集成 GravityZone 与Splunk的云集成
作为 Bitdefender 合作伙伴,您可以通过 GravityZone API与Splunk HTTP事件收集器将 GravityZone 与Splunk集成。通过该服务,您可以将 GravityZone 控制中心 的数据直接发送至Splunk Enterprise或Splunk Cloud。
先决条件
要实现 GravityZone 与Splunk的集成,您需准备以下内容:
-
您的 GravityZone 云账户凭证。
-
Splunk账户(云端或本地)凭证。
可选:您可使用脚本自动启用集成功能。
若要通过 Bitdefender Splunk应用关联来自 GravityZone 的数据,必须安装 Bitdefender Splunk插件。
集成步骤
要使用 GravityZone 与Splunk的集成功能,请按以下步骤操作:
-
登录 GravityZone 控制中心 .
-
进入 我的账户 .
-
在 API密钥 部分,点击 添加 .
-
勾选 事件推送服务API 复选框并点击 保存 。新密钥将显示在API密钥表中。
-
点击 保存 以保存 我的账户 页面的更改。
-
登录Splunk。
-
进入 设置 > 数据输入 > HTTP事件收集器 .
-
点击 新建令牌 .
-
在 添加数据 界面中,按照下图示例填写 名称 字段,然后点击 下一步 .
-
在 源类型 处,点击 选择 并选取
_json.
使用 Bitdefender Splunk应用时,安装完 Bitdefender Splunk插件后,点击 选择 并指定
bitdefender:gz作为数据源。
-
在 索引 部分,选择默认索引或新建索引。HTTP事件收集器接收的事件将存入所选索引。
-
点击 检查 .
-
验证您输入的数据并点击 提交 .
令牌已成功创建。复制令牌值并保存,后续启用集成时将需要此令牌。
-
前往 设置 > 数据输入 > HTTP事件收集器 并点击 全局设置 .
-
在新窗口中的 所有令牌 部分,选择 启用 .
-
点击 保存 .
在 GravityZone 控制中心 创建事件推送服务密钥并在Splunk中启用HTTP事件收集器后,您需要启用集成。这意味着您需要开始将事件从 GravityZone 发送至Splunk。
-
从Linux或Mac上您喜欢的终端模拟器中获取配置事件推送服务设置所需的信息:
-
GravityZone API URL。
您可以在 我的账户 > 控制中心 API 中找到,其格式类似于
https://cloudgz.gravityzone.bitdefender.com/api. -
在 GravityZone .
请求头值为Basic base64编码。
重要提示
要获取授权请求头,请运行
echo命令 并在其后添加带冒号的API密钥(:).> echo -n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0
结果应类似于:
NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=
-
Splunk URL。
您可以在Splunk云平台中找到,其格式类似于:
https://prd-p-xlpxkqpw84k2.cloud.splunk.com。若使用本地部署的Splunk,则URL已预设。 -
HTTP事件收集器令牌。
-
-
运行以下命令(需编辑的设置已用下划线标出):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicNjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {"status": 1, "serviceType": "splunk", "serviceSettings": {"url": "https://input-prd-p-r2rmnllpzv4n.cloud.splunk.com:8088/services/collector", "requireValidSslCertificate": false, "splunkAuthorization": "SplunkEA900DEB-22C8-402B-A7F9-A926C1633E7A"}, "subscribeToEventTypes": {"hwid-change": true,"modules": true,"sva": true,"registration": true,"supa-update-status": true,"av": true,"aph": true,"fw": true,"avc": true,"uc": true,"dp": true,"device-control": true,"sva-load": true,"task-status": true,"exchange-malware": true,"network-sandboxing": true,"malware-outbreak": true,"adcloud": true,"exchange-user-credentials": true,"exchange-organization-info": true,"hd": true,"antiexploit": true}}, "jsonrpc": "2.0", "method":"setPushEventSettings", "id": "1"}'
注意
GravityZone 在事件推送服务设置重新加载后开始向Splunk发送事件。此过程每10分钟执行一次。
若要立即开始发送事件,请运行以下命令(需编辑的设置已加下划线):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicR2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {}, "jsonrpc": "2.0", "method": "getPushEventSettings", "id": "2"}'
返回结果应类似于:
{"id":"1","jsonrpc":"2.0","result":true}
测试Splunk集成
要测试集成,请运行以下命令(需编辑的设置已加下划线):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicR2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {"eventType": "av"}, "jsonrpc": "2.0", "method": "sendTestPushEvent", "id": "3"}'
您还可以通过运行 GravityZone 创建的脚本,开始将事件从 Bitdefender 发送至Splunk。您可以在Linux或Mac上使用您喜欢的终端模拟器执行此操作。
-
从 此处 .
-
通过运行以下命令使脚本可执行:
chmod +x bdpusheventconfig.sh
-
使用以下命令运行脚本:
./bdpusheventconfig.sh -g [控制台地址] -k [API密钥] -t [服务类型] -u [服务URL] -a [Splunk认证令牌] -v -d [事件]
该脚本包含以下选项:
|
选项 |
说明 |
|
|
GravityZone API地址 |
|
|
GravityZone API密钥 |
|
|
服务类型:splunk或jsonRPC |
|
|
Splunk或RPC地址 |
|
|
Splunk授权令牌 |
|
|
验证服务SSL证书 |
|
|
连接至Splunk Cloud免费试用版。在服务主机前添加'input-'并使用8088端口(若未指定端口)。 |
|
|
连接至Splunk Cloud实例。在服务主机前添加'http-inputs-'并使用443端口(若未指定端口)。 |
|
|
帮助 |
这些选项与手动启用集成时使用的选项类似。
[events]列表指代一个或多个以空格分隔的事件,这些事件将从 GravityZone 发送至Splunk。下表描述了这些事件类型:
|
事件类型标识符 |
描述 |
|
|
产品模块事件 |
|
|
安全服务器 状态事件 |
|
|
产品注册事件 |
|
|
过期的 更新服务器 事件(当 更新服务器 作为 中继 ) |
|
|
反恶意软件 事件 |
|
|
反钓鱼事件 |
|
|
防火墙 事件 |
|
|
ATC /IDS事件 |
|
|
用户控制事件 |
|
|
数据保护事件 |
|
|
HyperDetect 事件 |
|
|
过载 安全服务器 事件 |
|
|
任务状态事件 |
|
|
Exchange恶意软件检测事件 |
|
|
沙盒分析器 检测 |
|
|
Active Directory集成问题 |
|
|
Exchange用户凭据 |
|
|
反漏洞利用事件 |
|
|
网络攻击防护 事件 |
|
|
终端迁入(用于将终端从一家公司迁移至另一家公司) |
|
|
终端迁出(用于将终端从一家公司迁移至另一家公司) |
|
|
硬件ID变更 |
|
|
安装代理程序 |
|
|
新增安全事件 |
|
|
勒索软件活动检测 |
|
|
安全容器 更新可用 |
|
|
故障排查活动 |
|
|
卸载代理程序 |
要订阅所有事件,请使用值
all
或逐一指定事件类型。若事件列表为空(未指定任何事件类型),则集成功能将被禁用。
示例
启用Splunk集成
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -d modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c all
配置json RPC服务
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t jsonRPC -u https://rpc.example.com modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
禁用Splunk集成
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 –c
有关推送事件服务的详细信息,请参阅 推送 章节。
有关基于 GravityZone 数据在Splunk中创建报告的详细信息,请参阅 基于 GravityZone 数据 .