Syslog.
- Port : Cette colonne affiche le numéro de port du serveur Syslog.
- Protocol (Protocole) : Cette colonne affiche le protocole que le serveur Syslog utilise pour transférer les messages du client au serveur.
- Format : Cette colonne affiche le format de sortie des rapports du serveur Syslog.
- Actions : Cette colonne affiche les actions pouvant être exécutées sur une entrée Syslog. Vous pouvez cliquer sur l’icône de la poubelle pour supprimer l’entrée.
Formats de sortie Syslog
Vous pouvez sélectionner un format de sortie JSON, CEF ou LEEF pour vos rapports Syslog. Pour voir des exemples de chaque format de sortie, consultez les sous-sections ci-dessous.
JSON
Pour un exemple d’un format de sortie JSON, voir ci-dessous :
{ "receivedAt":"2019-05-20T17:39:43.351851Z",
"reportedAt":"2019-05-20T17:39:39Z", "sender":"sender@example.com",
"reporter":"reporter@example.com", "subject":"JSON Syslog Example",
"priority":"medium", "category":"spam", "status":"received",
"action":"Action 1", "tags":"TagSet" "permalink":"[[Unique URL]]" }
Pour plus d’informations au sujet des attributs de ce format de sortie, consultez le tableau ci-dessous :
| Attribut | Description |
|---|---|
| receivedAt |
Cet attribut indique la date et l’heure auxquelles la boîte de réception PhishER a reçu le message. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SSSSSS'Z' |
| reportedAt |
Cet attribut indique la date et l’heure auxquelles un utilisateur a signalé le message. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SS'Z' |
| sender | Cet attribut indique l’adresse courriel associée à la source originale du message. |
| reporter | Cet attribut indique l’adresse courriel de l’utilisateur qui a signalé le message. |
| subject | Cet attribut indique le texte trouvé dans la ligne d’objet du message original. |
| priority | Cet attribut indique la priorité du message. PhishER utilise les niveaux de priorité suivants : Low (Faible), Medium (Moyenne), High (Élevée), Critical (Critique) et Unknown (Inconnue). |
| category | Cet attribut indique la catégorie du message. PhishER utilise les catégories suivantes : Clean (Sûr), Spam (Pourriel), Threat (Menace) ou Unknown (Inconnu). |
| status | Cet attribut indique l’état actuel de l’analyse du message par PhishER. PhishER utilise les statuts suivants : Received (Reçu), In Review (En cours de vérification) et Resolved (Résolu). |
| action | Cet attribut indique le nom de l’action PhishER qui a déclenché ce signalement. |
| tags | Cet attribut indique l’étiquette qui est associée au message en fonction des attributs du message. |
| permalink | Cet attribut indique l’URL spécifique au message dans votre Inbox (Boîte de réception) PhishER. |
CEF
Pour un exemple d’un format de sortie CEF, voir ci-dessous :
start=1543962447998 rt=1543962447998 duser=destUserName@example.com
suser=sourceUserName@example.com cat=unknown act=Action1 cs2Label=Status
cs2=received cs3Label=Subject cs3=CEF Syslog Example cs4Label=Tags
cs4=TagSet cs6Label=Permalink cs6=[[Unique URL]]
Pour plus d’informations au sujet des attributs de ce format de sortie, consultez le tableau ci-dessous :
| Attribut | Description |
|---|---|
| start |
Cet attribut indique la date et l’heure auxquelles la boîte de réception PhishER a reçu le message. La date et l’heure sont exprimées en millisecondes. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Cet attribut indique la date et l’heure auxquelles un utilisateur a signalé le message. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SS'Z' |
| duser | Cet attribut indique l’adresse courriel de l’utilisateur qui a signalé le message. |
| suser | Cet attribut indique l’adresse courriel associée à la source originale du message. |
| cat | Cet attribut indique la catégorie du message. PhishER utilise les catégories suivantes : Clean (Sûr), Spam (Pourriel), Threat (Menace) ou Unknown (Inconnu). |
| act | Cet attribut indique le nom de l’action PhishER qui a déclenché ce signalement. |
| cs2Label=Status | Cet attribut indique l’état actuel de l’analyse du message par PhishER. PhishER utilise les statuts suivants : Received (Reçu), In Review (En cours de vérification) ou Resolved (Résolu). |
| cs3Label=Subject | Cet attribut indique le texte trouvé dans la ligne d’objet du message original. |
| cs4Label=Tags | Cet attribut indique l’étiquette qui est associée au message en fonction des attributs du message. |
| cs6Label=Permalink | Cet attribut indique l’URL spécifique au message dans votre Inbox (Boîte de réception) PhishER. |
LEF
Pour un exemple d’un format de sortie LEEF, voir ci-dessous :
start=1541008403775 rt=1541009403775 duser=destUserName@example.com
usrName=userName@example.com cat=Threat act=Test Action cs2Label=Status
cs2=Pending cs3Label=Priority cs3=High cs4Label=Subject cs4=Testing
Emailcs5Label=Tags cs5=Tag1,Tag2 cs6Label=Permalink cs6=[[Unique URL]]
Pour plus d’informations au sujet des attributs de ce format de sortie, consultez le tableau ci-dessous :
| Attribut | Description |
|---|---|
| start |
Cet attribut indique la date et l’heure auxquelles la boîte de réception PhishER a reçu le message. La date et l’heure sont exprimées en millisecondes. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Cet attribut indique la date et l’heure auxquelles un utilisateur a signalé le message. Format de la date et de l’heure : aaaa-MM-jj'T'HH:mm:ss.SS'Z' |
| duser | Cet attribut indique l’adresse courriel de l’utilisateur qui a signalé le message. |
| usrName | Cet attribut indique l’adresse courriel associée à la source originale du message. |
| cat | Cet attribut indique la catégorie du message. PhishER utilise les catégories suivantes : Clean (Sûr), Spam (Pourriel), Threat (Menace) ou Unknown (Inconnu). |
| act | Cet attribut indique le nom de l’action PhishER qui a déclenché ce signalement. |
| cs2Label=Status | Cet attribut indique l’état actuel de l’analyse du message par PhishER. PhishER utilise les statuts suivants : Pending (En attente), Received (Reçu), In Review (En cours de vérification) ou Resolved (Résolu). |
| cs3Label=Priority | Cet attribut indique la priorité du message. PhishER utilise les priorités suivantes : Low (faible), Medium (moyenne), High (élevée), Critical (critique) ou Unknown (inconnue). |
| cs4Label=Subject | Cet attribut indique le texte trouvé dans la ligne d’objet du message original. |
| cs5Label=Tags | Cet attribut indique l’étiquette qui est associée au message en fonction des attributs du message. |
| cs6Label=Permalink | Cet attribut indique l’URL spécifique au message dans votre Inbox (Boîte de réception) PhishER. |