Verbindung zu einer Splunk -Datenquelle herstellen

Online bearbeiten

Verbinden Sie die Splunk -Datenquelle mit der Plattform, damit Ihre Anwendungen und Dashboards Splunk -Sicherheitsdaten erfassen und analysieren können. Universal Data Insights -Connectors ermöglichen die föderierte Suche in Ihren Sicherheitsprodukten.

Vorbereitende Schritte

Arbeiten Sie mit einem Administrator zusammen, der die Software installieren sowie den Benutzernamen und das Kennwort für die Datenquelle, die IP-Adresse und andere erforderliche Informationen abrufen kann.

Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie IBM® Security Edge Gateway als Host für die Container. Edge Gateway muss V1.6 oder höher sein. Weitere Informationen finden Sie unter Edge-Gateway einrichten.

Wenn Sie Splunk Cloud verwenden, müssen Sie sicherstellen, dass Sie in der Lage sind, zu kommunizieren und auf die REST-API zuzugreifen. Weitere Informationen zur REST API finden Sie in der REST-API-Dokumentation (https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud).
Hinweis: Stellen Sie sicher, dass Sie den richtigen Port verwenden (Splunk Cloud verwendet möglicherweise nicht denselben Port wie Splunk Enterprise) und fügen Sie die IP-Adresse der verbundenen Einheiten zur Splunk Clouds-Zulassungsliste hinzu.

Informationen zu dieser Task

Der Connector Splunk ist für die Arbeit mit Splunk Enterprise 9.0.0 - 9.2.0 unter Verwendung des search/jobs -API-Endpunkts konzipiert. Weitere Informationen zum API-Endpunkt 'search/jobs' finden Sie unter Dokumentation zur API 'search/jobs' (https://docs.splunk.com/Documentation/Splunk/9.2.0/RESTTUT/RESTsearches).

Structured Threat Information eXpression (STIX) ist ein Sprach-und Serialisierungsformat, das Unternehmen für den Austausch von Cyberbedrohungsdaten verwenden. Der Connector Splunk verwendet das Muster STIX zum Abfragen von Splunk -Daten und gibt Ergebnisse als STIX -Objekte zurück. Weitere Informationen zur Zuordnung des Splunk -Datenschemas zu STIXfinden Sie unter Splunk STIX -Zuordnung (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/splunk_supported_stix.md).

Vorgehensweise

  1. Rufen Sie Menü > Verbindungen > Datenquellenauf.
  2. Klicken Sie auf der Registerkarte Datenquellen auf Datenquelle verbinden.
  3. Klicken Sie auf Splunkund anschließend auf Weiter.
  4. Konfigurieren Sie die Verbindung zur Datenquelle.
    1. Weisen Sie im Feld Datenquellenname einen Namen zu, der die Datenquellenverbindung eindeutig identifiziert.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher empfiehlt es sich, diesen Instanzen zur besseren Unterscheidung eindeutige Namen zu geben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    2. Geben Sie im Feld Datenquellenbeschreibung eine Beschreibung für den Zweck der Datenquellenverbindung ein.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher ist es nützlich, den Zweck jeder Verbindung mit einer eindeutigen Beschreibung anzugeben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    3. Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie Edge Gateway als Host für die Container. Geben Sie im Feld Edge-Gateway (optional) an, welche Edge Gateway verwendet werden soll.
      Wählen Sie ein Edge Gateway als Host für den Connector aus. Es kann bis zu fünf Minuten dauern, bis der Status neu implementierter Datenquellenverbindungen auf dem Edge Gateway als verbunden angezeigt wird.
    4. Legen Sie im Feld Management-IP-Adresse oder Hostname den Hostnamen oder die IP-Adresse der Datenquelle fest, damit die Plattform mit ihr kommunizieren kann.
    5. Legen Sie im Feld Host-Port die Portnummer fest, die dem Datenquellenhost zugeordnet ist.
  5. Legen Sie die Abfrageparameter fest, um das Verhalten der Suchabfrage für die Datenquelle zu steuern.
    1. Legen Sie im Feld Grenzwert für gleichzeitige Suche fest, wie viele gleichzeitige Verbindungen zur Datenquelle hergestellt werden können. Der Standardgrenzwert für die Anzahl der Verbindungen ist 4. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    2. Legen Sie im Feld Zeitlimit für Abfragesuche das Zeitlimit in Minuten für die Ausführung der Abfrage in der Datenquelle fest. Standardzeitlimit ist 30. Wenn der Wert auf 0 gesetzt wird ist, gibst es kein Zeitlimit. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    3. Legen Sie im Feld Grenzwert für Ergebnisgröße die maximale Anzahl der Einträge oder Objekte fest, die von der Suchabfrage zurückgegeben werden. Die Standardgröße der Ergebnisse ist auf 10.000 begrenzt. Der Wert darf nicht kleiner als 1 und nicht größer als 500.000 sein.
    4. Legen Sie im Feld Abfragezeitbereich den Zeitbereich in Minuten für die Suche fest, der als die letzten X Minuten dargestellt wird. Standard ist 5 Minuten. Der Wert darf weder kleiner als 1 noch größer als 10.000 sein.
    Wichtig: Wenn Sie den Grenzwert für die gleichzeitige Suche und den Grenzwert für die Ergebnisgröße erhöhen, kann eine größere Datenmenge an die Datenquelle gesendet werden, was die Belastung der Datenquelle erhöht. Eine Erhöhung des Abfragezeitbereichs erhöht auch das Datenvolumen.
  6. Optional: Wenn Splunk mit einem selbst signierten SSL-Zertifikat (Security Sockets Layer) konfiguriert ist, fügen Sie ein Verbindungszertifikat hinzu.

