1) Collecte multi-sources des journaux
Nucleon XDR prend en charge plusieurs types d’entrées pour la collecte des journaux, couvrant à la fois les sources collaboratives, applicatives et d’infrastructure :
Fichiers de logs (lecture suivie) : collecte à partir de fichiers journaux spécifiés, avec suivi continu des nouveaux événements pour garantir une ingestion complète et en temps réel.
Réseau (TCP/UDP) : collecte via écoute sur un port dédié pour la réception de logs entrants, en supportant les protocoles TCP et UDP, assurant ainsi une intégration fluide des flux réseau.
APIs des services collaboratifs : collecte directe via APIs, notamment pour les services Microsoft Office 365 à travers les Office 365 Management APIs, permettant d’extraire les événements de collaboration et d’activité utilisateur.
Autres sources applicatives ou d’infrastructure : intégration possible via des mécanismes standards tels que agents, connecteurs, flux de logs ou APIs, selon le périmètre défini et les besoins spécifiques de l’environnement.
Ces capacités permettent à Nucleon XDR d’assurer une collecte multi-sources complète, flexible et adaptée aux environnements hybrides, garantissant une visibilité exhaustive sur les événements et activités critiques.
2) Suivi des sources et normalisation des logs
Nucleon XDR permet de suivre en temps réel l’état des sources de collecte en se basant sur la fraîcheur des données reçues (dernière activité ou dernier événement ingéré). Les sources sont automatiquement qualifiées selon des statuts tels que actives, en sommeil ou inactives, ce qui permet d’identifier rapidement toute interruption de remontée ou dégradation de la collecte.
Les seuils de bascule de statut (délais d’inactivité tolérés) sont entièrement paramétrables par l’administrateur via script, afin d’adapter la supervision au type de source (endpoint, firewall, API cloud, applicatif) et aux contraintes opérationnelles (fréquence normale d’émission des logs, horaires spécifiques, maintenance planifiée).
Nucleon XDR met également à disposition, dans la console d’administration, des modèles de format (Format Templates) permettant de définir et d’éditer les règles de parsing et de normalisation des logs, afin d’intégrer de manière homogène des sources hétérogènes.
Ces modèles incluent notamment :
Le choix de la méthode de parsing : GROK, JSON, CSV ou KVP selon le format des événements.
La définition du champ horodatage ainsi que son format, incluant les formats personnalisés ou le Unix timestamp.
La configuration des champs à extraire et leur typage, garantissant une exploitation correcte des données.
Le mapping des champs vers un schéma normalisé (par exemple ECS ou schéma interne), afin d’assurer une normalisation cohérente pour la corrélation, la recherche et les tableaux de bord.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article