Splunk集成指南
您可通过Splunk应用商店的免费仪表盘应用,使移动威胁数据在保护企业资产时发挥更大效用。该方案为执行知识产权保护工作流提供了清晰路径。
Splunk数据输入选项与设置
向Splunk输入数据的选项包括:
-
通过 移动安全 控制台使用通用SIEM系统集成导出数据。这是向Splunk导出数据的最常用方式。
-
通过 移动安全 控制台使用REST端点集成导出数据。
-
通过定时任务运行的Syslog拉取脚本。
使用Splunk通用SIEM数据导出功能进行设置
此选项要求您设置Splunk以接收来自 移动安全 控制台的数据,同时还需配置 移动安全 控制台以导出威胁数据。
集成前提条件
开始集成前请确保已确认以下事项:
-
从应用商店下载并安装Splunk应用。
-
确保您拥有Splunk仪表板访问权限。
-
确保您具备 移动安全 控制台管理员访问权限。
-
确定用于Splunk控制台及 移动安全 控制台数据导出的Splunk IP地址与端口。
-
获取 移动安全 控制台IP地址以允许数据通信。
-
请与IT或防火墙团队协作将该IP地址加入允许列表或安全名单。
-
添加此IP地址可允许从 移动安全 控制台向您的Splunk IP及端口导出数据。
-
为TCP本地输入配置Splunk控制台
配置Splunk需执行以下步骤:
-
在 Splunk首页 点击 设置 然后选择 源类型 在右侧。源类型页面将显示。
-
点击 新建源类型 .
-
填写新源类型的详细信息。
-
点击 保存 .
-
通过以下步骤设置输入参数:选择上一步添加的源类型 > 将应用上下文设置为Bitdefender Splunk应用 > 将主机字段设置为DNS或IP > 将索引字段设置为main。
-
检查设置并点击 审核 保存您的工作。
-
从Splunk主页点击 设置 然后 数据输入 .
-
在本地输入的TCP部分点击 新增 。
-
点击 新建 .
-
输入端口值(例如5454),这是监听端口的值。后续在 移动安全 控制台设置中也需要输入此值。
-
检查输入内容并点击 提交 ,随后将显示类似下图的界面。
在 移动安全 控制台以进行数据导出和TCP配置
完成Splunk控制台TCP设置后,请在 移动安全 控制台中配置IP地址和端口。此端口需与Splunk控制台设置中使用的端口一致。
配置数据导出需执行以下步骤:
-
登录 移动安全 控制台。
-
在导航窗格中选择 管理 并点击 集成 选项卡。
-
点击二级 数据导出 子选项卡,然后点击 添加集成 按钮。
-
选择通用型 SIEM系统集成 .
-
为集成命名。
-
在 威胁数据 字段中选择 数据类型 ,并设置 过滤级别 为 提升 及 以上 .
-
取证信息不会显示在Splunk应用中,因此您可不勾选详细取证字段以减少数据量。详细取证设置值可根据您的数据需求自行决定。
-
点击 完成 按钮以结束 移动安全 控制台设置。
测试您的 移动安全 控制台与Splunk的集成
完成设置步骤后,需确认已有威胁报告生成新的导出数据来自 移动安全 控制台。要测试IP地址和端口是否接收到数据,请运行以下命令:
echo "Hello Splunk" | nc SIEM_IP_ADDRESS PORT
使用Splunk数据导出REST端点进行设置
此选项要求您配置Splunk以接收来自 移动安全 控制台的数据,并同时设置 移动安全 控制台导出威胁数据。 此选项仅支持威胁信息,不支持其他类型的数据导出信息。
集成前提条件
开始集成前请确保已确认以下事项:
-
从应用商店下载并安装Splunk应用。
-
确保您拥有Splunk仪表板访问权限。
-
确保您具备 移动安全 控制台管理员访问权限。
-
从Splunk控制台获取Splunk API密钥。该密钥在Splunk中生成,您需在 移动安全 控制台中设置此值。
定位Splunk API密钥值
要获取Splunk API密钥值,请执行以下步骤:
-
登录Splunk仪表盘。
-
在顶部菜单中点击 设置 .
-
点击 数据输入 .
-
点击 HTTP事件收集器 .
