امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)

سلام خدمت کاربران عزیز وب سایت توسینسو، همانطور که میدانید Log ها Event های شبکه یک سازمان از اهمیت بالایی برخوردار هستند زیرا از طریق آن توانایی کشف رخداد و حملات و حتی بررسی و عیب یابی شبکه را پیدا خواهیم کرد... نگهداری و بررسی این Log ها و Event خود به یک معقوله بزرگتر برمیگردد اما ارسال آن‌ها به یک SIEM برای آنالیز به درستی و بدون ایجاد هیچ مشکلی در اطلاعات نیز از اهمیت زیادی برخوردار است. در این مقاله قصد داریم به بررسی HEC در SIEM قدرتمند Splunk بپردازیم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بررسی (SIEM)Security information and event management

درواقع SIEM تشکیل شده از دو بخش SIM و SEM می‌باشد که میتواند مانیتورینگ امنیتی و بررسی رخداد های امنیتی را به شما بدهد. شما از طریق SIEM ها توانایی نظارت کامل بر روی تجهیزات خود را پیدا خواهید کرد و در هرآن می‌توانید رخداد ها و وقایع امنیتی که موجب آسیب زدن به سازمان می‌شوند را کشف کنید.

بررسی Splunk

درواقع Splunk نیز یک SIEM می‌باشد اما بطور کلی Splunk توانایی جمع آوری log ها و رخداد های نرم افزار ها، محیط های Cloud و رایانش ابری، دیوایس ها و تجهیزات شبکه و کامپیوتر های شخصی را دارد از این رو Splunk با پس از جمع آوری رخداد ها توانایی لیست کردن آن ‌ها، تحلیل و نظارت بر روی آن هارا به ما میدهد.نرم افزار Splunk دارای امکانات و ویژگیهای متعددی می باشد که ما قصد داریم در این محتوا به بررسی چگونگی ارسال Log و Event ها از طریق HCE بپردازیم.

بررسی HEC در Splunk

به طور خلاصه HEC یک روش انتقال داده در Splunk می‌باشد که به شما این امکان را می‌دهد خیلی راحت تر و بهتر و با امنیت بیشتر رخداد های سازمان خود را از طریق پروتکل امن Https به سمت Splunk ارسال کنید. در این نوع انتقال داده ما از ارسال داده ها از طریق UF بینیاز می‌شویم و همچنین قابلیت های خیلی بهتری از جمله ارسال اکثر داده ها، احراض هویت مبنی بر Token را به ما می‌دهد.

چگونه رخداد هارا بدون UF به سمت HEC بفرستیم

دوستان حال شاید فکر کنند اینکار شدنی نیست که بدون UF داده هایمان را به سمت سرور Splunk HEC ارسال کنیم... ولی باید بگویم خیر درست فهمیده ایید که HEC نیاز مارا به UF را کاملا از بین میبرد شما بعد از تنظیم HEC خیلی راحت با چند خط کد نویسی و یا استفاده از نرم افزار کوچیک اماده(همانند Splunk-SendEvent.ps) داده هایتان را به سمت سرور Splunk HEC ارسال کنید.

راه اندازی HEC در Splunk

برای راه اندازی HEC در Splunk ابتدا نیاز است وارد محیط کنسول وب Splunk شوید و مراحل زیر را به ترتیب انجام دهید

  • مرحله اول: وارد مسیر Settings -> Data Input شوید
  • مرحله دوم: بر روی Http Event Collector کلیک کنید
  • مرحله سوم: بر روی قسمت Global Settings کلیک کنید
  • مرحله چهارم: All Token را بر روی Enable قرار دهید
  • مرحله پنجم(اختیاری): میتوانید Source Type را برای HEC تنظیم کنید
  • مرحله ششم(اختیاری): میتوانید Index مورد نظر را برای HEC تنظیم کنید

بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)

بقیه مراحل نیز به صورت اختیاری می‌باشند که نیاز به گفتن آن‌ها نیست و با خواندن آن به وظیفه‌شان پی‌میبرید

  • نکته: برای ارسال داده ها بر روی بستر Https می‌بایست تیک Enable SSL را بزنید

همچنین پس از این به قسمت Add Data در بخش Settings بروید و یک Token جدید را ایجاد کنید تا سرور Splunk بتواند داده هارا دریافت کند

بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)

نگاهی بر کانفینگ های که برای این قسمت انجام دادیم:

بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)

نحوه ارسال رخداد ها به سمت Splunk HEC

همانطور که گفتیم در HEC ما نیازی به استفاده از UF نداریم و میتوانیم خیلی راحت از نرم افزار های ساده ایی مانند Send-SplunkEvent.ps1 استفاده کنید

مثالی از ارسال یک رخداد از طریق

.\Send-SplunkEvent.ps1 -InputObject @{message="Hello Splunk!";severity="INFO"} -Key <token> 
Get-Service wuauserv | .\Send-SplunkEvent.ps1 -Key <token> -Uri http://localhost:8088/services/collector

بررسی آن در Splunk:

 بررسی و پیاده سازی HTTP Event Collector در اسپلانک(Splunk)

 نویسنده: امیرحسین تنگسیری نژاد



امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

07 شهریور 1399 این مطلب را ارسال کرده

نظرات