Ten artykuł wyjaśnia jak zintegrować GravityZone ze Splunk używając do tego HTTP Event Collector, oraz GravityZone API.
O integracji GravityZone ze Splunk
Jako partner Bitdefendera możesz zintegrować GravityZone ze Splunk przez użycie GravityZone Api, oraz Splunk HTTP Event Collector. Dzięki temu możesz wysyłać dane z GravityZone Control Center bezpośrednio do Splunk Enterprise, lub Splunk Cloud.
Wymagania wstępne
Aby zintegrować GravityZone ze Splunk, musisz mieć pod ręką:
1. Dane dostępu do Twojego konta w GravityZone.
2. Dane dostępu do Twojego konta Splunk (w chmurze, lub lokalnie).
Opcjonalnie możesz użyć skryptu do automatycznego włączenia integracji.
Dla aplikacji Bitdefender Splunk, aby związać wzajemnie dane pochodzące z GravityZone, musisz zainstalować dodatek Bitdefender Splunk.
Jak skonfigurować integrację GravityZone ze Splunk
Aby korzystać z integracji GravityZone ze Splunk potrzebujesz:
1. A. Włączyć API Event Push w GravityZone Control Center.
2. B. Włączyć nowy token dla HTTP Event Collector w Splunk.
3. C. Włączyć integrację Splunk.
Aby zintegrować GravityZone ze Splunk:
A. Włączenie API Event Push w GravityZone Control Center
1. Zaloguj się do GravityZone Control Center.
2. Wejdź w Moje Konto.
3. W polu Klucze API kilknij Dodaj.
4. Zaznacz pole wyboru Event Push Service API i kliknij Zapisz. Nowy klucz pojawi się w tabeli kluczy API.
B. Włączenie nowego tokenu dla HTTP Event Collector w Splunk
1. Zaloguj się do Splunk.
2. Wejdź w Settings > Data inputs > HTTP Event Collector.
3. Kliknij New Token.
4. Na ekranie Add Data wypełnij pole nazwa zgodnie z sugestią na obrazku poniżej, a następnie kliknij Next.
5. W polu Source type kliknij Select, a następnie wskaż _json.
W trakcie korzystania z aplikacji Bitdefender Splunk, po zainstalowaniu dodatku Splunk Bitdefender kliknij Select, a następnie wskaż bitdefender:gz jako źródło.
6. W Index wybierz domyślny indeks, lub utwórz nowy. Zdarzenia odebrane przez HTTP Event Collector, zostaną umieszczone w wybranym indeksie.
7. Kliknij Review.
8. Zweryfikuj wprowadzone dane, a następnie Save.
Token został pomyślnie utworzony. Skopiuj zawartość tokena, oraz ją zapisz. Będziesz jej później potrzebował, aby uruchomić integrację.
9. Wejdź w Settings > Data Inputs > HTTP Event Collector, a następnie kliknij Global Settings.
10. W nowym oknie, w polu All Tokens wskaż Enabled.
11. Kliknij Save.
C. Włączenie integracji Splunk
Po utworzeniu klucza Event Push Service w GravityZone Control Center, oraz włączeniu HTTP Event Collector w Splunk potrzebujesz włączyć integrację. Oznacza to, że musisz zacząć wysyłać zdarzenia z GravityZone do Splunk.
Ręczne włączenie integracji w Splunk
Aby włączyć integrację Splunk, musisz skonfigurować ustawienia Event Push Service z Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u. Te ustawienia dotyczą:
Przykład:
– Adres URL GravityZone API. Znajdziesz go w Moje Konto > Panel Sterowania API. Powinien być podobny do: https://cloudgz.gravityzone.bitdefender.com/api
– Nagłówek autoryzacji klucza API wygenerowanego w GravityZone. Wartość nagłówka to Basic base64encode. Aby uzyskać nagłówek autoryzacji uruchom komendę echo, a następnie klucz API z dwukropkiem („:”).
– Adres URL Splunk. Znajdziesz go w swojej platformie Splunk Cloud, oraz powinien wyglądać podobnie do: https://prd-p-xlpxkqpw84k2.cloud.splunk.com. Jeśli używasz Splunk lokalnie, adres URL powinien być już na miejscu.
– Token HTTP Event Collector.
Po uzyskaniu powyższych danych uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):
Włączenie integracji Splunk poprzez uruchomienie skryptu
Możesz również rozpocząć wysyłanie zdarzeń z GravityZone do Splunk, uruchamiając skrypt stworzony przez Bitdefender. Możesz to zrobić za pomocą Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u.
Połącz ze Splunk Cloud. Dodaje adres wejściowy usługi.
-h, --help
Pomoc
Opcje te są podobne do tych używanych podczas ręcznego włączania integracji.
Opcja -c [events] odnosi się do jednego zdarzenia, lub do rozdzielonej spacjami listy zdarzeń, które mają zostać wysłane z GravityZone do Splunk. Te zdarzenia są opisane w tabeli poniżej:
Identyfikator typu zdarzenia
Opis
modules
Zdarzenie modułów produktu
sva
Zdarzenie statusu Serwera Bezpieczeństwa
registration
Zdarzenie Rejestracji Produktu
supa-update-status
Nieaktualnie zdarzenie Serwera Aktualizacji (gdzie Serwer
Aktualizacji jest Relay'em)
av
Zdarzenie antymalware
aph
Zdarzenie Antyphishing
fw
Zdarzenie Firewall'a
avc
Zdarzenie ATC/IDS
uc
Zdarzenie Kontroli Użytkownika
dp
Zdarzenie Ochrony Danych
sva-load
Zdarzenie przeciążenia Serwera Bezpieczeństwa
task-status
Zdarzenie Statusu Zadania
exchange-malware
Zdarzenie Wymiany Wykrycia Malware
network-sandboxing
Wykrywanie Analizatora Sandbox
adcloud
Problem z integracją usługi Active Directory
exchange-user-credentials
Wymiana danych identyfikacyjnych użytkownika
Aby subskrybować wszystkie wydarzenia użyj wartości a11, lub określ każdą z nich. Jeżeli lista zdarzeń jest pusta (-c bez określonych zdarzeń) to integracja jest wyłączona.
Examples
Włącz integrację ze Splunk
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c all
Pochodzę z Gdyni i jestem certyfikowanym inżynierem produktów z rodziny Bitdefender. Na co dzień zajmuję się pomocą techniczną wersji biznesowej GravityZone.