Guide d'administration de RevealX Enterprise Console

Vous pouvez consulter le graphique du nombre d'appareils actifs et des limites pour vérifier si le nombre d' appareils actifs a dépassé la limite autorisée.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. À partir du État et diagnostics section, cliquez sur Nombre et limite d'appareils actifs pour consulter le graphique.

Vous devez configurer un serveur de messagerie et un expéditeur pour que le système ExtraHop puisse envoyer des notifications d'alerte, des notifications d'état du système ou des rapports planifiés.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Notifications.
3. Cliquez Serveur de messagerie et expéditeur.
4. Dans le Serveur SMTP dans le champ, saisissez l'adresse IP ou le nom d'hôte du serveur de messagerie SMTP sortant.
   Le serveur SMTP est le nom de domaine complet (FQDN) ou l'adresse IP d'un serveur de messagerie sortant accessible depuis le système ExtraHop. Si le serveur DNS est configuré, le serveur SMTP peut être un FQDN, sinon vous devez saisir une adresse IP.
5. Dans le Port SMTP dans le champ, saisissez le numéro de port pour la communication SMTP .
   Le port 25 est la valeur par défaut pour le SMTP et le port 465 est la valeur par défaut pour le SMTP crypté TLS.
6. À partir du Chiffrement menu déroulant, sélectionnez l'une des méthodes de chiffrement suivantes :

   Aucune

   La communication SMTP n'est pas cryptée.

   TLS

   Les communications SMTP sont cryptées via le protocole Secure Socket Layer/Transport Layer Security.

   STARTTLS

   La communication SMTP est cryptée via STARTTLS.

7. Dans le Adresse de l'expéditeur de l'alerte dans ce champ, saisissez l'adresse e-mail de l'expéditeur de la notification.

   Remarque :

   L'adresse de l'expéditeur affichée peut être modifiée par le serveur SMTP. Lors d'un envoi via un serveur SMTP de Google, par exemple, l'e-mail de l'expéditeur est remplacé par le nom d'utilisateur fourni pour l'authentification, au lieu de l'adresse d'expéditeur saisie initialement.

8. Facultatif : Sélectionnez le Valider les certificats SSL case à cocher pour activer la validation du certificat.
   Si vous sélectionnez cette option, le certificat du point de terminaison distant est validé par rapport aux chaînes de certificats racine spécifiées par le gestionnaire de certificats de confiance. Notez que le nom d'hôte spécifié dans le certificat présenté par le serveur SMTP doit correspondre au nom d'hôte spécifié dans votre configuration SMTP, faute de quoi la validation échouera. En outre, vous devez configurer les certificats auxquels vous souhaitez faire confiance sur la page Certificats fiables. Pour plus d'informations, voir Ajoutez un certificat fiable à votre système ExtraHop.
9. Dans le Adresse de l'expéditeur du rapport dans ce champ, saisissez l'adresse e-mail responsable de l'envoi du message.
   Ce champ s'applique uniquement lors de l'envoi de rapports planifiés depuis une console ExtraHop ou RevealX 360.
10. Sélectionnez le Activer l'authentification SMTP case à cocher.
11. Dans le Nom d'utilisateur et Mot de passe dans les champs, saisissez les informations d'identification de configuration du serveur SMTP.
12. Facultatif : Cliquez Paramètres du test, saisissez votre adresse e-mail (50 caractères maximum), puis cliquez sur Envoyer.
    Vous devriez recevoir un e-mail avec le titre de l'objet ExtraHop Test Email.
13. Cliquez Enregistrer.

Ajoutez une liste d'adresses e-mail à un groupe, puis sélectionnez le groupe lorsque vous configurez les paramètres de messagerie pour envoyer des notifications d'état du système, une alerte ou un rapport planifié. Bien que vous puissiez spécifier des adresses e-mail individuelles, les groupes d'e-mails constituent un moyen efficace de gérer votre liste de destinataires.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Notifications.
3. Cliquez Groupes de notifications par e-mail.
4. Cliquez Ajouter un groupe.
5. Dans le Informations sur le groupe section, configurez les informations suivantes :

   Nom: Entrez le nom du groupe de messagerie.

   Notifications de santé du système: Cochez cette case si vous souhaitez que le groupe de messagerie reçoive des alertes système générées dans des conditions telles que :

   • Un disque virtuel est dans un état dégradé.
   • Un disque physique est dans un état dégradé ou présente un nombre d' erreurs croissant.
   • Il manque une partition de disque nécessaire pour le microprogramme, la banque de données ou les données de capture de paquets.
   • Un équipement n'a pas pu se reconnecter aux services cloud ExtraHop .
   • Une licence a expiré ou arrive bientôt à expiration.
   • Une sauvegarde des personnalisations et des ressources a échoué.

6. Dans le Adresses e-mail zone de texte, saisissez les adresses e-mail des destinataires qui doivent recevoir les e-mails envoyés à ce groupe. Les adresses e-mail peuvent être saisies une par ligne ou séparées par une virgule, un point-virgule ou un espace. Les adresses e-mail sont vérifiées uniquement pour [nom] @ [entreprise] . [domaine] validation du format. Cette zone de texte doit contenir au moins une adresse e-mail pour que le groupe soit valide.
7. Cliquez Enregistrer.

