Splunk

Splunk是一个日志聚合器,允许您从整个网络环境中拉入日志以进行查询和报告。通过连接Splunk和InsightIDR,您可以在InsightIDR中监视发送给Splunk的日志。

将Splunk数据发送到InsightIDR有两种方式:

您可以使用TCP或UDP发送数据,这取决于您希望如何配置日志转发。

在你开始之前

本程序适用于Splunk 7.2.0版。

配置Splunk以发送数据时,收集器上每个端口只能发送一个数据流。因此,您需要为发送的每种数据类型配置一个新端口。

如果您尝试将所有Splunk数据发送到InsightIdr,则不会将数据解析为不同的事件源。每个数据类型都应该有自己的端口。

如果无法打开正确的端口,则可以将其TCP处理器变得过载和崩溃,这可能会崩溃索引器和交换数据。

使用splunk加载项

如果要使用Splunk加载项,则必须将其配置为将日志转发到InsightIdr。

按照Splunk提供的说明从细节标签:https://splunkbase.splunk.com/app/3640/#/details

编辑Splunk配置文件

如果要从一个应用程序发送防火墙日志,并且从另一个应用程序的IDS日志,则Splunk管理员必须为每个应用程序写一个节,并指定每个日志流进入单个端口。对于想要向InsightIdr发送多个应用程序日志的组织,此方法可能变得艰巨。

如果您是Splunk管理员,可以配置Splunk使用TCP发送数据。使用syslog可能会导致Splunk在数据采集过程中失败,但如果需要使用syslog,请遵循以下步骤:https://docs.splunk.com/Documentation/Splunk/7.2.4/Forwarding/Forwarddatatothird-partysystemsd#Syslog_data

有关使用Splunk BTool完成此配置的其他信息,请参阅此Splunk论坛帖子:https://answers.splunk.com/answers/729325/haseauners/729325/has-anyone-been-able-to-integrate-splunk-with-insi.html?childtoview=729951#answer-729951

当配置. conf文件,你需要包括以下代码块:

Splunk标准练习表示所有配置应在应用本地目录中完成。但是,应在系统本地目录中完成任何Syslog配置。

app.conf.

         
1
[安装]
2
is_configured = 1

idrsetup.conf

         
1
[setupentity]
2
主机名=

不要包含具有IP地址的端口。

index.conf

安装后删除此文件的内容。

outputs.conf.

         
1
[tcpout:剑杆恐惧者]
2
服务器=IP:端口
3.
sendCookedData = false
4.
5.
[tcpout]
6.
defaultGroup=rapidreader
7.
indexAndForward=真
8.
forwardedindex.0.denylist=^((?!警报|赛博方舟)。)*$
9.

在代码块的最后一行中,^((?!警报|赛博方舟)。)*$表示用于拒绝除包含“警报”或“cyberark”日志外的任何内容的正则表达式。你可以使用正则表达式或构建表达式在必要时屏蔽某些单词。

Props.conf

         
1
[索引:: Cyber​​ Ark]
2
转换赛博方舟=快速
3.
【主持人::并且】
4.
变换 - myhost =迅速

上述代码块包含由索引和主机转发到InsightIDR的两个项目。

Transforms.conf

         
1
(快速)
2
正则表达式=。
3.
DEST\u KEY=\u TCP\u路由
4.
格式= rapidreader

如果您使用的是syslog,请使用以下命令:

         
1
(快速)
2
正则表达式=。
3.
dest_key = _syslog_routing.
4.
格式= rapidreader

在InsightIdr中配置Splunk

成功配置Splunk后,必须配置InsightIDR将数据转发到安装文件,方法是将Splunk配置为数据导出器,然后在其他事件源配置期间将Splunk用作日志聚合器[收集方法]。

  1. 从您的仪表板,选择数据采集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击数据出口商.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 在“主机名”字段中,输入承载Splunk配置的计算机的FQDN或IP地址。
  6. 在“端口”字段中,输入Splunk将用于接受InsightIdr的日志的TCP端口。
  7. 对于“数据导出类型”,请检查您希望从InsightIDR日志接收的数据类型。
  8. 单击拯救按钮。
  1. 在配置不同的事件源期间,请选择日志聚合器作为你的收集方法在您完成前面的配置字段之后。
  2. 输入您配置为接受日志的Splunk端口。
  3. 在“协议”下拉列表中,选择TCP选项查看加密的框加密日志数据。
  4. 单击拯救按钮。

Splunk现在可以接受InsightIDR的日志。