SecuAAS Docs
SecuSIEM

Guide utilisateur

Prise en main complete de SecuSIEM : portail, recherche de logs, alertes, incidents, sources, rapports, statut, settings et assistant IA

Guide utilisateur SecuSIEM

Ce guide couvre, module par module, l'utilisation de SecuSIEM pour un utilisateur connecte d'une organisation cliente. Toutes les actions decrites se font dans le perimetre de votre tenant (votre organisation) et de vos espaces de travail.

1. Acceder au portail

Le portail est accessible a l'adresse https://secusiem.secuaas.com.

L'authentification se fait par authentification unique (SSO) : cliquez sur le bouton de connexion, vous etes redirige vers le fournisseur d'identite SecuAAS, puis ramene au portail une fois connecte. Aucun mot de passe n'est saisi sur SecuSIEM lui-meme.

Une fois connecte, votre session ouvre l'acces a l'ensemble des modules decrits ci-dessous. Votre identite et la liste de vos espaces de travail sont resolues automatiquement.

2. Espaces de travail (workspaces) et selection

Votre organisation peut etre decoupee en plusieurs espaces de travail. Un espace de travail regroupe ses propres logs, sources, alertes et incidents.

  • Le selecteur d'espace de travail du portail vous laisse basculer entre les espaces dont vous etes membre.
  • Lorsqu'un espace est selectionne, toutes les vues sont automatiquement filtrees sur cet espace : logs, alertes, incidents, sources, tableaux de bord.
  • Sans selection, vous voyez l'ensemble des donnees de votre tenant (vue a l'echelle de l'organisation).

Cote API, ce filtrage correspond a l'en-tete X-Workspace-Id (voir la reference API). Vous ne pouvez jamais voir un espace de travail dont vous n'etes pas membre.

Note conceptuelle (vue portail) : la page d'accueil affiche un bandeau de selection d'espace de travail en haut. Le nom de l'espace courant y est rappele en permanence, et un menu deroulant liste les espaces accessibles avec leur role.

3. Tableaux de bord

Le tableau de bord est la page d'entree apres connexion. Il presente une synthese de l'activite de securite et de la volumetrie de logs :

  • Statistiques d'alertes -- nombre d'alertes par statut et par severite.
  • Erreurs et avertissements (24 h) -- nombre de lignes de log en niveau erreur et avertissement sur les dernieres 24 heures.

Ces compteurs sont mis en cache et rafraichis en arriere-plan pour un affichage instantane (ils ne bloquent jamais l'interface). Le tableau de bord respecte l'espace de travail selectionne : un espace donne ne voit jamais les compteurs d'un autre.

4. Recherche et consultation de logs

Le module de recherche de logs est le coeur de l'exploration. Il interroge le moteur de stockage de logs en restant strictement limite a votre tenant et a votre espace de travail.

4.1 Recherche simple

Sans saisir de requete, le portail affiche par defaut les logs recents de votre tenant (ou de l'espace selectionne). Vous pouvez ajuster :

  • La fenetre temporelle -- soit une duree relative (15 minutes, 1 heure, 24 heures), soit un intervalle precis (dates de debut et de fin).
  • Le nombre de lignes -- de 1 a 5000 (100 par defaut).

4.2 Requetes LogQL (cote utilisateur)

Pour cibler plus finement, vous pouvez fournir une requete au format LogQL restreint. Pour des raisons de securite, seules les constructions suivantes sont acceptees cote utilisateur :

  • Un selecteur de flux en tete de requete : {label="valeur"}.
  • L'operateur d'egalite = uniquement (les matchers a expressions regulieres ne sont pas acceptes dans le selecteur).
  • Les labels autorises dans le selecteur : job, source, level, service, host, namespace_name.
  • Une chaine de traitement optionnelle limitee a : | json, | line_format "...", | label_format key="...", et les filtres de ligne |= "..." / != "...".

Le filtrage par organisation est toujours applique cote serveur : vous n'avez pas a (et ne pouvez pas) preciser votre identifiant de tenant ou d'espace de travail dans la requete -- ils sont injectes automatiquement. Toute valeur que vous tenteriez de passer pour ces labels est ignoree.

Exemple de requete valide :

{namespace_name="prod", level="error"} |= "timeout"

4.3 Live-tail et chargement progressif

  • Live-tail : le portail rafraichit la liste de logs a intervalle regulier pour suivre l'activite en quasi temps reel.
  • Auto-load (chargement progressif) : en parcourant les resultats, des lignes supplementaires sont chargees a la volee, dans la limite que vous avez fixee.

Chaque ligne affiche son horodatage, son contenu et ses labels.

4.4 Labels disponibles

Le portail peut lister les labels disponibles pour votre tenant afin de vous aider a construire vos selecteurs. C'est l'equivalent de l'endpoint logs/labels cote API.