    Das Zertifikat Splunk ist standardmäßig unter <splunk_home_directory>/splunk/etc/auth/server.pemverfügbar, wobei < splunk_ausgangsverzeichnis> der Pfad zu der Position ist, an der Splunk installiert ist.

    1. Geben Sie SNI (Server Name Indication) an SplunkServerDefaultCert. Durch den SNI wird ermöglicht, dass ein separater Hostname beim TLS-Handshake (TLS Transport Layer Security) der Ressourcenverbindung angegeben werden kann.
    2. Kopieren Sie die Zertifikatsdetails und fügen Sie sie in den bereitgestellten Bereich ein. Klicken Sie dann auf Fertig.
  7. Optional: Wenn Sie die STIX-Attributzuordnung anpassen müssen, klicken Sie auf Attributzuordnung anpassen und bearbeiten Sie das JSON-BLOB, um den zugehörigen Zieldatenquellenfeldern neue oder vorhandene Eigenschaften zuzuordnen.
  8. Konfigurieren Sie Identität und Zugriff.
    1. Klicken Sie auf Konfiguration hinzufügen.
    2. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    3. Geben Sie im Feld Konfigurationsbeschreibung eine eindeutige Beschreibung ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    4. Klicken Sie auf Zugriff bearbeiten und wählen Sie die Benutzer aus, die eine Verbindung zur Datenquelle herstellen können, sowie den Zugriffstyp.
    5. Geben Sie im Feld Benutzername einen Benutzernamen mit Zugriff auf die Such-API ein.
    6. Geben Sie im Feld Kennwort das Kennwort für diesen Benutzernamen ein.
    7. Klicken Sie auf Hinzufügen.
    8. Klicken Sie auf Fertig, um Ihre Konfiguration zu speichern und die Verbindung herzustellen.
    Sie können die Datenquellenverbindungskonfiguration anzeigen, die Sie unter "Verbindungen" auf der Seite mit den Einstellungen für die Datenquelle hinzugefügt haben. Eine Nachricht auf der Karte gibt die Verbindung zu der Datenquelle an.
    Wenn Sie eine Datenquelle hinzufügen, kann es einige Minuten dauern, bis die Datenquelle als verbunden angezeigt wird.
    Tipp: Nachdem Sie eine Datenquelle verbunden haben, kann es bis zu 30 Sekunden dauern, bis die Daten abgerufen werden. Bevor das vollständige Dataset zurückgegeben wird, wird die Datenquelle möglicherweise als nicht verfügbar angezeigt. Nachdem die Daten zurückgegeben wurden, wird die Datenquelle als verbunden angezeigt und ein Abfragemechanismus wird ausgeführt, um den Verbindungsstatus zu validieren. Der Verbindungsstatus ist nach jeder Abfrage 60 Sekunden lang gültig.

    Sie können für diese Datenquelle weitere Verbindungskonfigurationen mit anderen Benutzern und anderen Datenzugriffsberechtigungen hinzufügen.

  9. Gehen Sie wie folgt vor, um Ihre Konfigurationen zu bearbeiten:
    1. Wählen Sie auf der Registerkarte Datenquellen die Datenquellenverbindung aus, die Sie bearbeiten möchten.
    2. Klicken Sie im Abschnitt Konfigurationen auf Konfiguration bearbeiten (Symbol 'Konfiguration bearbeiten').
    3. Bearbeiten Sie die Identitäts-und Zugriffsparameter und klicken Sie auf Speichern.

Nächste Schritte

Testen Sie die Verbindung, indem Sie eine Abfrage mit IBM Security Data Explorer ausführen. Um Data Explorerverwenden zu können, müssen Sie über verbundene Datenquellen verfügen, damit die Anwendung Abfragen ausführen und Ergebnisse aus einer einheitlichen Gruppe von Datenquellen abrufen kann. Die Suchergebnisse variieren abhängig von den Daten, die in den konfigurierten Datenquellen enthalten sind. Weitere Informationen zum Erstellen einer Abfrage in Data Explorerfinden Sie unter Abfrage erstellen.