Настройка соединения с источником данных Splunk

Splunk Enterprise Security - это решение для управления информацией и событиями безопасности (SIEM), которое собирает автоматически генерируемые данные в режиме реального времени в хранилище с поддержкой функции поиска и сопоставляет их, позволяя создавать на его основе графики, отчеты, предупреждения, сводные панели и визуализации.

Прежде чем начать

Обратитесь к администратору, который умеет устанавливать программное обеспечение, и узнайте у него имя и пароль пользователя источника данных, IP-адрес и прочую необходимую информацию.

Об этой задаче

Коннектор IBM Cloud Pak® for Security для Splunk предназначен для использования с ПО Splunk Enterprise 6.5.0 - 7.1.2 через конечную точку API поиска/заданий.

Процедура

  1. Войдите в IBM Cloud Pak for Security.
  2. На панели навигации щелкните на значке Параметры.
  3. Выберите Соединения > Источники данных.
  4. На вкладке Источники данных выберите Подключиться к источнику данных.
  5. Выберите тип источника данных.
  6. Настройте соединение, чтобы IBM Cloud Pak for Security мог подключаться к источнику данных.
    Доступны следующие поля.
    Имя соединения
    Обязательный
    Укажите имя, однозначно идентифицирующее соединение с источником данных. С одним источником данных можно создать несколько соединений, и их нужно уметь отличать друг от друга по имени. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    Описание соединения
    Обязательный
    Введите описание, отражающее предназначение соединения с источником данных. С одним источником данных можно создать несколько соединений, поэтому каждое из них рекомендуется сопроводить описанием того, для чего оно используется. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    App Host
    Необязательный

    Для того чтобы разместить контейнеры, необходимые для взаимодействия между источниками данных и IBM Cloud Pak for Security, в Edge Gateway App Host выберите соответствующий App Host. Выбранный Edge Gateway App Host должен иметь версию 1.6 или выше. Дополнительную информацию о компоненте Edge Gateway App Host можно найти в разделе Edge Gateway App Host.

    IP-адрес управления или имя хоста
    Обязательный
    Укажите IP-адрес и имя хоста источника данных, чтобы IBM Cloud Pak for Security мог обращаться к нему.
    Порт хоста
    Необязательный
    Укажите или выберите номер порта, связанный с хостом источника данных.
  7. Укажите параметры запроса, управляющие выполнением запроса поиска в источнике данных.
    Доступны следующие поля:
    Максимальное значение одновременно выполняемых операций поиска
    Число одновременных соединений между Cloud Pak for Security и источником данных. По умолчанию максимальное число соединений равно 4.
    Предельное значение тайм-аута запроса
    Максимальное время выполнения запроса в источнике данных в минутах. По умолчанию максимальное время равно 30. Если значение равно нулю, время не ограничено. Если время выполнения запроса составляет более 1 минуты, то это как правило свидетельствует о неполадке.
    Максимальный размер результатов
    Максимальное число записей или объектов, возвращаемых одним запросом поиска. Значение по умолчанию равно 10 000. Допустимы значения от 1 до 10 000.
    Диапазон времени запроса
    Диапазон времени поиска в минутах, определяющий последние X минут. Значение по умолчанию равно 5 минутам.
  8. Необязательно: Если в Splunk настроен собственный сертификат SSL, добавьте сертификат соединения.

    По умолчанию сертификат Splunk хранится в файле <домашний_каталог_splunk/splunk/etc/auth/server.pem, где <домашний_каталог_splunk - путь к расположению, в котором установлен Splunk.

    1. Укажите индикатор имени сервера (SNI), SplunkServerDefaultCert. SNI позволяет задать отдельное имя хоста при выполнении согласования TLS для соединения с ресурсом.
    2. Скопируйте сведения о сертификате и вставьте их в соответствующее поле, а затем нажмите Готово.
  9. Нажмите Добавить конфигурацию.
  10. Настройте идентификационные данные и доступ.
    1. В поле Имя конфигурации укажите имя, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    2. В поле Описание конфигурации укажите описание, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. Нажмите Изменить права доступа и выберите, каким пользователям разрешено подключаться к источнику данных и какой доступ им должен быть предоставлен.
    4. В поле Имя пользователя введите имя пользователя, у которого есть доступ к API поиска.
    5. В поле Пароль введите пароль этого пользователя.
    6. Нажмите Добавить.
    7. Для того чтобы сохранить конфигурацию и установить соединение, нажмите Готово.
    Добавленная конфигурация соединения с источником данных будет показана в списке Соединения на странице параметров источника данных. Соединение с источником данных указано в сообщении на карточке.

    При необходимости можно добавить другие конфигурации соединения с тем же источником данных для других пользователей с другими правами доступа.

  11. Протестируйте соединение, отправив запрос через IBM Security Data Explorer.

    Продукт IBM Cloud Pak for Security отображает данные, которые он получает из источника данных. Например, для использования Data Explorer должны быть установлены соединения с источниками данных, для того чтобы приложение могло выполнять запросы и получать результаты из универсального набора источников данных. Поиск будет давать разные результаты в зависимости от данных, содержащихся в настроенных источниках данных.

    За дополнительной информацией о создании запроса в Data Explorer обратитесь к разделу Создание запроса.