L'état du réseau peut être surveillé via le protocole SNMP (Simple Network Management Protocol). Le SNMP collecte des informations en interrogeant les périphériques du réseau. Les appareils compatibles SNMP peuvent également envoyer des alertes aux stations de gestion SNMP. Les communautés SNMP définissent le groupe auquel appartiennent les appareils et les stations de gestion exécutant le protocole SNMP, qui spécifie l'endroit où les informations sont envoyées. Le nom de la communauté identifie le groupe.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Notifications.
3. En dessous Notifications, cliquez SNMP.
4. Sur le Paramètres SNMP page, dans la Moniteur SNMP dans le champ, saisissez le nom d'hôte du récepteur SNMP trap .
   Séparez les différents noms d'hôtes par des virgules.
5. Dans le Communauté SNMP dans le champ, saisissez le nom de la communauté SNMP.
6. Dans le Port SNMP dans le champ, saisissez le numéro de port SNMP de votre réseau utilisé par l'agent SNMP pour répondre au port source sur le gestionnaire SNMP.
   Le port de réponse par défaut est 162.
7. Facultatif : Cliquez Paramètres du test pour vérifier que vos paramètres SNMP sont corrects.
   Si les paramètres sont corrects, vous devriez voir apparaître une entrée dans le fichier journal SNMP du serveur SNMP similaire à cet exemple, où 192.0.2.0 est l'adresse IP de votre système ExtraHop et 192.0.2.255 est l' adresse IP du serveur SNMP :
   Une réponse similaire à cet exemple s'affiche :

   Connection from UDP: [192.0.2.0]:42164->[ 192.0.2.255]:162

   Copier
8. Cliquez Enregistrer.

L'option d'exportation Syslog vous permet d'envoyer des alertes ou des journaux d'audit depuis un système ExtraHop vers n'importe quel système distant recevant des entrées Syslog pour un archivage à long terme et une corrélation avec d'autres sources.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Notifications, puis cliquez sur Syslog.
3. Dans le Destination dans le champ, saisissez l'adresse IP du serveur Syslog distant.
4. À partir du Protocole menu déroulant, sélectionnez TCP ou UDP.
   Cette option spécifie le protocole par lequel les informations seront envoyées à votre serveur Syslog distant.
5. Dans le Port dans le champ, saisissez le numéro de port de votre serveur Syslog distant.
   La valeur par défaut est 514.
6. Cliquez Paramètres du test pour vérifier que vos paramètres Syslog sont corrects.
   Si les paramètres sont corrects, une entrée similaire à la suivante devrait apparaître dans le fichier journal Syslog du serveur Syslog :

   Jul 27 21:54:56 extrahop name="ExtraHop Test" event_id=1

   Copier
7. Cliquez Enregistrer.
8. Facultatif : Modifiez le format des messages Syslog.
   Par défaut, les messages Syslog ne sont pas conformes à la RFC 3164 ou à la RFC 5424. Vous pouvez toutefois formater les messages Syslog pour qu'ils soient conformes en modifiant le fichier de configuration en cours d'exécution.
   1. Cliquez Administrateur.
   2. Cliquez Configuration en cours d'exécution (modifications non enregistrées).
   3. Cliquez Modifier la configuration.
   4. Ajoutez une entrée sous syslog_notification, où la clé est rfc_compliant_format et la valeur est soit rfc5424 ou rfc3164.
      Le syslog_notification la section doit ressembler au code suivant :

          "syslog_notification": {
              "syslog_destination": "192.168.0.0",
              "syslog_ipproto": "udp",
              "syslog_port": 514,
              "rfc_compliant_format": "rfc5424"
          }

      Copier
   5. Cliquez Mettre à jour.
   6. Cliquez Terminé.
9. Facultatif : Modifiez le fuseau horaire référencé dans les horodatages Syslog.
   Par défaut, les horodatages Syslog font référence à l'heure UTC. Vous pouvez toutefois modifier les horodatages pour faire référence à l'heure du système ExtraHop en modifiant le fichier de configuration en cours d'exécution.
   1. Cliquez Administrateur.
   2. Cliquez Configuration en cours d'exécution (modifications non enregistrées).
   3. Cliquez Modifier la configuration.
   4. Ajoutez une entrée sous syslog_notification où se trouve la clé syslog_use_localtime et la valeur est true.
      Le syslog_notification la section doit ressembler au code suivant :

          "syslog_notification": {
              "syslog_destination": "192.168.0.0",
              "syslog_ipproto": "udp",
              "syslog_port": 514,
              "syslog_use_localtime": true
          }

      Copier
   5. Cliquez Mettre à jour.
   6. Cliquez Terminé.

Vous devez télécharger un fichier .pem contenant à la fois une clé privée et un certificat auto-signé ou un certificat d'autorité de certification.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Certificat TLS .
3. Cliquez Gérer les certificats pour développer la section.
4. Cliquez Choisissez un fichier et accédez au certificat que vous souhaitez télécharger.
5. Cliquez Ouvrir.
6. Cliquez Télécharger.
7. Enregistrez le fichier de configuration en cours

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Certificat TLS .
3. Cliquez Gérer les certificats pour développer la section.
4. Cliquez Créez un certificat SSL auto-signé basé sur le nom d'hôte.
5. Sur le Générer un certificat page, cliquez sur OK. pour générer le certificat auto-signé TLS.

   Remarque :

   Le nom d'hôte par défaut est extrahop.

6. Enregistrez le fichier de configuration en cours

Une demande de signature de certificat (CSR) est un bloc de texte codé qui est transmis à votre autorité de certification (CA) lorsque vous demandez un certificat TLS. Le CSR est généré sur le système ExtraHop où le certificat TLS sera installé et contient des informations qui seront incluses dans le certificat, telles que le nom commun (nom de domaine), l'organisation, la localité et le pays. Le CSR contient également la clé publique qui sera incluse dans le certificat. Le CSR est créé avec la clé privée du système ExtraHop, formant une paire de clés.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres réseau section, cliquez sur Certificat TLS .
3. Cliquez Gérer les certificats puis cliquez sur Exporter une demande de signature de certificat (CSR).
4. Dans le Noms alternatifs du sujet section, saisissez le nom DNS du système ExtraHop.
   Vous pouvez ajouter plusieurs noms DNS et adresses IP à protéger par un seul certificat TLS.
5. Dans le Sujet section, complétez les champs suivants.
   Seul le Nom commun le champ est obligatoire.

