Jak zintegrować GravityZone ze Splunk
31 października 2019
FAQ – Produkty dla firmy (biznesowe) :
- Monitorowanie Integralności
- Jak wygenerować Support Tool Log dla Endpoint Security for Mac
- Jak wygenerować raport dla Bitdefender Security for Mail Servers (Linux)
- Jak wygenerować raport z Serwera Bezpieczeństwa
- Jak usunąć przestarzałe punkty końcowe w konsoli GravityZone (konsola w chmurze)
- Jak cicho odinstalować chronionego hasłem agenta Endpoint Security dla MacOS
- Najczęściej zadawane pytania dotyczące migracji do Bitdefender Endpoint Security Tools w wersji 7
- Wsparcie Bitdefender Endpoint Security Tools dla urządzeń z procesorem Apple M1
- Jak zaktualizować TLS do wersji 1.2 oraz dlaczego jest to istotne dla funkcjonalności Bitdefender Endpoint Security Tools?
- Jak ręcznie zaktualizować Bitdefender Endpoint Security Tools (BEST)
Ten artykuł wyjaśnia jak zintegrować GravityZone ze Splunk używając do tego HTTP Event Collector, oraz GravityZone API.
O integracji GravityZone ze Splunk
Jako partner Bitdefendera możesz zintegrować GravityZone ze Splunk przez użycie GravityZone Api, oraz Splunk HTTP Event Collector. Dzięki temu możesz wysyłać dane z GravityZone Control Center bezpośrednio do Splunk Enterprise, lub Splunk Cloud.
Wymagania wstępne
Aby zintegrować GravityZone ze Splunk, musisz mieć pod ręką:
1. Dane dostępu do Twojego konta w GravityZone.
2. Dane dostępu do Twojego konta Splunk (w chmurze, lub lokalnie).
Opcjonalnie możesz użyć skryptu do automatycznego włączenia integracji.
Dla aplikacji Bitdefender Splunk, aby związać wzajemnie dane pochodzące z GravityZone, musisz zainstalować dodatek Bitdefender Splunk.
Jak skonfigurować integrację GravityZone ze Splunk
Aby korzystać z integracji GravityZone ze Splunk potrzebujesz:
1. A. Włączyć API Event Push w GravityZone Control Center.
2. B. Włączyć nowy token dla HTTP Event Collector w Splunk.
3. C. Włączyć integrację Splunk.
Aby zintegrować GravityZone ze Splunk:
A. Włączenie API Event Push w GravityZone Control Center
1. Zaloguj się do GravityZone Control Center.
2. Wejdź w Moje Konto.
3. W polu Klucze API kilknij Dodaj.
4. Zaznacz pole wyboru Event Push Service API i kliknij Zapisz. Nowy klucz pojawi się w tabeli kluczy API.
B. Włączenie nowego tokenu dla HTTP Event Collector w Splunk
1. Zaloguj się do Splunk.
2. Wejdź w Settings > Data inputs > HTTP Event Collector.
3. Kliknij New Token.
4. Na ekranie Add Data wypełnij pole nazwa zgodnie z sugestią na obrazku poniżej, a następnie kliknij Next.
5. W polu Source type kliknij Select, a następnie wskaż _json.
W trakcie korzystania z aplikacji Bitdefender Splunk, po zainstalowaniu dodatku Splunk Bitdefender kliknij Select, a następnie wskaż bitdefender:gz jako źródło.
6. W Index wybierz domyślny indeks, lub utwórz nowy. Zdarzenia odebrane przez HTTP Event Collector, zostaną umieszczone w wybranym indeksie.
7. Kliknij Review.
8. Zweryfikuj wprowadzone dane, a następnie Save.
Token został pomyślnie utworzony. Skopiuj zawartość tokena, oraz ją zapisz. Będziesz jej później potrzebował, aby uruchomić integrację.
9. Wejdź w Settings > Data Inputs > HTTP Event Collector, a następnie kliknij Global Settings.
10. W nowym oknie, w polu All Tokens wskaż Enabled.
11. Kliknij Save.
C. Włączenie integracji Splunk
Po utworzeniu klucza Event Push Service w GravityZone Control Center, oraz włączeniu HTTP Event Collector w Splunk potrzebujesz włączyć integrację. Oznacza to, że musisz zacząć wysyłać zdarzenia z GravityZone do Splunk.
Ręczne włączenie integracji w Splunk
Aby włączyć integrację Splunk, musisz skonfigurować ustawienia Event Push Service z Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u. Te ustawienia dotyczą:
Przykład:
– Adres URL GravityZone API. Znajdziesz go w Moje Konto > Panel Sterowania API. Powinien być podobny do: https://cloudgz.gravityzone.bitdefender.com/api
– Nagłówek autoryzacji klucza API wygenerowanego w GravityZone. Wartość nagłówka to Basic base64encode. Aby uzyskać nagłówek autoryzacji uruchom komendę echo, a następnie klucz API z dwukropkiem (“:”).
– > echo -n ‘604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:’ | base64 -w 0
Rezultat powinien być podobny do czegoś takiego:
NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=
– Adres URL Splunk. Znajdziesz go w swojej platformie Splunk Cloud, oraz powinien wyglądać podobnie do: https://prd-p-xlpxkqpw84k2.cloud.splunk.com. Jeśli używasz Splunk lokalnie, adres URL powinien być już na miejscu.
– Token HTTP Event Collector.
