首页 » Splunk 集成

Splunk 集成

目录

当 Endpoint Central 与 Splunk 集成后,漏洞数据和审计日志都会转发到 Splunk。这为管理员提供了一个集中视图,用于查看所有检测到的漏洞以及通过控制台执行的操作记录,例如配置更改、部署和管理活动。随后可使用 Splunk 的分析功能来监控这些事件、识别模式或异常,并生成报告和仪表板,以满足审计、合规性和安全监控需求。

注意:
  • 目前,仅支持将 Endpoint Central 的漏洞数据和操作日志查看器数据发布到 Splunk。
  • 漏洞数据仅适用于购买了 Security 版本或 Vulnerability Add-On,且版本为 11.3.2430.01 及以上的 Endpoint Central 服务器。
  • 操作日志查看器数据适用于 Endpoint Central 11.4.2533.01 及以上版本。

在 Splunk 中安装 ManageEngine Endpoint Central 附加组件

  • 导航到 Splunk Home 页面。
  • 在页眉菜单中,单击 Apps
  • 选择 Find More Apps 以跳转到 Splunk 的 Marketplace。

  • 搜索 ManageEngine Endpoint Central Add-On 应用。

     

    Splunk 应用菜单

     

     

    Splunk 附加组件搜索

     

  • 单击 Download 并输入您的用户名和密码。
  • 单击 Agree and Install。现在,您可以从 Splunk 主页或 Apps 菜单访问该应用程序。

创建用于 SSL 验证的 CA-Bundle(证书颁发机构捆绑包)

  • 导航到系统中的 Endpoint Central 服务器安装目录。然后转到 %EC Home Dir% → nginx → conf 文件夹。
  • 使用文本编辑器打开 server.crt 文件,并复制证书文件的内容。

  • 现在转到系统中的 Splunk 安装目录

     

    EC 证书路径

     

     

    证书复制

     

  • 导航到 %Splunk Home Dir% → etc → apps → TA-manageengine-endpoint-central-add-on

     

    Splunk 目录

     

  • 在 TA-manageengine-endpoint-central-add-on 文件夹内,新建一个名为 certificates 的文件夹。

     

    创建 Certificates 文件夹

     

  • certificates 文件夹内,新建一个文本文件并将其重命名为 ec.ca-bundle

     

    CA-Bundle 文件创建

     

     

    文件保存

     

  • 使用文本编辑器打开 ec.ca-bundle 文件,并粘贴从 Endpoint Central 复制的 server.crt 文件内容。

     

    CA-Bundle 内容

     

  • 保存并关闭 ec.ca-bundle 文件。请确保该文件以 CA-BUNDLE 文件类型保存。

在 Endpoint Central 中生成 API 密钥

  • 在 Endpoint Central 控制台中,导航到 Admin 选项卡 → API Key Management,然后单击 Generate Key

     

    生成密钥页面

     

  • 从 Application 菜单中选择 Splunk,然后单击 Generate Key 以生成您的 API 密钥。

     

    Splunk 密钥选项

     

  • 然后,您可以复制您的 API 密钥。

     

    复制 API 密钥

     

注意
生成的密钥只会显示一次。请在显示时复制 API 密钥并将其保存在安全的位置。如果丢失,您将无法找回,只能重新生成新密钥。

在 Splunk 中为 Endpoint Central 配置应用

  • 导航到 Splunk 主页,访问页眉菜单并单击 Apps
  • 选择 ManageEngine Endpoint Central Add-On 应用。

  • 在该应用中,导航到 Configurations 页面并单击 Add 按钮。

     

    添加配置

     

  • 在弹出窗口中,从 Deployment Type 中选择 Endpoint Central On-premise,并填写所有必要字段。
  • 粘贴从 Endpoint Central 服务器复制的 API 密钥。
  • 单击 Add。如果所有信息均正确,将成功通过验证。

有效输入:

  • Account Name:应唯一且不包含空格。
  • Deployment Type: 必须为 Endpoint Central On-premise。
  • Server URL:带有 (https://) 协议的 URL。该 URL 必须可从承载 Splunk 的计算机访问。如果使用代理,请先配置代理设置,再添加配置详细信息。
  • API Key:使用从 Endpoint Central 生成的 API 密钥,不要进行任何修改。
  • Select inputs:根据需要选择所需的日志输入。您也可以稍后在 Inputs Configuration 部分配置或修改这些输入。

 

Splunk 有效输入

 

  • 添加的配置将显示在 Accounts 部分。

     

    账户配置

     

使用 Endpoint Central 配置创建输入

  • 导航到 Splunk 中的 Inputs 选项卡,单击 Create New Input,并选择您从 Endpoint Central 所需的日志数据。

     

    创建输入

     

  • 在弹出窗口中,输入所有必填信息。从 Global Account 下拉列表中,选择为 Endpoint Central 配置的账户。
  • 然后,单击 Add 按钮。如果所有输入均有效,则该输入将成功添加。

有效输入:

  • Name:唯一名称,不包含任何空白字符。
  • Interval:必须以秒为单位。
    • 对于漏洞数据:在 3600 秒(1 小时)到 86400 秒(24 小时)之间。
    • 对于操作日志查看器数据:在 300 秒(5 分钟)到 86400 秒(24 小时)之间。
  • Index:默认。
  • Global Account:在配置部分中为 Endpoint Central 创建的账户。

 

输入配置

 

  • 随后将显示已添加的输入。

在 Splunk 中查看数据

  • 一旦配置好输入,就会开始与 Endpoint Central 服务器进行同步。

  • 导航到应用中的 Search 选项卡。

     

    Splunk 搜索选项卡

     

  • 单击 Data Summary 并导航到 Sourcetypes 选项卡。

     

    Splunk 数据摘要 Sourcetypes

     

  • 从下方搜索所需的 Sourcetype 并单击它以查看数据。

    • 漏洞数据 sourcetype:manageengine:ec:vulnerability
    • 操作日志查看器数据 sourcetype:manageengine:ec:actionlogdata
    Splunk 漏洞和操作日志数据

     

启动完全同步

  • 导航到 %Splunk Home Dir% → etc → apps → TA-manageengine-endpoint-central-add-on → default

  • 创建一个名为 custom.conf 的文件。

     

    自定义 Conf

     

  • 添加以下条目:

    [manageengine:ec:vulnerability]
    initiate_full_sync = True

  • 保存文件以触发完全同步。
  • 在下一次同步期间,将启动完全同步

在 Splunk 中配置多个 Endpoint Central 服务器

  • 每当您在 Splunk 中添加新的本地部署 Endpoint Central 服务器时,请将 server.crt 文件的内容添加到现有的 ec-ca-bundle 文件中。
  • 请参阅“创建用于 SSL 验证的 CA-Bundle”中的步骤以复制 server.crt 文件内容。
  • 将复制的内容追加到已创建的 ec-ca-bundle 文件末尾。
  • 最后,按照“在 Splunk 中使用 Endpoint Central 服务器配置应用”中的说明完成配置。

我们的客户