بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)
سلام خدمت کاربران عزیز وب سایت توسینسو، همانطور که میدانید Log ها Event های شبکه یک سازمان از اهمیت بالایی برخوردار هستند زیرا از طریق آن توانایی کشف رخداد و حملات و حتی بررسی و عیب یابی شبکه را پیدا خواهیم کرد... نگهداری و بررسی این Log ها و Event خود به یک معقوله بزرگتر برمیگردد اما ارسال آنها به یک SIEM برای آنالیز به درستی و بدون ایجاد هیچ مشکلی در اطلاعات نیز از اهمیت زیادی برخوردار است. در این مقاله قصد داریم به بررسی HEC در SIEM قدرتمند Splunk بپردازیم
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
بررسی (SIEM)Security information and event management
درواقع SIEM تشکیل شده از دو بخش SIM و SEM میباشد که میتواند مانیتورینگ امنیتی و بررسی رخداد های امنیتی را به شما بدهد. شما از طریق SIEM ها توانایی نظارت کامل بر روی تجهیزات خود را پیدا خواهید کرد و در هرآن میتوانید رخداد ها و وقایع امنیتی که موجب آسیب زدن به سازمان میشوند را کشف کنید.
بررسی Splunk
درواقع Splunk نیز یک SIEM میباشد اما بطور کلی Splunk توانایی جمع آوری log ها و رخداد های نرم افزار ها، محیط های Cloud و رایانش ابری، دیوایس ها و تجهیزات شبکه و کامپیوتر های شخصی را دارد از این رو Splunk با پس از جمع آوری رخداد ها توانایی لیست کردن آن ها، تحلیل و نظارت بر روی آن هارا به ما میدهد.نرم افزار Splunk دارای امکانات و ویژگیهای متعددی می باشد که ما قصد داریم در این محتوا به بررسی چگونگی ارسال Log و Event ها از طریق HCE بپردازیم.
بررسی HEC در Splunk
به طور خلاصه HEC یک روش انتقال داده در Splunk میباشد که به شما این امکان را میدهد خیلی راحت تر و بهتر و با امنیت بیشتر رخداد های سازمان خود را از طریق پروتکل امن Https به سمت Splunk ارسال کنید. در این نوع انتقال داده ما از ارسال داده ها از طریق UF بینیاز میشویم و همچنین قابلیت های خیلی بهتری از جمله ارسال اکثر داده ها، احراض هویت مبنی بر Token را به ما میدهد.
چگونه رخداد هارا بدون UF به سمت HEC بفرستیم
دوستان حال شاید فکر کنند اینکار شدنی نیست که بدون UF داده هایمان را به سمت سرور Splunk HEC ارسال کنیم... ولی باید بگویم خیر درست فهمیده ایید که HEC نیاز مارا به UF را کاملا از بین میبرد شما بعد از تنظیم HEC خیلی راحت با چند خط کد نویسی و یا استفاده از نرم افزار کوچیک اماده(همانند Splunk-SendEvent.ps) داده هایتان را به سمت سرور Splunk HEC ارسال کنید.
راه اندازی HEC در Splunk
برای راه اندازی HEC در Splunk ابتدا نیاز است وارد محیط کنسول وب Splunk شوید و مراحل زیر را به ترتیب انجام دهید
- مرحله اول: وارد مسیر Settings -> Data Input شوید
- مرحله دوم: بر روی Http Event Collector کلیک کنید
- مرحله سوم: بر روی قسمت Global Settings کلیک کنید
- مرحله چهارم: All Token را بر روی Enable قرار دهید
- مرحله پنجم(اختیاری): میتوانید Source Type را برای HEC تنظیم کنید
- مرحله ششم(اختیاری): میتوانید Index مورد نظر را برای HEC تنظیم کنید
بقیه مراحل نیز به صورت اختیاری میباشند که نیاز به گفتن آنها نیست و با خواندن آن به وظیفهشان پیمیبرید
- نکته: برای ارسال داده ها بر روی بستر Https میبایست تیک Enable SSL را بزنید
همچنین پس از این به قسمت Add Data در بخش Settings بروید و یک Token جدید را ایجاد کنید تا سرور Splunk بتواند داده هارا دریافت کند
نگاهی بر کانفینگ های که برای این قسمت انجام دادیم:
نحوه ارسال رخداد ها به سمت Splunk HEC
همانطور که گفتیم در HEC ما نیازی به استفاده از UF نداریم و میتوانیم خیلی راحت از نرم افزار های ساده ایی مانند Send-SplunkEvent.ps1 استفاده کنید
مثالی از ارسال یک رخداد از طریق
.\Send-SplunkEvent.ps1 -InputObject @{message="Hello Splunk!";severity="INFO"} -Key <token>
Get-Service wuauserv | .\Send-SplunkEvent.ps1 -Key <token> -Uri http://localhost:8088/services/collectorبررسی آن در Splunk:
نویسنده: امیرحسین تنگسیری نژاد