Jak tworzyć raporty na podstawie danych z GravityZone Splunk

Krzysztof B.

23 maja 2019

FAQ – Produkty dla firmy (biznesowe) :

Jako partner Bitdefendera możesz zintegrować GravityZone ze Splunk przez użycie HTTP Event Collector, lub GravityZone Api. Dzięki temu możesz wysyłać dane z GravityZone Control Center bezpośrednie do Splunk Enterprise, lub Splunk Cloud.

Ten artykuł wyjaśnia jak stworzyć raporty w Splunk na podstawie zdarzeń otrzymanych z GravityZone.

Ręczne tworzenie raportów w Splunk

1. Zaloguj się w Splunk, a następnie przejdź do Search & Reporting.

2. W oknie Search wybierz interesujący Cię przedział, a następnie wybierz Data Summary.

3. W nowym oknie hosta, który jest powiązany z GravityZone.

4. Wybierz zdarzenia, które chcesz załączyć do raportu:

a) Z okna Events po lewej stronie menu wybierz zdarzenia, które potrzebujesz.

b) Kliknij Yes w oknie, aby potwierdzić Twój wybór.

Dla przykładu, aby utworzyć raport Antymalware wybierz dowolne z następujących zdarzeń:

– module

– product_installed

– companyId

– computer_name

– computer_fqdn

– computer_ip

– computer_id

– malware_type

– malware_name

– hash

– final_status

– file_path

– timestamp

Wyniki zostaną wyświetlone po prawej stronie panelu.

Możesz skonfigurować tak jak chcesz poprzez wybranie wszelkiego rodzaju zdarzeń. Jakkolwiek, raporty GravityZone są definiowane przez pewne zdarzenia. Możesz odszukać raporty, oraz powiązane z nimi zdarzenia w przewodniku Dokumentacji GravityZone Api w Odniesienia >Wciśnij > Typy zdarzeń.

Jeśli chcesz dodać inne typy zdarzeń, podążaj za następującymi krokami:

>Wybierz Wyodrębnij Nowe Pola na końcu listy.

> W nowym oknie wybierz jedno zdarzenie, a następnie kliknij Dalej w górnej części strony.

> Wybierz Separatory i kliknij Dalej.

> Wybierz separator, najlepiej Przecinek.

> Zdarzenia pojawią się na oddzielnych polach. Kliknij na nie, aby zmienić im nazwy, jeśli jest taka potrzeba.

> W obszarze Save, w polu Nazwa wyciągu, wprowadź nazwę.

> Kliknij Zakończ.

5. Po zakończeniu konfiguracji zdarzeń kliknij na tabelę Statistics.

6. Kliknij Pivot.

7. W nowym oknie wybierz Wybrane pola i zatwierdź Ok.

8. W Nev Pivot wybierz preferowany rodzaj wykresu i skonfiguruj go.

Przykład:

– Wybierz Wykres Kolumnowy.

– Wybierz odpowiedni przedział czasu (np. Ostatnie 7 dni).

– Pod osią X, w Polu wybierz final_status

– Pod osią Y, w Polu wybierz malware_name

Wykres pokaże status wykrytych malware z ostatnich 7 dni w twojej sieci.

9. Kliknij Save As… w górnej części wykresu wybierz Dashboard Panel.

10. W nowym oknie wpisz wymagane dane. Możesz zarówno utworzyć nowy Panel, jak i edytować już istniejący.

11. Kliknij Splunk. Wykres jest teraz w twoim preferowanym panelu. Możesz utworzyć własny panel GravityZone z wieloma wykresami, jak pokazano na rysunku poniżej.

Używaj GravityZone w aplikacji Splunk

Bitdefender GravityZone dla aplikacji Splunk pomaga w pre-definiowaniu i wyświetlaniu paneli nawigacyjnych, raportów, oraz wyszukiwaniu zdarzeń. Aplikacja ta wspołpracuje z dodatkiem Bitdefender GravityZone dla Splunk.

Dla poprawnego funkcjonowania z GravityZone, zainstaluj te produkty na platformie Splunk w takiej kolejności:

1. Zainstaluj dodatek Bitdefender GravityZone dla Splunk. Kliknij tutaj aby pobrać.

2. Zainstaluj aplikację GravityZone dla Splunk. Kliknij tutaj aby pobrać.

Źródło: https://www.bitdefender.com/support/how-to-create-reports-based-on-data-from-gravityzone-in-splunk-2305.html