5. Assistant IA sur les logs

L'assistant IA vous permet d'interroger vos logs en langage naturel depuis le portail, sans connaitre LogQL.

  1. Posez une question, par exemple : "Quelles erreurs d'authentification dans le namespace prod cette derniere heure ?"
  2. Vous pouvez affiner avec des filtres optionnels : un namespace, une fenetre temporelle (15m, 1h, 6h, 24h) et une severite.
  3. L'assistant construit la requete cote serveur, recupere les logs pertinents (limites a votre tenant et a votre espace de travail) et vous repond.

La reponse comprend :

  • une synthese en langage naturel ;
  • les sources (les lignes de log utilisees, avec horodatage, pod et namespace) ;
  • la requete effectivement executee, pour transparence.

L'assistant n'expose jamais de logs en dehors de votre perimetre : le filtrage par tenant et par espace de travail est force cote serveur.

6. Alertes

Le module Alertes liste les alertes levees par les moteurs de detection sur vos logs.

6.1 Consulter et filtrer

La liste d'alertes peut etre filtree par :

  • Severite (par ex. low, medium, high, critical),
  • Statut (par ex. ouvert, pris en charge, resolu),
  • Regle ayant declenche l'alerte,
  • Namespace,
  • Periode (today, week, ou un horodatage precis).

La liste est paginee. Chaque alerte affiche sa severite, sa regle, son statut et son horodatage.

6.2 Detail d'une alerte

Le detail d'une alerte presente son contexte complet. Vous pouvez egalement consulter les correspondances de renseignement sur les menaces associees : si l'alerte est correlee a un indicateur de compromission connu (IP, URL ou hash malveillant), la correspondance est affichee avec son niveau de confiance.

6.3 Cycle de vie d'une alerte

Depuis le detail d'une alerte, vous pouvez :

  • Prendre en charge (acknowledge) -- signaler que l'alerte est en cours de traitement ;
  • Resoudre (resolve) -- cloturer l'alerte ;
  • Rouvrir (reopen) -- revenir sur une alerte resolue.

6.4 Retour d'analyse (feedback)

Apres analyse, vous pouvez consigner votre verdict sur une alerte : sa disposition (par ex. vrai positif, faux positif), une eventuelle correction de severite, des corrections de techniques MITRE et un commentaire libre. Ce retour ajuste la disposition de l'alerte et alimente l'amelioration continue de la detection.

7. Incidents (cas)

Un incident regroupe plusieurs alertes liees a un meme evenement de securite, pour en gerer l'investigation de bout en bout.

7.1 Lister et creer

  • La liste d'incidents peut etre filtree par statut : open, investigating, contained, resolved, closed.
  • Pour creer un incident, renseignez un titre (obligatoire), une severite (low, medium, high, critical -- medium par defaut), un statut initial (open par defaut) et, optionnellement, un responsable (assignee).

Un incident cree dans un espace de travail est visible uniquement dans cet espace.

7.2 Suivre le cycle de vie

Depuis un incident, vous pouvez :

  • Mettre a jour son titre, son statut, sa severite ou son responsable. Chaque changement est consigne dans la chronologie.
  • Ajouter une note d'analyste a la chronologie (texte libre).
  • Lier une alerte a l'incident afin de regrouper les elements pertinents.

La chronologie (timeline) conserve l'historique horodate de toutes ces actions : creation, changements de statut, notes, liaisons d'alertes. Une eventuelle kill chain (sequence d'attaque reconstituee) est egalement disponible sur l'incident.

8. Sources de logs

Le module Sources permet de declarer et gerer les emetteurs de logs de votre organisation.

8.1 Sources declarees

Vous pouvez lister, creer, consulter, modifier et supprimer des sources de logs. Une source comporte :

  • un nom (obligatoire) ;
  • un type : syslog, kubernetes, application, firewall ou cloud (application par defaut) ;
  • un protocole : api, loki, syslog, s3_poll, otlp ou webhook (api par defaut) ;
  • un ou plusieurs pipelines cibles (ops par defaut) ;
  • une configuration specifique (objet libre) ;
  • un etat actif/inactif ;
  • optionnellement, l'espace de travail d'affectation.

La liste peut etre filtree par type, par protocole et par etat (actif/inactif).

8.2 Sources decouvertes automatiquement

SecuSIEM peut decouvrir automatiquement les emetteurs actifs. Pour les charges Kubernetes, les namespaces qui envoient effectivement des logs sont detectes et listes comme sources decouvertes, avec leur volume. Cela vous aide a reperer rapidement ce qui emet sans declaration manuelle.

9. Rapports

Le module Rapports genere un rapport mensuel d'activite pour votre organisation.

  • Choisissez l'annee et le mois (le mois courant par defaut).
  • Choisissez le format : json (par defaut, exploitable par programme) ou html (mise en page lisible, exportable/imprimable).

