Jak zintegrować GravityZone ze Splunk

Jak zintegrować GravityZone ze Splunk

Ten artykuł wyjaśnia jak zintegrować GravityZone ze Splunk używając do tego HTTP Event Collector, oraz GravityZone API.

O integracji GravityZone ze Splunk

Jako partner Bitdefendera możesz zintegrować GravityZone ze Splunk przez użycie GravityZone Api, oraz Splunk HTTP Event Collector. Dzięki temu możesz wysyłać dane z GravityZone Control Center bezpośrednio do Splunk Enterprise, lub Splunk Cloud.

Wymagania wstępne

Aby zintegrować GravityZone ze Splunk, musisz mieć pod ręką:

1. Dane dostępu do Twojego konta w GravityZone.

2. Dane dostępu do Twojego konta Splunk (w chmurze, lub lokalnie).

Opcjonalnie możesz użyć skryptu do automatycznego włączenia integracji.

Dla aplikacji Bitdefender Splunk, aby związać wzajemnie dane pochodzące z GravityZone, musisz zainstalować dodatek Bitdefender Splunk.

Jak skonfigurować integrację GravityZone ze Splunk

Aby korzystać z integracji GravityZone ze Splunk potrzebujesz:

1. A. Włączyć API Event Push w GravityZone Control Center.

2. B. Włączyć nowy token dla HTTP Event Collector w Splunk.

3. C. Włączyć integrację Splunk.

Aby zintegrować GravityZone ze Splunk:

A. Włączenie API Event Push w GravityZone Control Center

1. Zaloguj się do GravityZone Control Center.

2. Wejdź w Moje Konto.

3. W polu Klucze API kilknij Dodaj.

4. Zaznacz pole wyboru Event Push Service API i kliknij Zapisz. Nowy klucz pojawi się w tabeli kluczy API.

B. Włączenie nowego tokenu dla HTTP Event Collector w Splunk

1. Zaloguj się do Splunk.

2. Wejdź w Settings > Data inputs > HTTP Event Collector.

3. Kliknij New Token.

4. Na ekranie Add Data wypełnij pole nazwa zgodnie z sugestią na obrazku poniżej, a następnie kliknij Next.

5. W polu Source type kliknij Select, a następnie wskaż _json.

W trakcie korzystania z aplikacji Bitdefender Splunk, po zainstalowaniu dodatku Splunk Bitdefender kliknij Select, a następnie wskaż bitdefender:gz jako źródło.

6. W Index wybierz domyślny indeks, lub utwórz nowy. Zdarzenia odebrane przez HTTP Event Collector, zostaną umieszczone w wybranym indeksie.

7. Kliknij Review.

8. Zweryfikuj wprowadzone dane, a następnie Save.

Token został pomyślnie utworzony. Skopiuj zawartość tokena, oraz ją zapisz. Będziesz jej później potrzebował, aby uruchomić integrację.

9. Wejdź w Settings > Data Inputs > HTTP Event Collector, a następnie kliknij Global Settings.

10. W nowym oknie, w polu All Tokens wskaż Enabled.

11. Kliknij Save.

C. Włączenie integracji Splunk

Po utworzeniu klucza Event Push Service w GravityZone Control Center, oraz włączeniu HTTP Event Collector w Splunk potrzebujesz włączyć integrację. Oznacza to, że musisz zacząć wysyłać zdarzenia z GravityZone do Splunk.

Ręczne włączenie integracji w Splunk

Aby włączyć integrację Splunk, musisz skonfigurować ustawienia Event Push Service z Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u. Te ustawienia dotyczą:

Przykład:

– Adres URL GravityZone API. Znajdziesz go w Moje Konto > Panel Sterowania API. Powinien być podobny do: https://cloudgz.gravityzone.bitdefender.com/api

– Nagłówek autoryzacji klucza API wygenerowanego w GravityZone. Wartość nagłówka to Basic base64encode. Aby uzyskać nagłówek autoryzacji uruchom komendę echo, a następnie klucz API z dwukropkiem (“:”).

> echo -n ‘604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:’ | base64 -w 0

Rezultat powinien być podobny do czegoś takiego:

NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=

– Adres URL Splunk. Znajdziesz go w swojej platformie Splunk Cloud, oraz powinien wyglądać podobnie do: https://prd-p-xlpxkqpw84k2.cloud.splunk.com. Jeśli używasz Splunk lokalnie, adres URL powinien być już na miejscu.

– Token HTTP Event Collector.