Po uzyskaniu powyższych danych uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):
> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {“status”: 1, “serviceType”: “splunk”, “serviceSettings”: {“url”: “https://input-prd-p-r2rmnllpzv4n.cloud.splunk.com:8088/services/collector”, “requireValidSslCertificate”: false, “splunkAuthorization”: “Splunk EA900DEB-22C8-402B-A7F9-A926C1633E7A“}, “subscribeToEventTypes”: {“modules”: true, “sva”: true, “registration”: true, “supa-update-status”: true, “av”: true, “aph”: true, “fw”: true, “avc”: true, “uc”: true, “dp”: true, “sva-load”: true, “task-status”: true, “exchange-malware”: true, “network-sandboxing”: true, “adcloud”: true, “exchange-user-credentials”: true}}, “jsonrpc”: “2.0”, “method”: “setPushEventSettings”, “id”: “1”}’
Rezultat powinien być podobny do:
{“id”:”1″,”jsonrpc”:”2.0″,”result”:true}
GravityZone rozpocznie wysyłanie zdarzeń do Splunk, zaraz po ponownym załadowaniu ustawień usługi Push. Dzieje się tak co 10 minut.
Aby rozpocząć wysyłanie zdarzeń natychmiast, uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):
> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {}, “jsonrpc”: “2.0”, “method”: “getPushEventSettings”, “id”: “2”}’
Test integracji ze Splunk
Aby przetestować integrację uruchom to polecenie (ustawienia, które musisz edytować, są podkreślone):
> curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H ‘authorization: Basic R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46‘ \
-H ‘cache-control: no-cache’ \
-H ‘content-type: application/json’ \
-d ‘{“params”: {“eventType”: “av”}, “jsonrpc”: “2.0”, “method”: “sendTestPushEvent”, “id”: “3”}’
Włączenie integracji Splunk poprzez uruchomienie skryptu
Możesz również rozpocząć wysyłanie zdarzeń z GravityZone do Splunk, uruchamiając skrypt stworzony przez Bitdefender. Możesz to zrobić za pomocą Twojego ulubionego emulatora urządzenia końcowego na Linuxie, lub Mac’u.
1. Pobierz skrypt stąd.
2. Zrób skrypt wykonywalny poprzez uruchomienie polecenia:
chmod +x bdpusheventconfig.sh
3. Uruchom skrypt za pomocą polecenia:
./bdpusheventconfig.sh -g [console_url] -k [api_key] -t [service_type] -u [service_url] -a [splunk_auth_token] -v -c [events]
Skrypt zawiera następujące opcje:
Opcje |
Opis |
|
Adres URL GravityZone API |
|
Klucz GravityZone API |
|
Typ usługi: splunk, lub jsonRPC |
|
Adres URL Splunk, lub RPC |
|
Token autoryzacji Splunk |
|
Zweryfikuj certyfikat SSL usługi |
|
Połącz ze Splunk Cloud. Dodaje adres wejściowy usługi. |
|
Pomoc |
Opcje te są podobne do tych używanych podczas ręcznego włączania integracji.
Opcja -c [events] odnosi się do jednego zdarzenia, lub do rozdzielonej spacjami listy zdarzeń, które mają zostać wysłane z GravityZone do Splunk. Te zdarzenia są opisane w tabeli poniżej:
Identyfikator typu zdarzenia |
Opis |
modules |
Zdarzenie modułów produktu |
sva |
Zdarzenie statusu Serwera Bezpieczeństwa |
registration |
Zdarzenie Rejestracji Produktu |
supa-update-status |
Nieaktualnie zdarzenie Serwera Aktualizacji (gdzie Serwer Aktualizacji jest Relay'em) |
av |
Zdarzenie antymalware |
aph |
Zdarzenie Antyphishing |
fw |
Zdarzenie Firewall'a |
avc |
Zdarzenie ATC/IDS |
uc |
Zdarzenie Kontroli Użytkownika |
dp |
Zdarzenie Ochrony Danych |
sva-load |
Zdarzenie przeciążenia Serwera Bezpieczeństwa |
task-status |
Zdarzenie Statusu Zadania |
exchange-malware |
Zdarzenie Wymiany Wykrycia Malware |
network-sandboxing |
Wykrywanie Analizatora Sandbox |
adcloud |
Problem z integracją usługi Active Directory |
exchange-user-credentials |
Wymiana danych identyfikacyjnych użytkownika |
Aby subskrybować wszystkie wydarzenia użyj wartości a11, lub określ każdą z nich. Jeżeli lista zdarzeń jest pusta (-c bez określonych zdarzeń) to integracja jest wyłączona.
Examples
Włącz integrację ze Splunk
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 -c all
Konfiguracja usługi json RPC
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t jsonRPC -u https://rpc.example.com modules sva registration supa-update-status av aph fw avc uc dp sva-load task-status exchange-malware network-sandboxing adcloud exchange-user-credentials
Wyłącz integrację ze Splunk
./bdpusheventconfig.sh -g https://gz.example.com/api/v1.0/jsonrpc/push -k abcdefghijklmnopqrstuvwxyz123456 -t splunk -u https://splunk.example.com -a 11111111-2222-3333-4444-555555555555 –c
Po szczegóły na temat Push Event Service zajrzyj do przewodnika po Dokumentacji GravityZone API for Cloud, w rozdziale “Push”.
Szczegółowe informacje na temat tworzenia raportów na podstawie danych z GravityZone w Splunk znajdują się w tym artykule KB.
Źródło: https://www.bitdefender.com/support/how-to-integrate-gravityzone-with-splunk-2152.html
Autor
Obecnie
Najnowsze wpisy