Le rapport synthetise l'activite de la periode et inclut une synthese redigee par l'IA.

10. Statut systeme

La page Statut systeme presente l'etat operationnel de la plateforme pour votre tenant :

  • Volumetrie de logs -- total ingere sur 24 h, debit instantane (lignes/s) et repartition par namespace (top namespaces) ;
  • Stockage -- etat des differents niveaux de stockage (chaud, standard, archive) ;
  • Infrastructure -- sante du moteur de logs, du moteur de tableaux de bord et nombre de collecteurs actifs ;
  • Retention -- duree de conservation appliquee.

Les metriques sont servies depuis un cache rafraichi en arriere-plan : la page repond toujours immediatement, et un indicateur signale lorsque les donnees sont encore en cours de premier calcul.

11. Diagnostics de sante du tenant

Un diagnostic de la sante de votre configuration est disponible. Il execute une serie de verifications et retourne un statut global (healthy, degraded, critical) accompagne du detail de chaque controle (nom, statut, message). Utilisez-le pour valider rapidement que votre integration est correctement configuree.

12. Page Settings

La page Settings centralise vos parametres personnels et ceux de vos espaces de travail.

12.1 Cle d'ingestion par espace de travail

Chaque espace de travail dont vous etes membre dispose d'une cle d'ingestion dediee, destinee a l'envoi de logs (ecriture seule). Depuis Settings :

  • Consulter la cle de chacun de vos espaces de travail. Si une cle n'existe pas encore, elle est generee a la demande lors de l'affichage.
  • Faire pivoter (rotate) une cle : l'ancienne est revoquee et une nouvelle est generee. La nouvelle cle n'est affichee qu'une seule fois -- copiez-la immediatement.

Ces cles sont strictement limitees a vos propres espaces de travail : vous ne pouvez ni voir ni faire pivoter la cle d'un espace dont vous n'etes pas membre. Une cle d'ingestion ne sert qu'a envoyer des logs ; elle ne donne acces a aucune fonction de lecture ou de gestion.

Bonne pratique : utilisez une cle d'ingestion distincte par espace de travail et faites-la pivoter en cas de doute sur sa confidentialite. Stockez-la dans un coffre a secrets, jamais en clair dans un depot de code.

12.2 Connecteur MCP (jeton personnel)

Settings vous permet de creer un jeton personnel MCP pour brancher SecuSIEM a un client compatible (par ex. un assistant). Ce jeton est lie a votre compte et donne acces aux espaces de travail dont vous etes membre.

  • Creer un jeton : indiquez un nom ; la cle brute est affichee une seule fois, conservez-la immediatement.
  • Lister vos jetons existants (sans jamais re-afficher la cle).
  • Revoquer un jeton que vous n'utilisez plus.

Vous ne gerez que vos propres jetons : il n'est pas possible de creer ou revoquer le jeton d'un autre utilisateur. La gestion des jetons personnels requiert une session utilisateur connectee (elle n'est pas accessible avec une cle machine).

13. Authentification cote API (rappel)

Pour automatiser ou integrer SecuSIEM hors du portail, l'API REST utilise :

  • l'en-tete X-API-Key avec la cle fournie par votre administrateur ou votre cle d'ingestion par espace de travail (selon l'usage : lecture vs ecriture de logs) ;
  • l'en-tete optionnel X-Workspace-Id pour limiter une requete a un espace de travail precis.

Tous les details, endpoint par endpoint, sont dans la reference API.

SecuSIEM

Plateforme SIEM multi-tenant : centralisez, recherchez et analysez vos logs de securite, operations, performance et conformite

Reference API

Reference complete de l'API REST SecuSIEM pour un utilisateur connecte : authentification, recherche de logs, ingestion, alertes, incidents, sources, regles, tableaux de bord, rapports, statut et portail

On this page

Guide utilisateur SecuSIEM1. Acceder au portail2. Espaces de travail (workspaces) et selection3. Tableaux de bord4. Recherche et consultation de logs4.1 Recherche simple4.2 Requetes LogQL (cote utilisateur)4.3 Live-tail et chargement progressif4.4 Labels disponibles5. Assistant IA sur les logs6. Alertes6.1 Consulter et filtrer6.2 Detail d'une alerte6.3 Cycle de vie d'une alerte6.4 Retour d'analyse (feedback)7. Incidents (cas)7.1 Lister et creer7.2 Suivre le cycle de vie8. Sources de logs8.1 Sources declarees8.2 Sources decouvertes automatiquement9. Rapports10. Statut systeme11. Diagnostics de sante du tenant12. Page Settings12.1 Cle d'ingestion par espace de travail12.2 Connecteur MCP (jeton personnel)13. Authentification cote API (rappel)