SIEM — Konfiguracja Splunk

Splunk jest komercyjnym narzędziem do logowania, monitorowania i raportowania połączeń wewnętrznych.

Z pomocą tego przewodnika możesz przekazywać zdarzenia bezpieczeństwa z G DATA Management Server do swojego serwera Splunk za pomocą usługi Telegraf.

Ten przewodnik zakłada, że konfiguracja wejścia oraz konfiguracja G DATA Management Server została już wykonana.

Konfiguracja wtyczki

Podaj dane i utwórz token dla HTTP Event Collector. Token jest potrzebny do wysyłania danych. https://docs.splunk.com/Documentation/Splunk/8.0.1/Data/UsetheHTTPEventCollector

1	Otwórz Splunk Web.
2.	W Splunk Web kliknij Settings, a następnie Data Inputs.
3.	W Local Inputs kliknij HTTP Event Collector.
4.	Upewnij się, że HTTP Event Collector jest włączony.
5.	Otwórz Global Settings.
6.	Ustaw All Tokens na Enabled.
7.	Kliknij przycisk Save.
8.	Utwórz token HTTP Event Collector Token do wysyłania plików. Aby to zrobić, kliknij New Token.
9.	Na stronie Select Source wprowadź nazwę tokena w polu Name, na przykład Token metryk. Wszystkie pozostałe pola pozostają puste.
10.	Kliknij Next.
11.	Na stronie Input Settings dla Source Type, kliknij New.
12.	W polu Source Type wprowadź nazwę Twojego typu źródła.
13.	W polu Source Type Category wybierz opcję Metrics.
14.	Opcjonalnie: wprowadź opis swojego typu źródła w polu Source Type Description.
15	Wybierz opcję Metrics Index dla Default Index lub utwórz nowy indeks. Jeśli chcesz utworzyć nowy indeks, wykonaj pięć poniższych kroków. Wybierz opcję Create an Index, otworzy się nowe okno dialogowe. Określ nazwę indeksu. Wybierz Metrics dla Index Data Type. Ustaw pozostałe właściwości dla indeksu wedle potrzeb. Kliknij Save.
16.	Kliknij przycisk Review, a następnie Submit.
17.	Skopiuj wyświetlony token.

Konfiguracja wyjścia Telegraf

Wtyczka wysyła metryki w wiadomości HTTP zakodowanej w jednym z formatów danych wyjściowych.

1.	Otwórz plik konfiguracyjny za pomocą edytora tekstu: C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.config
2.	Dostosuj konfigurację: `[[outputs.syslog]] ## URL to connect to ## ex: address = "tcp://127.0.0.1:8094" ## ex: address = "tcp4://127.0.0.1:8094" ## ex: address = "tcp6://127.0.0.1:8094" ## ex: address = "tcp6://[2001:db8::1]:8094" ## ex: address = "udp://127.0.0.1:8094" ## ex: address = "udp4://127.0.0.1:8094" ## ex: address = "udp6://127.0.0.1:8094" address = "udp://127.0.0.1:514"` Linię address = "udp://127.0.0.1:514" należy zakomentować: ## address = "udp://127.0.0.1:514".
3.	Dodaj następujące linie w pliku konfiguracyjnym Telegraf po ostatniej linii w sekcji OUTPUT PLUGINS: C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.config Konfiguracja wtyczki danych wyjściowych # A plugin that can transmit metrics over HTTP [[outputs.http]] ## URL is the address to send metrics to url = "http://127.0.0.1:8080/telegraf" ## Timeout for HTTP message # timeout = "5s" ## HTTP method, one of: "POST" or "PUT" # method = "POST" ## HTTP Basic Auth credentials # username = "username" # password = "pa$$word" ## OAuth2 Client Credentials Grant # client_id = "clientid" # client_secret = "secret" # token_url = "https://indentityprovider/oauth2/v1/token" # scopes = ["urn:opc:idm:__myscopes__"] ## Optional TLS Config # tls_ca = "/etc/telegraf/ca.pem" # tls_cert = "/etc/telegraf/cert.pem" # tls_key = "/etc/telegraf/key.pem" ## Use TLS but skip chain & host verification # insecure_skip_verify = false ## Data format to output. ## Each data format has it's own unique set of configuration options, read ## more about them here: ## https://github.com/influxdata/telegraf/blob/master/docs/DATA_FORMATS_OUTPUT.md # data_format = "influx" ## HTTP Content-Encoding for write request body, can be set to "gzip" to ## compress body or "identity" to apply no encoding. # content_encoding = "identity" ## Additional HTTP headers # [outputs.http.headers] # # Should be set manually to "application/json" for json data_format # Content-Type = "text/plain; charset=utf-8" Więcej informacji: https://github.com/influxdata/telegraf/tree/master/plugins/outputs/http.
4.	Zmień 4. wiersz z url = "http://127.0.0.1:8080/telegraf" na "https://hostname:port/services/collector" url = "https://hostname:port/services/collector"
5.	Jeśli pracujesz z certyfikatami samopodpisanymi, zmień linię 27 z insecure_skip_verify = false na true. Odkomentuj tę linię. insecure_skip_verify = true
6.	Zmień format danych wyjściowych w linii 33 z data_format = "influx" na splunkjson. Odkomentuj tę linię. data_format = "splunkjson"
7.	Odkomentuj linię 40. W linii 42 zmień Content-Type z text/plain; charset=utf-8 na application/json; charset=utf-8. Również w linii 42, usuń symbol komentarza. `[outputs.http.headers] # # Should be set manually to "application/json" for json data_format Content-Type = "application/json; charset=utf-8"`
8.	Dodaj następujące linie po akapicie Content-Type, aby otrzymywać żądania od Splunk. `Authorization = "Splunk xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" X-Splunk-Request-Channel = "yyyyy-yyyy-yyyy-yyyyy"`
9.	W linii 44, w polu Authorization, wpisz utworzony token Splunk Web HTTP Event Collector. Authorization = "Splunk b0221cd8-c4b4-465a-9a3c-273e3a75aa29"
10.	Wprowadź dowolny identyfikator GUID w linii 45 dla X-Splunk-Request-Channel. Jest to potrzebne do identyfikacji żądań. Na przykład, możesz utworzyć GUID z tego generatora https://www.guidgenerator.com/online-guid-generator.aspx. X-Splunk-Request-Channel = "5ce64080-dccc-4741-8f32-09cd7ee3191a"
11.	Utwórz usługę Telegraf na nowo, używając dostosowanego pliku telegraf.conf.

Powiązane artykuły

→ Konfiguracja G DATA Management Server do pracy z SIEM (Security Information and Event Management)