Conexión a un origen de datos Splunk

Editar en línea

Conecte el origen de datos de Splunk a la plataforma para permitir que las aplicaciones y los paneles de control recopilen y analicen datos de seguridad de Splunk . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Antes de empezar

Colabore con un administrador que pueda instalar el software, obtener el nombre de usuario y la contraseña del origen de datos, la dirección IP y otra información necesaria.

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Configuración de Edge Gateway.

Si utiliza Splunk Cloud, debe asegurarse de que puede comunicarse y acceder a la API REST. Para obtener más información sobre la API REST, consulte la Documentación de la API REST (https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud).
Nota: Asegúrese de que está utilizando el puerto correcto (es posible queSplunk Cloud no utilice el mismo puerto que Splunk Enterprise) y añada la dirección IP de los dispositivos de conexión a la lista de nubes permitidas de Splunk .

Acerca de esta tarea

El conector de Splunk está diseñado para funcionar con Splunk Enterprise 9.0.0 - 9.2.0 utilizando el punto final de la API de search/jobs . Para obtener más información sobre el punto final de la API search/jobs, consulte la documentación de la API search/jobs (https://docs.splunk.com/Documentation/Splunk/9.2.0/RESTTUT/RESTsearches).

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector de Splunk utiliza el patrón STIX para consultar datos de Splunk y devuelve los resultados como objetos STIX . Para obtener más información sobre cómo se correlaciona el esquema de datos de Splunk con STIX, consulte Correlación deSplunk STIX (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/splunk_supported_stix.md).

Procedimiento

  1. Vaya a Menú > Connections > Orígenes de datos.
  2. En la pestaña Orígenes de datos , pulse Conectar un origen de datos.
  3. Pulse Splunky, a continuación, pulse Siguiente.
  4. Configure la conexión con el origen de datos.
    1. En el campo Nombre de origen de datos , asigne un nombre para identificar de forma exclusiva la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, de modo que es buena idea distinguirlas por su nombre. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    2. En el campo Descripción de origen de datos , escriba una descripción para indicar la finalidad de la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Pasarela de Edge (opcional) , especifique qué Edge Gateway desea utilizar.
      Seleccione un Edge Gateway para alojar el conector. El estado de las conexiones de origen de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
    4. En el campo Dirección IP de gestión o nombre de host , establezca el nombre de host o la dirección IP del origen de datos para que la plataforma pueda comunicarse con él.
    5. En el campo Puerto de host , establezca el número de puerto asociado con el host de origen de datos.
  5. Configure los parámetros de consulta que controlan el comportamiento de la consulta de búsqueda en el origen de datos.
    1. En el campo Límite de búsqueda simultánea , establezca el número de conexiones simultáneas que se pueden realizar con el origen de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
    2. En el campo Límite de tiempo de espera de búsqueda de consulta , establezca el límite de tiempo en minutos para el tiempo durante el que se ejecuta la consulta en el origen de datos. El límite de tiempo predeterminado es 30. Si el valor se establece en cero, no hay tiempo de espera. El valor no debe ser inferior a 1 ni superior a 120.
    3. En el campo Límite de tamaño de resultado , establezca el número máximo de entradas u objetos devueltos por la consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser menor que 1 y no debe ser mayor que 500.000.
    4. En el campo Rango de tiempo de consulta , establezca el rango de tiempo en minutos para la búsqueda, representado como la última X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
    Importante: Si aumenta el límite de búsqueda simultánea y el límite de tamaño de resultado, se puede enviar una mayor cantidad de datos al origen de datos, lo que aumenta la tensión en el origen de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
  6. Opcional: Si Splunk está configurado con un certificado SSL (Security Sockets Layer) autofirmado, añada un certificado de conexión.

    De forma predeterminada, el certificado Splunk está disponible en <splunk_home_directory>/splunk/etc/auth/server.pem, donde < directorio_inicio_splunk> es la vía de acceso a la ubicación en la que está instalado Splunk .

    1. Proporcione la indicación de nombre de servidor (SNI), SplunkServerDefaultCert. SNI permite que se suministre un nombre de host separado en el reconocimiento TLS (Transport Layer Security) de la conexión de recursos.
    2. Copie los detalles del certificado y péguelo en el espacio que se proporciona y, a continuación, pulse Terminado.
  7. Opcional: Si necesita personalizar la correlación de atributos STIX, pulse Personalizar correlación de atributos y edite el blob JSON para correlacionar las propiedades nuevas o existentes con sus campos de origen de datos de destino asociados.
  8. Configure la identidad y el acceso.
    1. Pulse Añadir una configuración.
    2. En el campo Nombre de configuración , especifique un nombre exclusivo para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. En el campo Descripción de configuración , especifique una descripción exclusiva para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    4. Pulse Editar acceso y elija qué usuarios pueden conectarse al origen de datos y el tipo de acceso.
    5. En el campo Nombre de usuario , especifique un nombre de usuario con acceso a la API de búsqueda.
    6. En el campo Contraseña , especifique la contraseña para ese nombre de usuario.
    7. Pulse Añadir.
    8. Para guardar la configuración y establecer la conexión, pulse Terminado.
    Verá la configuración de conexión de origen de datos que ha añadido bajo Conexiones en la página Valores de origen de datos. Un mensaje en la tarjeta indica conexión con el origen de datos.
    Cuando añade un origen de datos, puede tardar unos minutos antes de que el origen de datos se muestre como conectado.
    Sugerencia: Después de conectar un origen de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

    Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

  9. Para editar las configuraciones, realice los pasos siguientes:
    1. En el separador Orígenes de datos , seleccione la conexión de origen de datos que desea editar.
    2. En la sección Configuraciones , pulse Editar configuración (Icono Editar configuración).
    3. Edite los parámetros de identidad y acceso y pulse Guardar.

Qué hacer a continuación

Pruebe la conexión ejecutando una consulta con IBM Security Data Explorer. Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.