跳至主内容

GravityZone 向Splunk Enterprise发送安全遥测数据

概述

GravityZone 提供安全遥测数据(也称为“原始”或操作系统事件),使管理员能够通过Splunk Enterprise控制台进行分析、存储、筛选并建立自定义关联。

本文描述如何将此类信息从 GravityZone 转发至Splunk Enterprise v8,并列出启用 Bitdefender 安全遥测数据至SIEM系统的需求与配置步骤。

本文面向具备Windows/Linux命令行及安全证书知识的技术人员。

GravityZone 通过安装在Windows终端上的 Bitdefender终端安全工具 ( BEST )代理将安全遥测事件转发至SIEM系统。 Bitdefender GravityZone 仅控制事件提交的激活、配置及验证流程。

Security Telemetry architecture

BEST 可发送以下类型的安全遥测事件:

  • 进程(创建、终止)

  • 文件(创建、读取、修改、移动、删除)

  • 注册表(创建、删除键;修改、删除值)

  • 用户(登录、注销)

  • 网络连接

注意

您可通过配置 GravityZone 控制中心 .

先决条件

对于 Bitdefender GravityZone :

  • 安全遥测 功能适用于以下产品套件:

    • Bitdefender Cloud MSP Security(需配备ATS及 EDR 附加组件)

    • GravityZone Business Security Enterprise

    注意

    若使用本地部署的 GravityZone ,需版本6.21.1-1或更高。

  • BEST Windows安全代理需版本6.6.25.362或更高

  • BEST Linux安全代理需版本7.1.0.200110或更高

  • GravityZone 用户权限要求: 公司管理员 或具有 自定义 权限的用户(需拥有 管理网络 管理公司 权限)

对于Splunk Enterprise:

  • Splunk Enterprise 8.1.3或更新版本

  • Splunk用户权限:管理员账户

  • 访问管理控制台

  • 访问HTTP事件收集器(默认端口:8088,也可使用443端口)

配置

要从 GravityZone 接收终端安全遥测事件至Splunk Enterprise,必须确保受管终端与Splunk之间建立可信连接。通过该通道,事件可实时转发,并可查询原始数据。

为此,可使用公共证书颁发机构(CA)签发的安全证书,或使用自签名证书。若为Splunk使用CA颁发的证书,请跳转至本主题的 配置 GravityZone 章节。若使用自签名证书,请完成完整配置流程。

配置Splunk

可使用现有Splunk HTTP事件收集器,或新建专用收集器来接收来自 Bitdefender 代理的安全遥测数据。

HTTP事件收集器需满足以下配置:

  • 源类型:_json

  • 索引:main

  • 全局设置:enableSSL=1

Splunk configuration

默认情况下, BEST 将通过8088端口向Splunk HTTP收集器发送安全遥测数据。

  1. 按以下指南生成保护Splunk安装所需的自签名证书: 如何为Splunk Enterprise自签名证书 .

    输出包含以下文件:

    • myServerCertificate.pem

    • myServerPrivateKey.key

    • myCACertificate.pem

  2. 将之前获得的所有文件合并为一个证书文件。

    Windows系统命令: 

    type myServerCertificate.pem myServerPrivateKey.key myCACertificate.pem > myNewServerCertificate.pem

    Linux系统命令: 

    cat myServerCertificate.pem myServerPrivateKey.key myCACertificate.pem > myNewServerCertificate.pem

    创建完成后, myNewServerCertificate.pem 文件内容应按以下顺序包含:

    • 服务器证书: myServerCertificate.pem

    • 私钥: myServerPrivateKey.key

    • 证书颁发机构公钥: myCACertificate.pem

  3. 配置Splunk使用新证书方案:

    1. 将上述过程中获得的所有证书移至新的Splunk目录。

      例如: $SPLUNK_HOME/etc/auth/mycerts/

    2. 通过编辑 $SPLUNK_HOME/etc/apps/splunk_httpinput/local/inputs.conf .

      inputs.conf 文件应包含以下内容: 

      [http]
disabled=0
index=main
enableSSL = 1
serverCert = $SPLUNK_HOME/etc/auth/mycerts/myNewServerCertificate.pem
sslPassword = 创建证书时使用的密码

      注意

      首次编辑 inputs.conf 时可直接明文输入密码。Splunk重启后将自动加密该字段。

    3. 从图形界面重启Splunk。

      注意

      或者,您也可以仅重启 splunkd 服务: $SPLUNK_HOME/bin/splunk restart splunkd

    4. 提取 myCACertificate.pem 证书文件(位于Splunk目录 $SPLUNK_HOME/etc/auth/mycerts/ 中),并将其导入到需要提交安全遥测数据的终端设备。

      该证书必须转换为Windows终端可导入的格式,存放路径为 证书(本地计算机)>受信任的根证书颁发机构>证书 .

    5. 验证导入的证书是否有效:

      1. 通过已存储该证书的终端设备浏览器访问 https://:8088/services/collector

        注意

        若此链接无法访问,可参考 《向Splunk云平台HTTP事件收集器发送数据》 章节(位于 本文 .

      2. 点击锁形图标检查证书状态。

配置 GravityZone

  1. 使用新HTTP事件收集器的令牌值连接到 GravityZone 控制中心 .

  2. 点击应用于受控端点的策略进行编辑。

  3. 导航至 常规 > 安全遥测 .

  4. 选择 安全遥测 选项。

  5. SIEM连接设置 部分,输入SIEM服务器URL及新生成的HTTP事件收集器的Splunk令牌。

    Splunk服务器URL应遵循以下格式: https://:8088/services/collector

    Security Telemetry settings

  6. 若使用自签名证书,请勾选 绕过HTTP收集器的SSL证书验证 .

    默认情况下, 控制中心 会检查服务器URL并根据公共CA验证服务器证书。使用自签名证书时, 控制中心 将返回错误,且 控制中心 与HTTP收集器之间的通信将无法建立,除非勾选此选项。

    重要说明

    此选项仅适用于HTTP收集器与 GravityZone 控制台之间的通信,不涉及终端。

    控制中心 负责策略执行、收集器设置及事件选择。

  7. 点击 保存 .

注意

如需了解有关配置策略中安全遥测部分的更多信息,请参阅 此知识库文章 .

测试配置

验证配置步骤如下:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 选择一台已设置为发送安全遥测数据的终端。

    终端详情页面将打开。

  4. 检查 安全遥测状态 区域(位于 防护 选项卡下)。通信状态应显示为 已建立 .

    Established status

安全遥测事件 将从安装了 BEST 的受管终端直接转发至Splunk Enterprise 8。您可通过搜索原始数据及聚合不同字段来审查和调查告警。 本节

: