Configurer un Connecteur Elastic
Note
Cette documentation convient uniquement aux clients Bring Your Own SIEM (BYOS).
Si vous êtes un client Elastic By Nybble, toutes les configurations sont déjà effectuées.
Aperçu
En suivant cette page, vous configurerez la connexion entre votre SIEM et Nybble Hub. Il se compose d'un point de terminaison côté Hub et d'un connecteur webhook côté Elastic.
Côté Hub : connecteur
- Connectez-vous à Nybble Hub en utilisant vos identifiants habituels
- Accédez à Paramètres > Connecteurs
-
Ajoutez un connecteur Elastic puis remplissez le formulaire :
Champ Explication Valeur habituelle Nom d'affichage nom à afficher lors de l'authentification et dans les configurations du hub elastic
URL Kibana URL racine de Kibana, sera utilisée pour forger toutes les URL permettant d'accéder à votre SIEM depuis Hub https://contoso.kb.northeurope.azure.elastic-cloud.com:9243
-
Cliquez sur Enregistrer
Warning
A ce stade, le mot de passe du connecteur sera généré et disponible dans une fenêtre contextuelle.
Assurez-vous de copier et de stocker ce mot de passe dans un endroit sécurisé car il ne sera plus affiché !
Vous pouvez toujours le réinitialiser par la suite, mais vous devrez mettre à jour tous les webhooks avec la nouvelle valeur.
Côté Elastic : connecteur webhook
Note
Cette étape nécessite des droits d'administrateur du côté d'Elastic.
- Accédez à Stack Management -> Alertes et informations -> Connecteurs et cliquez sur « Créer un connecteur »
- Sélectionnez le type
Webhook
-
Remplissez les champs :
Champ Explication Valeur habituelle Nom du connecteur nom d'affichage nybble
Paramètres/Méthode du connecteur - POST Paramètres du connecteur / URL URL du point de terminaison des connecteurs nybble centraux https://connectors.nybble-analytics.io/conn/elastic
Authentification / Nom d'utilisateur, Mot de passe authentification du connecteur valeurs de Côté Hub : connecteur
Authentification / En-tête HTTP informations complémentaires, obligatoires clé : Content-Type
Valeur :application/json
-
Cliquez sur Enregistrer.
Les dernières étapes consisteront à utiliser ce connecteur sur toutes les actions de règles de sécurité, afin d'envoyer des alertes déclenchées aux services Nybble.
Habituellement, cette étape est effectuée avec Nybble (Professional Services) en fonction du périmètre de détection.