   Champ	Descriptif	Exemples
   Nom commun	Le nom de domaine complet (FQDN) du système ExtraHop. Le nom de domaine complet doit correspondre à l'un des noms alternatifs du sujet.	*.exemple.com découvrir.exemple.com
   Adresse e-mail	Adresse e-mail du contact principal de votre organisation.	webmaster@example.com
   Unité organisationnelle	Division de votre organisation qui gère le certificat.	Département informatique
   Organisation	Le nom légal de votre organisation. Cette entrée ne doit pas être abrégée et doit inclure des suffixes tels que Inc, Corp ou LLC.	Exemple, Inc.
   Localité/Ville	La ville où se trouve votre organisation.	Seattle
   État/province	L'État ou la province où se trouve votre organisation. Cette entrée ne doit pas être abrégée.	Washington
   Code du pays	Le code ISO à deux lettres du pays dans lequel se trouve votre organisation.	NOUS

6. Cliquez Exporter.
   Le fichier CSR est automatiquement téléchargé sur votre ordinateur.

1. Dans le Paramètres d'accès section, cliquez sur Accès au support.
2. Cliquez Générer une clé SSH.
3. Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop.
4. Cliquez Terminé.

Pour empêcher l'accès SSH au système ExtraHop avec une clé SSH existante, vous pouvez révoquer la clé SSH actuelle. Une nouvelle clé SSH peut également être régénérée si nécessaire.

1. Dans le Paramètres d'accès section, cliquez Accès au support.
2. Cliquez Générer une clé SSH.
3. Choisissez l'une des options suivantes :
   • Cliquez Régénérer la clé SSH puis cliquez sur Régénérer.

     Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop, puis cliquez sur Terminé.

   • Cliquez Révoquer la clé SSH pour empêcher l'accès SSH au système avec la clé actuelle.

En ajoutant un compte utilisateur local, vous pouvez fournir aux utilisateurs un accès direct à votre système ExtraHop et restreindre leurs privilèges en fonction de leur rôle dans votre organisation.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez sur Utilisateurs.
3. Cliquez Ajouter un utilisateur.
4. Dans le Informations personnelles section, dans le champ Identifiant de connexion, saisissez le nom d'utilisateur avec lequel les utilisateurs se connecteront à la sonde, qui ne doit pas contenir d'espaces.
   Par exemple, dentelle adalovelac.
5. Dans le champ Nom complet, saisissez le nom d'affichage de l'utilisateur.
   Le nom peut contenir des espaces. Par exemple, Ada Lovelace.
6. Dans le champ Mot de passe, saisissez le mot de passe de ce compte.

   Remarque :

   Sur les capteurs et les consoles, le mot de passe doit répondre aux critères spécifiés par politique de mot de passe globale. Sur les magasins d'enregistrements et de paquets ExtraHop, les mots de passe doivent comporter 5 caractères ou plus.

7. Dans le champ Confirmer le mot de passe, saisissez à nouveau le mot de passe dans Mot de passe champ.
8. Dans le Type d'authentification section, sélectionnez Local.
9. Dans le Type d'utilisateur section, sélectionnez le type de privilèges pour l'utilisateur.
   • Les privilèges d'administration du système et des accès permettent un accès complet en lecture et en écriture au système ExtraHop, y compris aux paramètres d'administration.
   • Les privilèges limités vous permettent de choisir parmi un sous-ensemble de privilèges et d' options.

   Remarque :

   Pour plus d'informations, consultez le Privilèges utilisateur section.

10. Cliquez Enregistrer.

Ajoutez un compte utilisateur pour les utilisateurs LDAP ou SAML lorsque vous souhaitez provisionner l'utilisateur distant avant que celui-ci ne se connecte au système ExtraHop. Une fois l'utilisateur ajouté au système, vous pouvez l'ajouter à des groupes locaux ou partager des éléments directement avec lui avant qu'il ne se connecte via le fournisseur LDAP ou SAML.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez Utilisateurs.
3. Cliquez Ajouter un utilisateur.
4. Dans le Informations personnelles section, saisissez les informations suivantes :

   ID de connexion: L'adresse e-mail avec laquelle l'utilisateur se connecte à son fournisseur d'identité LDAP ou SSO SAML.

   Remarque :

   Seules les adresses e-mail en minuscules sont prises en charge pour les utilisateurs distants.

   Nom complet: Le prénom et le nom de famille de l'utilisateur.

5. Dans le Type d'authentification section, sélectionnez télécommande.
6. Cliquez Enregistrer.

Le système ExtraHop prend en charge le protocole LDAP (Lightweight Directory Access Protocol) pour l'authentification et l'autorisation. Au lieu de stocker localement les informations d_identification de l_utilisateur, vous pouvez configurer votre système ExtraHop pour authentifier les utilisateurs à distance auprès d'un serveur LDAP existant. Notez que l'authentification LDAP ExtraHop ne demande que les comptes utilisateurs ; elle n' interroge aucune autre entité susceptible de figurer dans l'annuaire LDAP.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez sur Authentification à distance.
3. À partir du méthode dveloppement d'authentification à distance menu déroulant, sélectionnez LDAP puis cliquez sur Continuer.
4. Dans le Nom d'hôte dans le champ, saisissez le nom d'hôte ou l'adresse IP du serveur LDAP. Si vous configurez un nom d'hôte, assurez-vous que l'entrée DNS du système ExtraHop est correctement configurée.
5. Dans le Port dans le champ, saisissez le numéro de port sur lequel le serveur LDAP écoute.
6. À partir du Type de serveur menu déroulant, sélectionnez Posix ou Active Directory.
7. Facultatif : Dans le Lier le DN dans le champ, saisissez le DN de liaison. Le DN de liaison est constitué des informations dʼidentification de lʼutilisateur qui vous permettent de vous authentifier auprès du serveur LDAP pour effectuer la recherche des utilisateurs. Le DN de liaison doit disposer d'un accès par liste au DN de base et à toute unité d'organisation, à tout groupe ou à tout compte utilisateur requis pour l'authentification LDAP. Si cette valeur n'est pas définie, une liaison anonyme est effectuée. Notez que les liaisons anonymes ne sont pas activées sur tous les serveurs LDAP.
8. Facultatif : Dans le Mot de passe de liaison dans le champ, saisissez le mot de passe de liaison. Le mot de passe de liaison est le mot de passe requis lors de l'authentification auprès du serveur LDAP en tant que DN de liaison spécifié ci-dessus. Si vous configurez une liaison anonyme, laissez ce champ vide. Dans certains cas, une liaison non authentifiée est possible, lorsque vous fournissez une valeur de DN de liaison mais aucun mot de passe de liaison. Consultez votre administrateur LDAP pour connaître les paramètres appropriés.
9. À partir du Chiffrement menu déroulant, sélectionnez l'une des options de chiffrement suivantes.

