Connessione a un'origine dati Splunk

Modifica in linea

Connettere l'origine dati Splunk alla piattaforma per consentire alle applicazioni e ai dashboard di raccogliere e analizzare i dati di sicurezza Splunk . I connettori Universal Data Insights abilitano la ricerca federata tra i tuoi prodotti di sicurezza.

Prima di iniziare

Collabora con un amministratore che può installare il software, ottenere la user source username e la password, l'indirizzo IP e altre informazioni richieste.

Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza IBM® Security Edge Gateway per ospitare i contenitori. Edge Gateway deve essere V1.6 o successiva. Per ulteriori informazioni, vedi Configurazione di Edge Gateway.

Se stai utilizzando Splunk Cloud, devi assicurarti di poter comunicare e accedere all'API REST. Per ulteriori informazioni sull'API REST, vedi la Documentazione API REST (https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud).
Nota: assicurati di utilizzare la porta corretta (Splunk Cloud potrebbe non utilizzare la stessa porta di Splunk Enterprise) e aggiungi l'indirizzo IP dei dispositivi di connessione a Splunk Clouds allow list.

Informazioni su questa attività

Il connettore Splunk è progettato per essere utilizzato con Splunk Enterprise 9.0.0 - 9.2.0 utilizzando l'endpoint API search/jobs . Per ulteriori informazioni sull'endpoint API search/jobs, consulta la documentazione API search/jobs (https://docs.splunk.com/Documentation/Splunk/9.2.0/RESTTUT/RESTsearches).

Structured Threat Information eXpression (STIX) è un linguaggio e un formato di serializzazione che le aziende utilizzano per scambiare informazioni sulle minacce informatiche. Il connettore Splunk utilizza la creazione di modelli STIX per interrogare i dati Splunk e restituisce i risultati come oggetti STIX . Per ulteriori informazioni su come lo schema dati Splunk viene associato a STIX, consultare Splunk STIX Mappatura (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/splunk_supported_stix.md).

Procedura

  1. Andare a Menu > Connessioni > Origini dati.
  2. Nella scheda Origini dati , fare clic su Connetti un'origine dati.
  3. Fare clic su Splunk, quindi su Avanti.
  4. Configurare la connessione all'origine dati
    1. Nel campo Nome origine dati , assegnare un nome per identificare in modo univoco la connessione all'origine dati.
      È possibile creare più istanze di connessione a una origine dati in modo che sia utile distinguerle chiaramente per nome. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    2. Nel campo Descrizione origine dati , scrivere una descrizione per indicare lo scopo della connessione dell'origine dati.
      È possibile creare più istanze di connessione a una origine dati, quindi è utile indicare chiaramente lo scopo di ciascuna connessione in base alla descrizione. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza Edge Gateway per ospitare i contenitori. Nel campo Edge gateway (facoltativo) , specificare quale Edge Gateway utilizzare.
      Selezionare un Edge Gateway per ospitare il connettore. Potrebbero essere necessari fino a cinque minuti per visualizzare lo stato delle connessioni alle origini dati appena distribuite su Edge Gateway come connesse.
    4. Nel campo Indirizzo IP di gestione o Nome host , impostare il nome host o l'indirizzo IP dell'origine dati in modo che la piattaforma possa comunicare con esso.
    5. Nel campo Porta host , impostare il numero di porta associato all'host dell'origine dati.
  5. Impostare i parametri di query per controllare il comportamento della query di ricerca sull'origine dati
    1. Nel campo Limite ricerca simultanea , impostare il numero di connessioni simultanee che possono essere effettuate all'origine dati. Il limite predefinito per il numero di connessioni è di 4. Il valore non deve essere minore di 1 e non deve essere maggiore di 100.
    2. Nel campo Limite timeout di ricerca query , impostare il limite di tempo in minuti per il tempo di esecuzione della query sull'origine dati. Il limite di tempo predefinito è di 30 minuti. Quando il valore è impostato su zero, non si verifica alcun timeout. Il valore non deve essere minore di 1 e non deve essere maggiore di 120.
    3. Nel campo Limite dimensione risultato , impostare il numero massimo di voci o oggetti restituiti dalla query di ricerca. Il limite di dimensione del risultato predefinito è di 10.000. Il valore non deve essere minore di 1 e non deve essere maggiore di 500.000.
    4. Nel campo Intervallo di tempo query , impostare l'intervallo di tempo in minuti per la ricerca, rappresentato come gli ultimi X minuti. Il valore predefinito è 5 minuti. Il valore non deve essere minore di 1 e non deve essere maggiore di 10.000.
    Importante: se si aumenta il limite di ricerca simultanei e il limite di dimensione del risultato, è possibile inviare una maggiore quantità di dati all'origine dati, il che aumenta la pressione sull'origine dati. Aumentando la gamma di tempo di query aumenta anche la quantità di dati.
  6. Facoltativo: se Splunk è configurato con un certificato SSL (Security Sockets Layer) autofirmato, aggiungere un certificato di connessione.

