首页 » Splunk 集成

Endpoint Central Cloud 与 Splunk Enterprise 集成

当 Endpoint Central 与 Splunk 集成后,漏洞数据和审计日志都会转发到 Splunk。这为管理员提供了一个集中视图,用于查看所有已检测到的漏洞以及通过控制台执行的操作记录,例如配置更改、部署和管理活动。随后可以使用 Splunk 的分析功能来监控这些事件、识别模式或异常,并生成报表和仪表板,以满足审计、合规性和安全监控等用途。

注意:
  • 目前,只有来自 Endpoint Central 的漏洞数据和操作日志查看器数据会发布到 Splunk。
  • 漏洞数据仅适用于已购买 Endpoint Central Security 版本或 Vulnerability Add-On 的用户。

在 Splunk 中安装 ManageEngine Endpoint Central 附加组件

  • 导航到 Splunk Home 页面。
  • 在页眉菜单中,点击 Apps
  • 选择 Find More Apps,以跳转到 Splunk Marketplace。
  • 搜索 ManageEngine Endpoint Central Add-On 应用。
  • 点击 Download 并输入您的用户名和密码。

  • 点击 Agree and Install。现在,您可以从 Splunk 主页或 Apps 菜单访问该应用程序。

    Splunk Apps 菜单
    Splunk 附加组件搜索

在 Splunk 中为 Endpoint Central 配置应用

  • 导航到 Splunk 主页,然后点击页眉菜单中的 Apps 选项。
  • 选择 ManageEngine Endpoint Central Add-On 应用。

  • 导航到 Configurations 并点击 Add 按钮。

    Splunk 应用配置菜单

  • 在弹出窗口中,从 Deployment Type 下拉菜单中选择 Endpoint Central Cloud

    Splunk 部署类型选择

  • 有关 Endpoint Central Instance URLZoho Accounts URL 的说明,请参阅此文档。请根据您的数据中心填写相应的值。

    注意
    仅当为您的 Endpoint Central Cloud 实例配置了自定义域时,才会显示 Zoho Accounts URL。
    Splunk Zoho Accounts URL 字段

生成身份验证文件

  • 要生成身份验证文件,请根据您的数据中心(如本文档中所述)打开相应的开发者控制台
  • 使用您的 Endpoint Central Cloud 帐户登录。

  • 选择 Self Client,点击 Create Now,然后点击 Create 以确认并启用 self client。

    Splunk Self Client 设置
    Splunk Self Client 确认
  • 要生成身份验证文件,请点击 API Developer Console 中的 Generate Code 选项卡。

  • 复制以下 scope,并将其粘贴到 Scope 部分。
     

    DesktopCentralCloud.SplunkIntegration.READ,DesktopCentralCloud.SplunkIntegration.CREATE,DesktopCentralCloud.VulnerabilityMgmt.READ,DesktopCentralCloud.Audit.READ

    复制

    • 将时间持续时长设置为 10 minutes,提供描述,然后点击 CREATE 按钮以创建身份验证文件。

    • 将文件下载为 JSON 格式,上传到 Splunk,然后点击 Add 以完成配置。

      Splunk 身份验证文件上传
      Splunk 身份验证文件已添加确认

使用 Endpoint Central 配置创建输入

  • 导航到 Splunk 中的 Inputs 选项卡,点击 Create New Input,然后选择您需要从 Endpoint Central 获取的日志数据。

    Splunk 新建输入
  • 在弹出窗口中,输入所有必需的信息。从 Global Account 下拉列表中,选择 Endpoint Central 配置。

  • 然后,点击 Add 按钮。如果所有输入均有效,则该输入将被成功添加。

    有效输入:

    • Name:唯一名称,且不能包含任何空格。
    • Interval:必须以秒为单位。
      • 对于漏洞数据:介于 3600 秒(1 小时)到 86400 秒(24 小时)之间。
      • 对于操作日志查看器数据:介于 300 秒(5 分钟)到 86400 秒(24 小时)之间。
    • Index:默认。
    • Global Account:在配置部分中已配置的 Endpoint Central。
    Splunk 输入验证

在 Splunk 中查看数据

  • 一旦输入配置完成,与 Endpoint Central 实例的同步将开始。

  • 导航到应用中的 Search 选项卡。

    Splunk 搜索选项卡

  • 点击 Data Summary,然后导航到 Sourcetypes 选项卡。

    Splunk 数据摘要 Sourcetypes

  • 从下方搜索所需的 Sourcetype,并点击它以查看数据。

    • 漏洞数据 sourcetype:manageengine:ec:vulnerability
    • 操作日志查看器数据 sourcetype:manageengine:ec:actionlogdata
    Splunk 漏洞和操作日志数据

我们的客户