   Aucune: Cette option spécifie les sockets TCP en texte clair. Dans ce mode, tous les mots de passe sont envoyés sur le réseau en texte clair.

   LDAPS: Cette option spécifie le protocole LDAP encapsulé dans le protocole TLS.

   Démarrez le protocole TLS: Cette option spécifie le protocole TLS LDAP. (Le protocole TLS est négocié avant l'envoi de tout mot de passe.)

10. Sélectionnez Valider les certificats SSL pour activer la validation des certificats. Si vous sélectionnez cette option, le certificat du point de terminaison distant est validé par rapport aux certificats racine, comme spécifié par le gestionnaire de certificats de confiance. Vous devez configurer les certificats auxquels vous souhaitez faire confiance sur la page Certificats sécurisés. Pour plus d'informations, voir Ajoutez un certificat fiable à votre système ExtraHop.
11. Dans le Intervalle de rafraîchissement dans ce champ, saisissez une valeur de temps ou laissez le réglage par défaut de 1 heure.
    L'intervalle d'actualisation garantit que toutes les modifications apportées à l'accès des utilisateurs ou des groupes sur le serveur LDAP sont mises à jour sur le système ExtraHop.
12. Dans le DN de base dans le champ, saisissez le nom distinctif (DN) de base.
    Le DN de base est le point à partir duquel un serveur recherche des utilisateurs. Seuls les groupes d'utilisateurs du DN de base peuvent accéder au système ExtraHop. Les utilisateurs peuvent être membres directs du DN de base ou être imbriqués dans une unité d'organisation au sein du DN de base si Sous-arbre entier l'option est sélectionnée pour Champ de recherche spécifié ci-dessous.

    Important :

    Pour les magasins d'enregistrements et les magasins de paquets, tous les utilisateurs qui peuvent accéder à l'espace de stockage des enregistrements ou au magasin de paquets disposent de privilèges administratifs. Vous pouvez restreindre davantage l'accès à l'aide du champ DN d'accès complet.

13. Dans le Filtre de recherche champ, saisissez un filtre de recherche.
    Les filtres de recherche vous permettent de définir des critères de recherche lorsque vous recherchez des comptes utilisateurs dans l' annuaire LDAP.

    Important :

    Le système ExtraHop ajoute automatiquement des parenthèses pour envelopper le filtre et n'analysera pas correctement ce paramètre si vous ajoutez des parenthèses manuellement. Ajoutez vos filtres de recherche à cette étape et à l'étape 5b, comme dans l' exemple suivant : cn=atlas* |(cn=EH-*)(cn=IT-*) Copier De plus, si les noms de vos groupes comportent un astérisque (*), celui-ci doit être supprimé car \2a. Par exemple, si votre groupe possède un CN appelé test*group, tapez cn=test\2agroup dans le champ Filtre de recherche.

14. À partir du Champ de recherche menu déroulant, sélectionnez l'une des options suivantes.
    L'étendue de recherche spécifie l'étendue de la recherche dans l'annuaire lors de la recherche d' entités utilisateur.

    Sous-arbre entier: Cette option recherche de manière récursive le DN du groupe pour les utilisateurs correspondants.

    Niveau unique: Cette option recherche uniquement les utilisateurs qui existent dans le DN de base, pas les sous-arbres.

15. Pour les disquaires et les magasins de paquets, dans le Accès complet au DN champ, saisissez un DN dans le DN de base.
    Cette option restreint davantage l'accès à l'espace de stockage des enregistrements ou au stockage des paquets au seul DN spécifié.

    Important :

    Tous les utilisateurs qui peuvent accéder à l'espace de stockage des enregistrements ou au stockage des paquets bénéficient de privilèges administratifs.

16. Facultatif : Pour les capteurs et les consoles, sélectionnez Importer des groupes d'utilisateurs depuis le serveur LDAP case à cocher et configurez les paramètres suivants pour importer des groupes d'utilisateurs.

    Remarque :

    L'importation de groupes d'utilisateurs LDAP vous permet de partager des tableaux de bord avec ces groupes. Les groupes importés apparaissent sur la page Groupes d'utilisateurs dans les paramètres d'administration.

    1. Dans le DN de base dans le champ, saisissez le DN de base.
       Le DN de base est le point à partir duquel un serveur recherche des groupes d'utilisateurs. Le DN de base doit contenir tous les groupes d'utilisateurs qui auront accès au système ExtraHop. Les groupes d'utilisateurs peuvent être membres directs du DN de base ou imbriqués dans une unité d'organisation au sein du DN de base si Sous-arbre entier l'option est sélectionnée pour Champ de recherche spécifié ci-dessous.
    2. Dans le Filtre de recherche dans ce champ, saisissez un filtre de recherche.
       Les filtres de recherche vous permettent de définir des critères de recherche lorsque vous recherchez des groupes d'utilisateurs dans l'annuaire LDAP.