Po uzyskaniu powyższych danych uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):

> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {“status”: 1, “serviceType”: “splunk”, “serviceSettings”: {“url”: “https://input-prd-p-r2rmnllpzv4n.cloud.splunk.com:8088/services/collector”, “requireValidSslCertificate”: false, “splunkAuthorization”: “Splunk EA900DEB-22C8-402B-A7F9-A926C1633E7A“}, “subscribeToEventTypes”: {“modules”: true, “sva”: true, “registration”: true, “supa-update-status”: true, “av”: true, “aph”: true, “fw”: true, “avc”: true, “uc”: true, “dp”: true, “sva-load”: true, “task-status”: true, “exchange-malware”: true, “network-sandboxing”: true, “adcloud”: true, “exchange-user-credentials”: true}}, “jsonrpc”: “2.0”, “method”: “setPushEventSettings”, “id”: “1”}’

Rezultat powinien być podobny do:

{“id”:”1″,”jsonrpc”:”2.0″,”result”:true}

GravityZone rozpocznie wysyłanie zdarzeń do Splunk, zaraz po ponownym załadowaniu ustawień usługi Push. Dzieje się tak co 10 minut.

Aby rozpocząć wysyłanie zdarzeń natychmiast, uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):

> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {}, “jsonrpc”: “2.0”, “method”: “getPushEventSettings”, “id”: “2”}’

Test integracji ze Splunk

Aby przetestować integrację uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):

> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {“eventType”: “av”}, “jsonrpc”: “2.0”, “method”: “sendTestPushEvent”, “id”: “3”}’

Włączenie integracji Splunk poprzez uruchomienie skryptu

Możesz również rozpocząć wysyłanie zdarzeń z GravityZone do Splunk, uruchamiając skrypt stworzony przez Bitdefender. Możesz to zrobić za pomocą Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u.

1. Pobierz skrypt stąd.

2. Zrób skrypt wykonywalny poprzez uruchomienie polecenia:

chmod +x bdpusheventconfig.sh

3. Uruchom skrypt za pomocą polecenia:

./bdpusheventconfig.sh -g [console_url] -k [api_key] -t [service_type] -u [service_url] -a [splunk_auth_token] -v -c [events]

Skrypt zawiera następujące opcje:

Opcje

Opis

-g [console url]

Adres URL GravityZone API

-k [api_key]

Klucz GravityZone API

-t [service_type]

Typ usługi: splunk, lub jsonRPC

-u [service_url]

Adres URL Splunk, lub RPC

-a [splunk_auth_token]

Token autoryzacji Splunk

-v

Zweryfikuj certyfikat SSL usługi

-c [events]

Połącz ze Splunk Cloud. Dodaje adres wejściowy usługi.

-h, --help

Pomoc

Opcje te są podobne do tych używanych podczas ręcznego włączania integracji.

Opcja -c [events] odnosi się do jednego zdarzenia, lub do rozdzielonej spacjami listy zdarzeń, które mają zostać wysłane z GravityZone do Splunk. Te zdarzenia są opisane w tabeli poniżej:

Identyfikator typu zdarzenia

Opis

modules

Zdarzenie modułów produktu

sva

Zdarzenie statusu Serwera Bezpieczeństwa

registration

Zdarzenie Rejestracji Produktu

supa-update-status

Nieaktualnie zdarzenie Serwera Aktualizacji (gdzie Serwer Aktualizacji jest Relay'em)

av

Zdarzenie antymalware

aph

Zdarzenie Antyphishing

fw

Zdarzenie Firewall'a

avc

Zdarzenie ATC/IDS

uc

Zdarzenie Kontroli Użytkownika

dp

Zdarzenie Ochrony Danych

sva-load

Zdarzenie przeciążenia Serwera Bezpieczeństwa

task-status

Zdarzenie Statusu Zadania

exchange-malware

Zdarzenie Wymiany Wykrycia Malware

network-sandboxing

Wykrywanie Analizatora Sandbox

adcloud

Problem z integracją usługi Active Directory

exchange-user-credentials

Wymiana danych identyfikacyjnych użytkownika

Aby subskrybować wszystkie wydarzenia użyj wartości a11, lub określ każdą z nich. Jeżeli lista zdarzeń jest pusta (-c bez określonych zdarzeń) to integracja jest wyłączona.

Examples

Włącz integrację ze Splunk

./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials

./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c all

Konfiguracja usługi json RPC

./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t jsonRPC -u https://rpc.example.com modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials

Wyłącz integrację ze Splunk

./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 –c

Po szczegóły na temat Push Event Service zajrzyj do przewodnika po Dokumentacji GravityZone API for Cloud, w rozdziale “Push”.

Szczegółowe informacje na temat tworzenia raportów na podstawie danych z GravityZone w Splunk znajdują się w tym artykule KB.

Źródło: https://www.bitdefender.com/support/how-to-integrate-gravityzone-with-splunk-2152.html