Splunk
Splunk是一个日志聚合器,允许您从整个网络环境中拉入日志以进行查询和报告。通过连接Splunk和InsightIDR,您可以在InsightIDR中监视发送给Splunk的日志。
将Splunk数据发送到InsightIDR有两种方式:
您可以使用TCP或UDP发送数据,这取决于您希望如何配置日志转发。
在你开始之前
本程序适用于Splunk 7.2.0版。
配置Splunk以发送数据时,收集器上每个端口只能发送一个数据流。因此,您需要为发送的每种数据类型配置一个新端口。
如果您尝试将所有Splunk数据发送到InsightIdr,则不会将数据解析为不同的事件源。每个数据类型都应该有自己的端口。
如果无法打开正确的端口,则可以将其TCP处理器变得过载和崩溃,这可能会崩溃索引器和交换数据。
使用splunk加载项
如果要使用Splunk加载项,则必须将其配置为将日志转发到InsightIdr。
按照Splunk提供的说明从细节标签:https://splunkbase.splunk.com/app/3640/#/details
编辑Splunk配置文件
如果要从一个应用程序发送防火墙日志,并且从另一个应用程序的IDS日志,则Splunk管理员必须为每个应用程序写一个节,并指定每个日志流进入单个端口。对于想要向InsightIdr发送多个应用程序日志的组织,此方法可能变得艰巨。
如果您是Splunk管理员,可以配置Splunk使用TCP发送数据。使用syslog可能会导致Splunk在数据采集过程中失败,但如果需要使用syslog,请遵循以下步骤:https://docs.splunk.com/Documentation/Splunk/7.2.4/Forwarding/Forwarddatatothird-partysystemsd#Syslog_data
有关使用Splunk BTool完成此配置的其他信息,请参阅此Splunk论坛帖子:https://answers.splunk.com/answers/729325/haseauners/729325/has-anyone-been-able-to-integrate-splunk-with-insi.html?childtoview=729951#answer-729951
当配置. conf
文件,你需要包括以下代码块:
Splunk标准练习表示所有配置应在应用本地目录中完成。但是,应在系统本地目录中完成任何Syslog配置。
app.conf.
1[安装]2is_configured = 1
idrsetup.conf
1[setupentity]2主机名=
不要包含具有IP地址的端口。
index.conf
安装后删除此文件的内容。
outputs.conf.
1[tcpout:剑杆恐惧者]2服务器=IP:端口3.sendCookedData = false4.5.[tcpout]6.defaultGroup=rapidreader7.indexAndForward=真8.forwardedindex.0.denylist=^((?!警报|赛博方舟)。)*$9.
在代码块的最后一行中,^((?!警报|赛博方舟)。)*$
表示用于拒绝除包含“警报”或“cyberark”日志外的任何内容的正则表达式。你可以使用正则表达式或构建表达式在必要时屏蔽某些单词。
Props.conf
1[索引:: Cyber Ark]2转换赛博方舟=快速3.【主持人::并且】4.变换 - myhost =迅速
上述代码块包含由索引和主机转发到InsightIDR的两个项目。
Transforms.conf
1(快速)2正则表达式=。3.DEST\u KEY=\u TCP\u路由4.格式= rapidreader
如果您使用的是syslog,请使用以下命令:
1(快速)2正则表达式=。3.dest_key = _syslog_routing.4.格式= rapidreader
在InsightIdr中配置Splunk
成功配置Splunk后,必须配置InsightIDR将数据转发到安装文件,方法是将Splunk配置为数据导出器,然后在其他事件源配置期间将Splunk用作日志聚合器[收集方法]。
- 从您的仪表板,选择数据采集在左边的菜单上。
- 当数据收集页面出现时,单击设置事件源下拉选择添加事件源。
- 从“安全数据”部分,单击数据出口商.图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 在“主机名”字段中,输入承载Splunk配置的计算机的FQDN或IP地址。
- 在“端口”字段中,输入Splunk将用于接受InsightIdr的日志的TCP端口。
- 对于“数据导出类型”,请检查您希望从InsightIDR日志接收的数据类型。
- 单击拯救按钮。
- 在配置不同的事件源期间,请选择日志聚合器作为你的收集方法在您完成前面的配置字段之后。
- 输入您配置为接受日志的Splunk端口。
- 在“协议”下拉列表中,选择TCP选项查看加密的框加密日志数据。
- 单击拯救按钮。
Splunk现在可以接受InsightIDR的日志。