       Important :

       Pour les filtres de recherche de groupe, le système ExtraHop filtre implicitement sur le objectclass=group, et objectclass=group ne doit donc pas être ajouté à ce filtre.

    3. À partir du Champ de recherche menu déroulant, sélectionnez l'une des options suivantes.
       L'étendue de recherche spécifie l'étendue de la recherche dans l'annuaire lors de la recherche d'entités de groupes d'utilisateurs.

       Sous-arbre entier: Cette option recherche de manière récursive le DN de base pour les groupes d'utilisateurs correspondants.

       Niveau unique: Cette option recherche les groupes d'utilisateurs qui existent dans le DN de base, mais pas les sous-arbres.

17. Cliquez Paramètres du test.
    Si le test réussit, un message d'état apparaît en bas de la page. Si le test échoue, cliquez sur Afficher les détails pour afficher la liste des erreurs. Vous devez corriger toutes les erreurs avant de continuer.
18. Cliquez Enregistrer et continuer.

Vous pouvez configurer votre système ExtraHop pour permettre aux utilisateurs de se connecter au système via le service de gestion des identités de Google.

Le système ExtraHop prend en charge le service utilisateur RADIUS (Remote Authentication Dial In User Service) pour l'authentification à distance et l'autorisation locale uniquement. Pour l'authentification à distance, le système ExtraHop prend en charge les formats RADIUS non chiffrés et en texte brut.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez sur Authentification à distance.
3. À partir du méthode dqu`authentification à distance menu déroulant, sélectionnez RAYON puis cliquez sur Continuer.
4. Sur le Ajouter un serveur RADIUS page, saisissez les informations suivantes :

   Hôte

   Le nom d'hôte ou l'adresse IP du serveur RADIUS. Assurez-vous que le DNS du système ExtraHop est correctement configuré si vous spécifiez un nom d'hôte.

   Secret

   Le secret partagé entre le système ExtraHop et le serveur RADIUS. Contactez votre administrateur RADIUS pour obtenir le secret partagé.

   Délai d'attente

   Durée en secondes pendant laquelle le système ExtraHop attend une réponse du serveur RADIUS avant de tenter à nouveau la connexion.

5. Cliquez Ajouter un serveur.
6. Facultatif : Ajoutez des serveurs supplémentaires si nécessaire.
7. Cliquez Enregistrer et terminer.
8. À partir du Options d'attribution de privilèges menu déroulant, choisissez l'une des options suivantes :
   • Les utilisateurs distants disposent d'un accès complet en écriture

     Cette option accorde aux utilisateurs distants un accès complet en écriture au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session TLS, l'accès au module NDR et l'accès au module NPM.

   • Les utilisateurs distants disposent d'un accès complet en lecture seule

     Cette option permet aux utilisateurs distants d'accéder en lecture seule au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session TLS, l'accès au module NDR et l'accès au module NPM.

9. Facultatif : Configurez l'accès aux paquets et aux clés de session. Sélectionnez l'une des options suivantes pour permettre aux utilisateurs distants de télécharger des captures de paquets et des clés de session TLS.
   • Pas d'accès
   • Tranches en sachets uniquement
   • En-têtes de paquets uniquement
   • Paquets uniquement
   • Paquets et clés de session
10. Facultatif : Configurez l'accès aux modules NDR et NPM (sur les capteurs et les consoles uniquement).
    • Pas d'accès
    • Accès complet
11. Cliquez Enregistrer et terminer.
12. Cliquez Terminé.

Le système ExtraHop prend en charge le Terminal Access Controller Access-Control System Plus (TACACS+) pour l'authentification et l'autorisation à distance.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez sur Authentification à distance.
3. À partir du méthode dqu`authentification à distance menu déroulant, sélectionnez TACACS+, puis cliquez sur Continuer.
4. Sur le Ajouter un serveur TACACS+ page, saisissez les informations suivantes :

   Hôte : Le nom d'hôte ou l'adresse IP du serveur TACACS+. Assurez-vous que le DNS du système ExtraHop est correctement configuré si vous entrez un nom d'hôte.

   Secret : Le secret partagé entre le système ExtraHop et le serveur TACACS+. Contactez votre administrateur TACACS+ pour obtenir le secret partagé.

   Remarque :

   Le secret ne peut pas inclure le signe numérique (#).

   Délai d'attente : Durée en secondes pendant laquelle le système ExtraHop attend une réponse du serveur TACACS+ avant de tenter de se reconnecter.

5. Cliquez Ajouter un serveur.
6. Facultatif : Ajoutez des serveurs supplémentaires si nécessaire.
7. Cliquez Enregistrer et terminer.
8. Pour les disquaires et les magasins de paquets, cliquez Terminé puis passez à configuration du serveur TACACS+ . Pour les capteurs et les consoles, effectuez les étapes restantes ci-dessous.
9. À partir du Options d'attribution des autorisations menu déroulant, choisissez l'une des options suivantes :
   • Obtenir le niveau de privilèges depuis un serveur distant

     Cette option permet aux utilisateurs distants d'obtenir des niveaux de privilèges auprès du serveur distant. Vous devez également configurer les autorisations sur le serveur TACACS+ .

   • Les utilisateurs distants disposent d'un accès complet en écriture

     Cette option accorde aux utilisateurs distants un accès complet en écriture au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session TLS, l'accès au module NDR et l'accès au module NPM.

   • Les utilisateurs distants disposent d'un accès complet en lecture seule

     Cette option permet aux utilisateurs distants d'accéder en lecture seule au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session TLS, l'accès au module NDR et l'accès au module NPM.