    Per impostazione predefinita, il certificato Splunk è disponibile all'indirizzo <splunk_home_directory>/splunk/etc/auth/server.pem, dove < splunk_home_directory> è il percorso dell'ubicazione in cui è installato Splunk .

    1. Fornire SNI (Server Name Indication), SplunkServerDefaultCert. SNI abilita un nome host separato da fornire all'handshake TLS (Transport Layer Security) della connessione della risorsa.
    2. Copia i dettagli del certificato e incollarlo nello spazio fornito, quindi clicca su Dona.
  7. Facoltativo: se è necessario personalizzare l'associazione degli attributi STIX, fare clic su Personalizza associazione attributi e modificare il blob JSON per associare le proprietà nuove o esistenti ai campi dell'origine dati di destinazione associati.
  8. Configurare l'identità e l'accesso.
    1. Fare clic su Aggiungi una configurazione.
    2. Nel campo Nome configurazione , immettere un nome univoco per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Nel campo Descrizione configurazione , immettere una descrizione univoca per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    4. Fare clic su Modifica accesso e scegliere quali utenti possono connettersi all'origine dati e il tipo di accesso.
    5. Nel campo Nome utente , immettere un nome utente con accesso all'API di ricerca.
    6. Nel campo Password , immettere la password per tale nome utente.
    7. Fare clic su Aggiungi.
    8. Per salvare la propria configurazione e stabilire la connessione, fare clic su Fine.
    È possibile visualizzare la configurazione della connessione all'origine dati aggiunta in Connections nella pagina delle impostazioni dell'origine dati. Un messaggio sulla scheda indica la connessione con l'origine dati.
    Quando si aggiunge un'origine dati, potrebbero essere necessari alcuni minuti prima che l'origine dati venga visualizzata come connessa.
    Suggerimento: dopo aver connesso un'origine dati, potrebbero essere necessari fino a 30 secondi per richiamare i dati. Prima che venga restituito il dataset completo, l'origine dati potrebbe essere visualizzata come non disponibile. Una volta restituiti i dati, l'origine dati viene visualizzata come connessa e si verifica un meccanismo di polling per convalidare lo stato della connessione. Lo stato della connessione è valido per 60 secondi dopo ogni polling.

    È possibile aggiungere altre configurazioni di connessione per questa sorgente dati che hanno utenti diversi e differenti permessi di accesso ai dati.

  9. Per modificare le configurazioni, completare la seguente procedura:
    1. Nella scheda Origini dati , selezionare la connessione all'origine dati che si desidera modificare.
    2. Nella sezione Configurazioni , fare clic su Modifica configurazione (Icona Modifica configurazione).
    3. Modificare i parametri di identità e di accesso e fare clic su Salva.

Operazioni da eseguire successivamente

Verificare la connessione eseguendo una query con IBM Security Data Explorer. Per utilizzare Data Explorer, è necessario disporre di origini dati connesse in modo che l'applicazione possa eseguire query e richiamare risultati in una serie unificata di origini dati. I risultati della ricerca variano a seconda dei dati che sono contenuti nelle tue origini dati configurate. Per ulteriori informazioni su come creare una query in Data Explorer, vedi Crea una query.