集成 GravityZone 云端与Splunk集成
作为 Bitdefender 合作伙伴,您可通过 GravityZone 与Splunk集成,使用 GravityZone 通过API和Splunk HTTP事件收集器实现。借助该服务,您可将 GravityZone 控制中心 的数据直接发送至Splunk Enterprise或Splunk Cloud。
前提条件
要实现 GravityZone 与Splunk的集成,您需准备以下内容:
-
您的 GravityZone 云账户凭证。
-
Splunk账户(云端或本地部署)凭证。
可选:可通过脚本自动启用集成功能。
若需 Bitdefender Splunk应用关联来自 GravityZone 的数据,必须安装 Bitdefender Splunk插件。
集成步骤
使用 GravityZone 与Splunk的集成需按以下步骤操作:
-
登录 GravityZone 控制中心 .
-
前往 我的账户 .
-
在 API密钥 部分,点击 添加 .
-
勾选 事件推送服务API 复选框并点击 保存 。新密钥将显示在API密钥表中。
-
点击 保存 以保存 我的账户 页面的更改。
-
登录Splunk。
-
进入 设置 > 数据输入 > HTTP事件收集器 .
-
点击 新建令牌 .
-
在 添加数据 界面中,填写 名称 字段(如下图所示),然后点击 下一步 .
-
在 源类型 处,点击 选择 并选择
_json.
使用 Bitdefender Splunk应用时,安装完 Bitdefender Splunk插件后,点击 选择 并选择
bitdefender:gz作为数据源。
-
在 索引 处,选择默认索引或新建一个。HTTP事件收集器接收的事件将被存入所选索引。
-
点击 审核 .
-
确认输入信息后点击 提交 .
令牌已成功创建。请复制令牌值并妥善保存,后续启用集成时将需要使用。
-
前往 设置 > 数据输入 > HTTP事件收集器 并点击 全局设置 .
-
在新窗口的 所有令牌 部分,勾选 启用 .
-
点击 保存 .
当您在 GravityZone 控制中心 创建事件推送服务密钥并在Splunk中启用HTTP事件收集器后,需启用集成功能以开始将事件从 GravityZone 推送至Splunk。
-
通过Linux或Mac终端模拟器获取配置事件推送服务所需信息:
-
GravityZone API URL。
该地址位于 我的账户 > 控制中心 API 页面,通常格式类似
https://cloudgz.gravityzone.bitdefender.com/api. -
在 GravityZone .
头部值为Basic base64编码。
重要提示
要获取授权头,请运行
echo命令 后跟带冒号的API密钥(:).> echo -n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0
结果应类似于:
NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=
-
Splunk URL。
在Splunk Cloud平台中可以找到,应类似于:
https://prd-p-xlpxkqpw84k2.cloud.splunk.com。如果使用本地部署的Splunk,URL已就绪。 -
HTTP事件收集器令牌。
-
-
运行以下命令(需编辑的设置已加下划线):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicNjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {"status": 1, "serviceType": "splunk", "serviceSettings": {"url": "https://input-prd-p-r2rmnllpzv4n.cloud.splunk.com:8088/services/collector", "requireValidSslCertificate": false, "splunkAuthorization": "SplunkEA900DEB-22C8-402B-A7F9-A926C1633E7A"}, "subscribeToEventTypes": {"hwid-change": true,"modules": true,"sva": true,"registration": true,"supa-update-status": true,"av": true,"aph": true,"fw": true,"avc": true,"uc": true,"dp": true,"device-control": true,"sva-load": true,"task-status": true,"exchange-malware": true,"network-sandboxing": true,"malware-outbreak": true,"adcloud": true,"exchange-user-credentials": true,"exchange-organization-info": true,"hd": true,"antiexploit": true}}, "jsonrpc": "2.0", "method":"setPushEventSettings", "id": "1"}'
注意
GravityZone 在事件推送服务设置重新加载后,开始向Splunk发送事件。此过程每10分钟执行一次。
若要立即开始发送事件,请运行以下命令(需编辑的设置已加下划线):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicR2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {}, "jsonrpc": "2.0", "method": "getPushEventSettings", "id": "2"}'
返回结果应类似于:
{"id":"1","jsonrpc":"2.0","result":true}
测试Splunk集成
要测试集成,请运行以下命令(需编辑的设置已加下划线):
> curl -k -X POST \https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \ -H 'authorization: BasicR2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -d '{"params": {"eventType": "av"}, "jsonrpc": "2.0", "method": "sendTestPushEvent", "id": "3"}'
您还可以通过运行 GravityZone 创建的脚本,开始将事件从 Bitdefender 发送至Splunk。您可以在Linux或Mac上使用您喜欢的终端模拟器执行此操作。
-
从 此处 .
-
通过运行以下命令使脚本可执行:
chmod +x bdpusheventconfig.sh
-
运行脚本的命令如下:
./bdpusheventconfig.sh -g [控制台URL] -k [API密钥] -t [服务类型] -u [服务URL] -a [Splunk认证令牌] -v -d [事件]
该脚本包含以下选项:
|
选项 |
描述 |
|
|
GravityZone API地址 |
|
|
GravityZone API密钥 |
|
|
服务类型:splunk 或 jsonRPC |
|
|
Splunk或RPC地址 |
|
|
Splunk授权令牌 |
|
|
验证服务SSL证书 |
|
|
连接Splunk Cloud免费试用版。在服务主机前添加'input-'并使用8088端口(若未指定端口)。 |
|
|
连接Splunk Cloud实例。在服务主机前添加'http-inputs-'并使用443端口(若未指定端口)。 |
|
|
帮助 |
这些选项与手动启用集成时使用的选项类似。
[events]列表指代一个或多个以空格分隔的事件,这些事件将从 GravityZone 发送至Splunk。具体事件描述见下表:
|
事件类型标识符 |
描述 |
|
|
产品模块事件 |
|
|
安全服务器 状态事件 |
|
|
产品注册事件 |
|
|
已过时 更新服务器 事件(当 更新服务器 作为 中继 ) |
|
|
反恶意软件 事件 |
|
|
反钓鱼事件 |
|
|
防火墙 事件 |
|
|
高级威胁控制 /入侵检测系统事件 |
|
|
用户控制事件 |
|
|
数据保护事件 |
|
|
高级检测 事件 |
|
|
过载 安全服务器 事件 |
|
|
任务状态事件 |
|
|
Exchange恶意软件检测事件 |
|
|
沙箱分析器 检测 |
|
|
Active Directory集成问题 |
|
|
Exchange用户凭证 |
|
|
反漏洞利用事件 |
|
|
网络攻击防御 事件 |
|
|
终端迁入(用于将终端从一个公司迁移至另一个公司) |
|
|
终端迁出(用于将终端从一个公司迁移至另一个公司) |
|
|
硬件ID变更 |
|
|
安装代理 |
|
|
新建事件 |
|
|
勒索软件活动检测 |
|
|
安全容器 可用更新 |
|
|
故障排除活动 |
|
|
卸载代理 |
要订阅所有事件,请使用值
全部
或单独指定每个事件。如果事件列表为空(未指定事件类型),则集成功能将被禁用。
示例
启用Splunk集成
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -d modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c all
配置json RPC服务
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t jsonRPC -u https://rpc.example.com modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
禁用Splunk集成
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 –c
有关推送事件服务的详细信息,请参阅 推送 部分。
有关基于 GravityZone 数据在Splunk中创建报告的详细信息,请参阅 基于以下数据在Splunk中创建报告 GravityZone 数据 .