10. Facultatif : Configurez l'accès aux paquets et aux clés de session. Sélectionnez l'une des options suivantes pour permettre aux utilisateurs distants de télécharger des captures de paquets et des clés de session TLS.
    • Pas d'accès
    • Tranches en sachets uniquement
    • En-têtes de paquets uniquement
    • Paquets uniquement
    • Paquets et clés de session
11. Facultatif : Configurez l'accès aux modules NDR et NPM (sur les capteurs et les consoles uniquement).
    • Pas d'accès
    • Accès complet
12. Cliquez Enregistrer et terminer.
13. Cliquez Terminé.

Les utilisateurs disposant de privilèges d'administration du système et des accès peuvent configurer s'ils peuvent générer des clés d'API pour le système ExtraHop. Vous pouvez autoriser uniquement les utilisateurs locaux à générer des clés, ou vous pouvez également désactiver complètement la génération de clés d'API.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez Accès à l'API.
3. Dans le Gérer l'accès aux API section, sélectionnez l'une des options suivantes :
   • Autoriser tous les utilisateurs à générer une clé d'API: Les utilisateurs locaux et distants peuvent générer des clés d'API.
   • Seuls les utilisateurs locaux peuvent générer une clé d'API: Les utilisateurs distants ne peuvent pas générer de clés d'API.
   • Aucun utilisateur ne peut générer de clé d'API: aucune clé d'API ne peut être générée par aucun utilisateur.
4. Cliquez Enregistrer les paramètres.

Partage de ressources entre origines (CORS) vous permet d'accéder à l'API REST ExtraHop au-delà des limites du domaine et à partir de pages Web spécifiées sans que la demande passe par un serveur proxy.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres d'accès section, cliquez sur Accès à l'API.
3. Dans le Paramètres CORS section, spécifiez l'une des configurations d'accès suivantes.
   • Pour ajouter une URL spécifique, saisissez une URL d'origine dans la zone de texte, puis cliquez sur l'icône plus (+) ou appuyez sur ENTER.

     L'URL doit inclure un schéma, tel que HTTP ou HTTPS, et le nom de domaine exact. Vous ne pouvez pas ajouter de chemin, mais vous pouvez fournir un numéro de port.

   • Pour autoriser l'accès depuis n'importe quelle URL, sélectionnez Autoriser les requêtes d'API depuis n'importe quelle origine case à cocher.

     Remarque :

     Autoriser l'accès à l'API REST depuis n'importe quelle origine est moins sûr que de fournir une liste d' origines explicites.

4. Cliquez Enregistrer les paramètres puis cliquez sur Terminé.

Vous devez générer une clé d'API avant de pouvoir effectuer des opérations via l' API REST ExtraHop. Les clés ne peuvent être consultées que par l'utilisateur qui les a générées ou par les utilisateurs disposant de privilèges d'administration du système et des accès. Après avoir généré une clé d'API, ajoutez-la à vos en-têtes de demande ou à l'explorateur d'API ExtraHop REST.

1. Dans le Paramètres d'accès section, cliquez sur Accès à l'API.
2. Dans le Générer une clé API section, tapez la description de la nouvelle clé, puis cliquez sur Générez.
3. Faites défiler l'écran vers le bas jusqu'à Clés d'API section et copiez la clé API qui correspond à votre description.

Vous pouvez télécharger votre propre base de données GeoIP sur le système ExtraHop pour vous assurer que vous disposez de la dernière version de la base de données ou si votre base de données contient des adresses IP internes dont vous ou votre entreprise êtes le seul à connaître l'emplacement.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Configuration du système section, cliquez sur Source de données Geomap.
3. Cliquez Base de données GeoIP.
4. Dans le Base de données au niveau des villes section, sélectionnez Charger une nouvelle base de données.
5. Cliquez Choisissez un fichier et accédez au nouveau fichier de base de données au niveau de la ville sur votre ordinateur.
6. Cliquez Enregistrer.

Vous pouvez remplacer les adresses IP manquantes ou incorrectes qui se trouvent dans la base de données GeoIP. Vous pouvez saisir une liste délimitée par des virgules ou une liste à onglets de remplacements dans la zone de texte.

1. En dessous Configuration du système, cliquez Source de données Geomap .
2. Cliquez Remplacer l'emplacement IP.
3. Dans la zone de texte, tapez ou collez une liste de remplacements délimitée par des virgules ou des tabulations au format suivant :

   IP address, latitude, longitude, city, state or region, country name, ISO
   alpha-2 country code

   Copier

   Par exemple :

   10.10.113.0/24, 38.907231, -77.036464, Washington, DC, United States, US
   10.10.225.25, 47.6204, -122.3491, Seattle, WA, United States, US

   Copier
4. Cliquez Enregistrer.

Lorsque vous modifiez l'un des paramètres de configuration du système sur un système ExtraHop, vous devez confirmer les mises à jour en enregistrant le fichier de configuration en cours d'exécution. Si vous n'enregistrez pas les paramètres, les modifications sont perdues au redémarrage de votre système ExtraHop.

1. Cliquez Afficher et enregistrer les modifications.
   
2. Passez en revue la comparaison entre l'ancienne configuration en cours d'exécution et la configuration en cours d'exécution (non enregistrée), puis sélectionnez l'une des options suivantes :
   • Si les modifications sont correctes, cliquez sur Enregistrer.
   • Si les modifications ne sont pas correctes, cliquez sur Annuler puis annulez les modifications en cliquant Rétablir la configuration .

Vous pouvez télécharger le fichier de configuration en cours d'exécution sur votre poste de travail. Vous pouvez ouvrir ce fichier texte et y apporter des modifications localement, avant de copier ces modifications dans Configuration en cours fenêtre.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres de l'appliance section, cliquez sur Configuration en cours d'exécution.
3. Cliquez Télécharger la configuration sous forme de fichier.

