G DATA Business Solutions: SIEM Plugin Konfiguration Splunk

Splunk ist ein kostenpflichtiges Log-, Monitoring- und Reporting-Tool zur Überwachung interner Verbindungen.

Mithilfe dieser Anleitung können Sie über den Telegraf Dienst Sicherheitsereignisse des G DATA Management Servers an Ihren Splunk Server weitergeben (Output).

Diese Anleitung setzt voraus, dass die eingehende Konfiguration sowie die G DATA Management Server Konfiguration bereits vorgenommen wurde.

Plugin Konfiguration

Dateneingabe und Token für HTTP Event Collector erstellen. Der Token wird zum Senden von Daten benötigt.
https://docs.splunk.com/Documentation/Splunk/8.0.1/Data/UsetheHTTPEventCollector.

1.	Öffnen Sie Splunk Web.
2.	Klicken Sie in Splunk Web auf Settings und dann auf Data Inputs.
3.	Klicken Sie bei Local Inputs auf HTTP Event Collector.
4.	Stellen Sie sicher, dass HTTP Event Collector aktiviert ist. image::Business/HTTPEC_GlobalSettings.png[Global Settings,90%]
5.	Öffnen Sie die Global Settings.
6.	Setzen Sie All Tokens auf Enabled.
7.	Klicken Sie auf Save.
8.	Erstellen Sie einen HTTP Event Collector Token zum Senden von Dateien. Klicken Sie dafür auf New Token.
9.	Geben Sie auf der Seite Select Source im Feld Name einen Token-Namen ein, z. B. "Metrics token". Alle weiteren Felder bleiben leer.
10.	Klicken Sie auf Next.
11.	Auf der Seite Input Settings page für Source Type klicken Sie auf New.
12.	Geben Sie bei Source Type den Namen Ihres Quellentyps ein.
13.	Wählen Sie für Source Type Category die Option Metrics.
14.	Optional: geben Sie unter Source Type Description eine Beschreibung Ihres Quellentyps ein.
15.	Wählen Sie für Default Index die Option Metrics Index oder legen Sie einen neuen Index an. Wollen Sie einen neuen Index anlegen, dann führen Sie die folgenden fünf Schritte aus. Wählen Sie Create an Index aus, es öffnet sich ein neues Dialogfenster. Legen Sie einen Namen für den Index fest. Wählen Sie für Index Data Type die Option Metrics aus. Legen Sie weitere Eigenschaften für den Index fest, welche Sie benötigen. Klicken Sie auf Save.
16.	Klicken Sie auf Review und anschließend auf Submit.
17.	Kopieren Sie den angezeigten Token.

Telegraf Konfiguration (Output)

Dieses Plugin sendet Metriken in einer HTTP-Nachricht, die mit einem der Ausgabedatenformate kodiert ist.

1.	Öffnen Sie mit einem Editor die Telegraf-Konfigurationsdatei C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf/telegraf.config
2.	Passen Sie den folgenden Wert an: [[outputs.syslog]] ## URL to connect to ## ex: address = "tcp://127.0.0.1:8094" ## ex: address = "tcp4://127.0.0.1:8094" ## ex: address = "tcp6://127.0.0.1:8094" ## ex: address = "tcp6://[2001:db8::1]:8094" ## ex: address = "udp://127.0.0.1:8094" ## ex: address = "udp4://127.0.0.1:8094" ## ex: address = "udp6://127.0.0.1:8094" address = "udp://127.0.0.1:514" Die Zeile address = "udp://127.0.0.1:514" muss mit Rauten versehen werden: ## address = "udp://127.0.0.1:514".
3.	Fügen Sie in der Telegraf-Konfigurationsdatei C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf/telegraf.config folgende Zeilen hinter der letzten Zeile im Bereich OUTPUT PLUGINS hinzu. Output Plugin Konfiguration # A plugin that can transmit metrics over HTTP [[outputs.http]] ## URL is the address to send metrics to url = "http://127.0.0.1:8080/telegraf" ## Timeout for HTTP message # timeout = "5s" ## HTTP method, one of: "POST" or "PUT" # method = "POST" ## HTTP Basic Auth credentials # username = "username" # password = "pa$$word" ## OAuth2 Client Credentials Grant # client_id = "clientid" # client_secret = "secret" # token_url = "https://indentityprovider/oauth2/v1/token" # scopes = ["urn:opc:idm:__myscopes__"] ## Optional TLS Config # tls_ca = "/etc/telegraf/ca.pem" # tls_cert = "/etc/telegraf/cert.pem" # tls_key = "/etc/telegraf/key.pem" ## Use TLS but skip chain & host verification # insecure_skip_verify = false ## Data format to output. ## Each data format has it's own unique set of configuration options, read ## more about them here: ## https://github.com/influxdata/telegraf/blob/master/docs/DATA_FORMATS_OUTPUT.md # data_format = "influx" ## HTTP Content-Encoding for write request body, can be set to "gzip" to ## compress body or "identity" to apply no encoding. # content_encoding = "identity" ## Additional HTTP headers # [outputs.http.headers] # # Should be set manually to "application/json" for json data_format # Content-Type = "text/plain; charset=utf-8" Weitere Informationen erhalten unter folgendem Link: https://github.com/influxdata/telegraf/tree/master/plugins/outputs/http.
4.	Ändern Sie Zeile 4 von url = "http://127.0.0.1:8080/telegraf" zu "https://hostname:port/services/collector". url = "https://hostname:port/services/collector"
5.	Wenn Sie mit selbst signierten Zertifikaten arbeiten, ändern Sie Zeile 27 von insecure_skip_verify = "false" zu "true". Entfernen Sie die Auskommentierung. insecure_skip_verify = true
6.	Ändern Sie das Datenausgabeformat in Zeile 33 von data_format = "influx" zu "splunkjson". Entfernen Sie die Auskommentierung. data_format = "splunkjson"
7.	Entfernen Sie in Zeile 40 die Auskomentierung. Ändern Sie in Zeile 42 den Content-Type von text/plain; charset=utf-8 zu application/json; charset=utf-8. Entfernen Sie auch bei Zeile 42 die Auskommentierung. `[outputs.http.headers] # # Should be set manually to "application/json" for json data_format Content-Type = "application/json; charset=utf-8"`
8.	Fügen Sie die folgenden Zeilen nach dem Absatz Content-Type hinzu um Anfragen von Splunk zu erhalten. `Authorization = "Splunk xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" X-Splunk-Request-Channel = "yyyyy-yyyy-yyyy-yyyyy"`
9.	Tragen Sie in Zeile 44 bei Authorization Ihren erstellten Splunk Web HTTP Event Collector-Token ein. Authorization = "Splunk b0221cd8-c4b4-465a-9a3c-273e3a75aa29"
10.	Tragen Sie in Zeile 45 bei X-Splunk-Request-Channel eine beliebigen GUID ein. Diese wird zum Identifizieren von Anfragen benötigt. Eine GUID können Sie zum Beispiel bei diesem Generator erstellen: https://www.guidgenerator.com/online-guid-generator.aspx X-Splunk-Request-Channel = "5ce64080-dccc-4741-8f32-09cd7ee3191a"
11.	Legen Sie einen neuen Telegraf Dienst an, der die angepasste „telegraf.conf“ verwendet.

Verwandte Kapitel:

→ ManagementServer und Telegraf für SIEM konfigurieren