-
复制令牌值字段作为Splunk API密钥值,并将其用于 移动安全 控制台中的格式值字段。
为Splunk设置Syslog拉取脚本和Cron任务
这是另一种可用于从Splunk拉取数据并推送至Splunk应用的机制。这是较少使用的数据导出方式。
使用示例拉取脚本进行设置
-
从Splunk应用商店下载并安装Bitdefender Splunk应用。
-
设置一个脚本,按计划从 移动安全 控制台环境中拉取事件,并将事件放入Splunk可监控位置的JSON文件中。
-
创建一个名为Zjson的新结构化输入类型
-
通过Web界面登录Splunk。
-
导航至 设置 > 源类型 .
-
输入名称‘Zjson’。
-
输入描述。
-
设置目标应用: 仪表化 .
-
设置类别: 结构化 .
-
设置索引提取: json
-
设置时间戳提取: 高级 .
-
设置时间戳格式: %m %d %Y %H:%M:%S .
-
设置时间戳字段: eventtimestamp .
-
为高级设置匹配以下值:
-
-
为文件添加Splunk输入监视器以在文件到达时进行摄取。执行以下步骤:
-
导航至 设置 > 数据输入 .
-
对于 文件与目录 点击 新增 .
-
通过点击 浏览 并选择正确的目录,定位到文件所在目录。
-
点击 下一步 .
-
将源类型设置为 自动 ,并为Splunk应用版本1.0选择Zjson。对于Splunk应用版本1.2,则使用数据模型。
-
将 主机 字段设为
Bitdefender移动威胁. -
将索引设置为 主索引 .
-
点击 审核 然后 提交 .
-
-
当在威胁信息中包含取证数据以输入到Splunk时,需将最大输入行扩展至至少150,000个字符。
设置定时任务
要为即将接收的文件添加Splunk输入监视器,请将脚本复制到
/splunk/bin/scripts
文件夹并赋予可执行权限。
接下来,创建用于存储系统日志的文件夹。
选择间隔输入。-
在导航面板中,选择 设置 ,然后选择 数据输入 .
-
在脚本部分,点击 添加 新项。
-
选择 脚本路径 .
-
选择 脚本名称 .
-
保持
命令为默认值。 -
选择 间隔 输入。
-
选择间隔。
-
点击 下一步 .
-
在 输入设置和源类型 中,选择zJSON。
-
设置 应用控制 设置为Bitdefender Splunk应用
-
将 主机 字段设为Bitdefender移动威胁
-
根据首选数据模型选项设置 索引
-
点击 审核 并点击 提交 .
Splunk仪表板应用
该应用可帮助创建视觉震撼的仪表板
数据模型
模型包含以下信息:
-
用户
-
设备
-
威胁
Splunk应用功能
仪表板以图形等多种格式呈现统计数据,便于查看企业移动威胁环境现状。通过页面顶部的采样间隔选择器可纳入实时监测数据。每个模块均为动态显示,点击可查看原始数据并进行深入搜索。主页包含以下内容:
-
每小时警报率 按严重程度统计的每小时威胁接收数量,每十分钟更新一次
-
SEV 2级攻击趋势 显示高危攻击随时间变化率,每十分钟刷新。箭头动态指示攻击率呈上升、平稳或下降趋势
-
SEV 2级攻击趋势 显示高危攻击随时间变化率,每十分钟刷新。箭头动态指示攻击率呈上升、平稳或下降趋势
-
Top 5 - 最高威胁WiFi网络
-
Top 5 - 最高威胁运营商
-
全球集群地图 :该地图按地理位置标注事件发生位置。圆圈越大,表示显示的事件数量越多。
-
等值区域地图 - 按国家统计事件
-
按严重程度统计事件
-
按移动平台统计事件
-
全球威胁页面 :此处通过运营商及其他全球维度提供威胁详情。
-
顶部事件页面 :该页面详细展示按平台和攻击类型分类的威胁。
注意
当前自定义搜索和自定义报告页面功能尚未开放。
在 移动安全 控制台界面中导出/Syslog推送
通过 移动安全 控制台,您可在管理页面的集成与数据导出选项卡中设置Syslog或Kinesis推送。 移动安全 控制台支持为多种目标类型配置数据导出。
针对威胁,您需指定:
-
筛选级别(即所报告威胁的严重程度),可选值包括:
-
仅严重
-
较高及以上
-
较低及以上
-
一般及以上
-
-
是否需要在威胁信息中包含详细取证数据。
当设备生成安全事件时,包含相关取证信息的事件数据将被上传至 移动安全 控制台。这些数据会推送至指定环境,并以JSON格式呈现,便于任何SIEM系统解析事件及相关取证信息。