Par défaut, le système ExtraHop synchronise l'heure système via les serveurs NTP (Network Time Protocol) *.extrahop.pool.ntp.org. Si votre environnement réseau empêche le système ExtraHop de communiquer avec ces serveurs de temps, vous devez configurer une autre source de serveur de temps.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres de l'appliance section, cliquez sur Heure du système.
3. Cliquez Configurer l'heure.
4. À partir du Sélectionnez le fuseau horaire menu déroulant, sélectionnez votre fuseau horaire.
5. Cliquez Enregistrer et continuer.
6. Sur le Configuration de l'heure page, sélectionnez l'une des options suivantes :
   • Régler l'heure manuellement

     Remarque :

     Vous ne pouvez pas régler manuellement l'heure des capteurs gérés par une console ou RevealX 360.

   • Régler l'heure avec le serveur NTP
7. Sélectionnez Régler l'heure avec le serveur NTP puis cliquez sur Sélectionnez.
   Les serveurs de temps ExtraHop, 0. extrahop.pool.ntp.org, 1. extrahop.pool.ntp.org, 2. extrahop.pool.ntp.org, et 3. extrahop.pool.ntp.org apparaissent dans les quatre premiers Serveur de temps champs par défaut.
8. Dans le Serveur de temps champs, saisissez l'adresse IP ou le nom de domaine complet (FQDN) des serveurs de temps.
   Vous pouvez spécifier jusqu'à neuf serveurs temporels.

   Conseil :

   Après avoir ajouté le cinquième serveur horaire, cliquez sur Ajouter un serveur pour afficher jusqu'à quatre champs supplémentaires du serveur de minuterie.

9. Cliquez Terminé.

Lorsque vous achetez un nouveau module de protocole, un nouveau service ou une nouvelle fonctionnalité, la licence mise à jour est automatiquement disponible sur le système ExtraHop. Cependant, vous devez appliquer la licence mise à jour au système via les paramètres d'administration pour que les nouvelles modifications prennent effet.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres de l'appliance section, cliquez sur Licence.
   Un message s'affiche concernant la disponibilité de votre nouvelle licence.
   
   
3. Cliquez Appliquer une nouvelle licence.
   Le processus de capture redémarre, ce qui peut prendre quelques minutes.

   Remarque :

   Si votre licence n'est pas automatiquement mise à jour, résoudre les problèmes de connectivité au serveur de licences ou contactez le support ExtraHop.

Si le support ExtraHop vous fournit un fichier de licence, vous pouvez installer ce fichier sur votre appliance pour mettre à jour la licence.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Paramètres de l'appliance section, cliquez sur Licence.
3. Cliquez Gérer la licence.
4. Cliquez Mettre à jour.
5. Dans le Entrez la licence zone de texte, entrez les informations de licence du module.
   Collez le texte de licence qui vous a été fourni par le support ExtraHop. Assurez-vous d'inclure tout le texte, y compris le BEGIN et END lignes, comme indiqué dans l'exemple ci-dessous :

   -----BEGIN EXTRAHOP LICENSE-----
   serial=ABC123D;
   dossier=1234567890abcdef1234567890abcdef;
   mod_cifs=1;
   mod_nfs=1;
   mod_amf=0;
   live_capture=1;
   capture_upload=1;
   ...
   ssl_decryption=0;
   +++;
   ABCabcDE/FGHIjklm12nopqrstuvwXYZAB12345678abcde901abCD;
   12ABCDEFG1HIJklmnOP+1aA=;
   =abcd;
   -----END EXTRAHOP LICENSE-----

   Copier
6. Cliquez Mettre à jour.

1. Dans l'e-mail de notification d'état du système, notez quelle machine possède le disque problématique.
2. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
3. Dans le Paramètres de l'appliance section, cliquez sur Disques.
4. Dans la section relative au type de disque (par exemple, Banque de données), recherchez le disque problématique et notez le numéro du slot.
   Cliquez Détails du disque RAID pour afficher plus de détails.

   Important :

   Conservez le disque défaillant jusqu'à ce que les données soient correctement copiées sur le nouveau disque.

5. Insérez un disque identique dans un emplacement disponible.
   Le système détecte le nouveau disque et ajoute une nouvelle ligne (Disk Error Action) contenant un lien permettant de remplacer le disque défectueux.
6. Vérifiez les informations relatives au nouveau disque :
   • En dessous Disques non utilisés sur la page Détails du disque, vérifiez que le nouveau disque a la même taille, la même vitesse et le même type que le disque à remplacer.

   • Passez la souris sur l'ancien et le nouveau disque dans la carte des lecteurs. Le nouveau disque affiche le message »Unconfigured(good), Spun Up. »

     
7. Dans la section correspondant au type de disque, cliquez sur Remplacer par un disque dans l'emplacement #n dans le Action d'erreur sur le disque rangée.

   Les données commencent à être copiées. La ligne État de la copie affiche la progression. Le fait de passer la souris sur le disque dans la carte des lecteurs indique l'état.

   
8. Une fois la copie terminée, assurez-vous que le processus de copie s'est bien déroulé :
   • Réglages le bouton et la page Paramètres n' affichent plus de messages d'erreur.
   • La page Disque affiche l'ancien disque dans la section Disque inutilisé
9. Retirez l'ancien disque.

   La carte des lecteurs affiche désormais le nouveau disque en vert.

   

1. Dans le Paramètres de l'appareil section, cliquez Disques.
   Si le Drive Map indique l'emplacement où le SSD est installé en rouge, vous devez remplacer le SSD.
2. Insérez le disque SSD dans l'emplacement où le SSD précédent a été installé et attendez que le voyant du lecteur passe au vert.
3. Dans les paramètres d'administration, actualisez le navigateur.

