Integração de dados para Splunk Enterprise Security
A informação contida neste artigo aplica-se a Splunk Enterprise Security (ES) versões 7.x. Se tem atualizado para Splunk Enterprise Security versão 8.x , algumas terminologias e etapas podem não se aplicar. Para assistência com o ES 8.x, Splunk Professional Services pode ajudar.
Depois de identificar os seus casos de utilização, o passo seguinte é fazer com que os seus dados sejam incorporados. Splunk Enterprise Security exige que todas as fontes de dados estejam em conformidade com o Modelo de Informação Comum (CIM) do Splunk que normaliza os nomes de campo necessários para a correlação. Depois que os seus dados de segurança forem enviados para uma implementação do Splunk para serem indexados, pode correlacionar eventos de fontes de dados diferentes ao longo do tempo e identificar comportamentos complexos que podem ser maliciosos.
O documento Planeamento da fonte de dados para Splunk Enterprise Security tem informações detalhadas de configuração para complementos e outros componentes de entrada de dados.
Para introduzir dados Splunk Enterprise Security , terá de seguir estes passos:
- Identifique a fonte de dados necessária.
- Identifique e instale o complemento técnico necessário.
- Configure o servidor, dispositivo ou tecnologia correspondente.
- Personalize o complemento quando necessário.
- Configure uma entrada de dados Splunk e confirme as definições do tipo de origem.
A utilização dos TAs fornece-lhe dados compatíveis com CIM para uma implementação do Splunk. Caso necessite de validar ou resolver problemas, consulte o manual para o complemento CIM. Este complemento é normalmente incluído com o Splunk Enterprise Security instalação.
Os termos “Add-on” e “TA” são frequentemente utilizados de forma intercambiável. No entanto, são diferentes.
- Um complemento (TA) é um tipo de aplicação que fornece capacidades específicas às aplicações, tais como a entrada de dados, o mapeamento de dados ou o fornecimento de pesquisas e macros guardadas. Normalmente, um complemento não é executado como uma aplicação autónoma. Em vez disso, um complemento é um componente reutilizável que suporta outras aplicações em vários casos de utilização diferentes.
- Uma aplicação (aplicação) normalmente aborda vários casos de utilização. Uma aplicação contém uma ou mais visualizações. Uma aplicação pode incluir vários objetos de conhecimento, tais como relatórios, pesquisas, entradas com script e entradas modulares. Por vezes, uma aplicação depende de um ou mais complementos para uma funcionalidade específica.
Pode facilmente transferir os TAs necessários para enviar dados para uma implementação do Splunk para conduzir os seus casos de utilização. Existem actualmente mais de 1.400 aplicações e complementos relacionados com a segurança Splunkbase que suportam produtos de segurança da Cisco, McAfee, CrowdStrike, Z-Scaler e muitos outros. Exemplos de TAs comumente usados incluem:
- Complemento Splunk para Microsoft Windows
- Complemento Palo Alto Networks para o Splunk
- Complemento Splunk para o Check Point Log Exporter
- Splunk Add on para Microsoft Azure
- Complemento Splunk para Amazon Web Services (AWS)
Syslog
O syslog é uma tecnologia frequentemente empregada e considerada uma das melhores práticas na recolha de dados de dispositivos de segurança, tais como firewalls e dispositivos de segurança. Pode configurar um servidor syslog para recolher dados das suas origens e, em seguida, encaminhá-lo do servidor de syslog para uma implementação do Splunk. Outras considerações com o syslog estão documentadas no Whitepaper sobre a arquitectura validada do Sunk .
Recursos adicionais
Aqui estão mais recursos que podem ajudá-lo a obter dados:
- Documentos: Como obter dados no Splunk Cloud
- Documentos: Como entrar dados no Splunk Enterprise
- Documentos: Planeamento de fontes de dados para ES
- Documentos: Utilizar aplicações para obter dados
- Documentos: Utilize o CIM para validar os seus dados
- Conversa Técnica: Obtenção de dados no Splunk
- Comunidade Obtenção de dados no canal