   La carte du lecteur indique l'emplacement du SSD en jaune car le lecteur n'est pas configuré.

   
4. À côté de Capture de paquets assistée par SSD, cliquez Activer.
   
5. Cliquez OK. pour ajouter le lecteur de capture de paquets.

   La page est actualisée et la carte du disque indique que le SSD est vert et que son état passe à Online, Spun Up.

   
   
   

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Disques section, cliquez sur Disquaire.
3. Sélectionnez Activer BigQuery comme espace de stockage des enregistrements.

   Important :

   Si vous migrez vers BigQuery depuis un espace de stockage ExtraHop connecté, vous ne pourrez plus accéder aux enregistrements stockés dans cet espace de stockage.

4. Dans le ID du projet dans ce champ, saisissez l'ID de votre projet BigQuery.
   L'ID du projet se trouve dans la console de l'API BigQuery.
5. Dans le Fichier d'identification JSON champ, cliquez sur Choisissez un fichier et sélectionnez l'un des fichiers suivants :
   • Le fichier d'informations d'identification enregistré depuis votre Compte de service BigQuery.

     Consultez la documentation Google Cloud pour savoir comment créer un compte de service et générer une clé de compte de service.

   Important :

   Créez votre compte de service avec les rôles BigQuery suivants : Éditeur de données BigQuery Visionneuse de données BigQuery Utilisateur BigQuery

   • Le fichier de configuration de votre pool d'identités de charge de travail.
6. Facultatif : Si vous avez choisi le fichier de configuration dans votre pool d'identités de charge de travail à l'étape précédente, sélectionnez Authentifiez-vous via le fournisseur d'identité local pour Workload Identity Federation et saisissez les informations d'identification de votre fournisseur d'identité dans les champs suivants :
   • URL du jeton
   • Identifiant du client
   • Secret du client
7. Cliquez Connexion de test pour vérifier que votre sonde peut communiquer avec le serveur BigQuery.
8. Cliquez Enregistrer.

Si vous avez un ExtraHop console connecté à vos capteurs ExtraHop, vous pouvez configurer et gérer les paramètres de l'espace de stockage des enregistrements sur le capteur, ou transférer la gestion des paramètres au console. Le transfert et la gestion des paramètres de l'espace de stockage des enregistrements sur la console vous permettent de maintenir les paramètres de l'espace de stockage à jour sur plusieurs capteurs.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Disques section, cliquez sur Disquaire.
3. À partir du Paramètres du Recordstore menu déroulant, sélectionnez la console, puis cliquez sur Transférer la propriété.
   Si vous décidez ultérieurement de gérer les paramètres du sonde, sélectionnez cette sonde dans le menu déroulant des paramètres de Recordstore , puis cliquez sur Transférer la propriété.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Disques section, cliquez sur Disquaire.
3. Sélectionnez Activer Splunk comme espace de stockage des enregistrements.
4. Dans le Objectif d'ingestion record section, renseignez les champs suivants :

   Hôte Splunk Ingest: Le nom d'hôte ou l'adresse IP de votre serveur Splunk.

   Port du collecteur d'événements HTTP: Port par lequel le collecteur d'événements HTTP doit envoyer les enregistrements.

   Jeton de collecte d'événements HTTP: Le jeton d'authentification que vous créé dans Splunk pour le collecteur d'événements HTTP.

5. Dans le Enregistrer la cible de la requête section, renseignez les champs suivants :

   Hôte de requêtes Splunk: Le nom d'hôte ou l'adresse IP de votre serveur Splunk.

   Port de l'API REST: Le port sur lequel envoyer les requêtes d'enregistrement.

   Méthode d'authentification: La méthode d'authentification, qui dépend de votre version de Splunk.

   Pour les versions de Splunk ultérieures à 7.3.0, sélectionnez Authentifiez-vous avec un jeton, puis collez votre jeton d'authentification Splunk. Pour obtenir des instructions sur la création d'un jeton d'authentification, consultez Documentation Splunk .

   Pour les versions de Splunk antérieures à 7.3.0, sélectionnez Authentifiez-vous avec nom d'utilisateur et mot de passe, puis saisissez vos informations dcessaires d'identification Splunk.

6. Effacez le Exiger la vérification du certificat case à cocher si votre connexion ne nécessite pas de certificat TLS valide.

   Remarque :

   Les connexions sécurisées au serveur Splunk peuvent être vérifiées via certificats fiables que vous téléchargez sur le système ExtraHop.

7. Dans le Nom de l'index dans ce champ, saisissez le nom de l'index Splunk dans lequel vous souhaitez stocker les enregistrements.
   L'index par défaut de Splunk s'appelle main, nous vous recommandons toutefois de créer un index distinct pour vos enregistrements ExtraHop et de saisir le nom de cet index. Pour obtenir des instructions sur la création d'un index, consultez Documentation Splunk.
8. (ExtraHop) sonde uniquement) Cliquez Connexion de test pour vérifier que le système ExtraHop peut atteindre votre serveur Splunk.
9. Cliquez Enregistrer.

Si vous avez un ExtraHop console connecté à vos capteurs ExtraHop, vous pouvez configurer et gérer les paramètres de l'espace de stockage des enregistrements sur le capteur, ou transférer la gestion des paramètres au console. Le transfert et la gestion des paramètres de l'espace de stockage des enregistrements sur la console vous permettent de maintenir les paramètres de l'espace de stockage à jour sur plusieurs capteurs.

1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
2. Dans le Disques section, cliquez sur Disquaire.
3. À partir du Paramètres du Recordstore menu déroulant, sélectionnez la console, puis cliquez sur Transférer la propriété.
   Si vous décidez ultérieurement de gérer les paramètres du sonde, sélectionnez cette sonde dans le menu déroulant des paramètres de Recordstore , puis cliquez sur Transférer la propriété.