为Splunk安装和管理Code42内部威胁应用程序
概述
本教程解释如何安装、管理和卸载Splunk的Code42内部威胁应用程序。Splunk是一个数据分析监控和可视化的解决方案。Splunk的Code42内部威胁应用程序将Code42特定的仪表板添加到Splunk的企业或Splunk的云显示整个Code42环境中发生的活动,这可以帮助您识别内部风险。您还可以从Code42摄取审计日志和设备运行状况数据。
有关Splunk的Code42内部威胁应用程序中仪表板的描述,请参见Code42内幕威胁应用程序Splunk参考.
注意事项
- 要使用Code42内部威胁应用程序的Splunk,你必须有一个现有的Splunk的企业7.0或更高版本的环境或Splunk的云环境。
- 在Code42内部威胁应用程序提供的数据Splunk取决于你的产品计划.
- 用于运行Splunk和Splunk的Code42内部威胁应用程序的设备必须具有对Code42云的网络访问权限。
- Code42不能为Splunk提供技术支持。联系Splunk支持Splunk的帮助。
在开始之前
在Code42控制台中,创建一个API客户端,为Splunk的Code42内幕威胁应用程序提供权限:
- 用户角色的用户内部风险管理角色,创建API客户端仅供Code42内部威胁应用程序用于Splunk。
- 权限:设置必要的API的权限在API客户端。(在使用API客户端ID和secret授予帐户访问权限,测试以确认必要的数据是在Code42内幕威胁应用程序为Splunk访问。)
- 文件事件和警报数据:读取警报、案例、数据首选项、检测列表和文件事件的权限
- “审计日志”数据:“审计日志”的读取权限
- 设备运行状况数据:设备的读取权限
为Splunk安装Code42内部威胁应用程序
的Code42内部威胁插件Splunk添加特定于Code42的仪表板,显示整个Code42环境中发生的活动,这可以帮助您识别内部风险。
第一步:安装应用程序
初始安装可能需要Splunk支持的帮助。
- 在Splunk主页上,单击应用程序按钮:
- 选择浏览更多应用.
- 在“浏览更多应用”面板中,搜索“Code42”。
- 点击安装在内部威胁.
- 在登录对话框中,输入您的Splunk用户名和密码,然后单击登录和安装.
- 在Complete对话框中,单击打开App.
分布式Splunk环境
有关将Code42内部威胁应用程序部署到分布式Splunk环境的说明,请参阅Splunk的文档.
步骤2:配置app
创建索引
一个Splunk指数充当数据存储库。创建一个新索引以指定Code42数据的位置。
- 去>索引.
- 点击新索引.
- 配置索引。有关其他详细信息,请参见Splunk的文档.
- (可选)要使Code42数据显示在主Splunk界面中(而不是仅在Code42 Insider Threat应用程序仪表板中),请选择查册及报告在应用程序字段。
添加一个API客户端到Splunk
使用API客户端(按照在开始之前为Splunk应用程序提供身份验证。一旦创建了API客户端,将其添加到Splunk应用程序:
- 导航回Code42内部威胁插件应用程序。
- 选择配置。
- 从API Client选项卡中选择添加.
将出现“添加API客户端”对话框。 - 输入唯一的API客户端名称.
- 进入权威的领域你用来登录到Code42控制台,没有协议。例如:
如果您登录到Code42控制台https://console.us.code42.com/login(US1)上,输入:
console.us.code42.com
如果您在https://console.us2.code42.com/login (US2)登录到Code42控制台,请输入:
console.us2.code42.com
如果您登录到Code42控制台Code42联邦环境在https://console.gov.code42.com/login(之三),输入:
console.gov.code42.com
如果您登录到爱尔兰云的Code42控制台https://console.ie.code42.com/login(EU1)上,输入:
console.ie.code42.com
在API Client ID和API Client Secret字段中,输入要用于身份验证的API客户机的凭据。
如果你通过代理来引导流量:
输入一个代理地址使用端口,例如:
http://example.address:1234
可选:在代理身份验证字段,输入用于验证代理请求的用户名和密码,以冒号分隔。例如
用户名:密码
.
点击添加.
API客户端名称和ID作为API客户端添加在API客户端选项卡上。
创建输入
创建一个新的输入来配置什么Code42数据出现在Splunk。您可以为以下内容创建输入:
文件曝光
创建一个输入要摄取文件曝光数据并在Splunk仪表板上查看。
- 选择输入.
- 点击创建新的输入>文件曝光.
将出现“添加文件公开”对话框。 - 输入唯一的的名字.
- 输入时间时间间隔,以秒为单位,用于从Code42云实例检索事件数据。默认值是最小值300秒,即5分钟。
- 选择指数您之前创建的。
- 选择Code42 API客户端你想用。
- 输入一个最低风险评分.
- 输入一个保存搜索ID通过运行保存搜索API.
- 点击添加.
警报
- 选择输入.
- 点击创建新的输入>警报.
将出现“添加警报”对话框。 - 输入唯一的的名字.
- 输入时间时间间隔,以秒为单位,用于从Code42云实例检索事件数据。缺省值是300秒,也就是5分钟。
- 选择指数您之前创建的。
- 选择Code42 API客户端你想用。
- 选择一个搜索行为的所有警报或所选告警级别.
- 如果你愿意所有警报,以下所有类型均被视为选定。
- 如果你愿意所选告警级别,检查以下一个或多个严重级别。
- 点击添加.
第三步:测试应用程序
- 登录Splunk。
- 从Splunk主页上的应用程序列表中,单击Code42内部威胁附加组件。
的Incydr概述出现了。 - 研究面板生成的数据。
排除应用程序故障
故障诊断注意事项
- 数据可能不会立即出现在面板中。而是按预定的时间间隔更新数据。预定的间隔被配置为避免使用请求使Code42云实例过载。
- 如果缺少面板的数据,请确认Code42环境用户帐户具有在Code42环境中查看该数据的必要权限。
Splunk Enterprise内的日志
Splunk的Code42内部威胁应用程序更新日志文件,其中包含有用的故障排除信息,包括错误消息和安全警告。betway365对于Splunk企业安装,日志文件位于:
< path-to-splunk > / var / log / splunk / TA-code42-insider-threats-add-on
支持
如果您需要Splunk的Code42内部威胁应用程序的支持,请联系我们的技术支持工程师Code42用于企业支持.
我们的技术支持工程师无法为Splunk提供技术支持。联系Splunk支持Splunk的帮助。
Splunk的答案
Splunk的答案Splunk是一个社区论坛,Splunk用户可以在这里发布关于Splunk使用的问题并得到答案。转到以下URL,使用Code42内幕威胁应用程序为Splunk寻求帮助:
https://community.splunk.com/t5/All-Apps-and-Add-ons/bd-p/apps-add-ons-all
升级应用程序
当发布了新版本的Code42 for Insider Threat应用程序时,请执行以下步骤进行升级。
Splunk的企业
- 在Splunk主页上,单击应用程序按钮:
- 在应用程序面板,浏览到的行内部威胁.
如果有可用的应用程序的更新版本,则在该行上出现一个Update链接。 - 点击更新。
- 选择该选项以确认条款和条件。
- 点击接受并继续.
- 输入您的Splunk用户名和密码。
- 点击登录并继续.
- 点击现在重启重新启动Splunk Enterprise并完成升级。
Splunk的云
- 在Splunk主页上,单击应用程序按钮:
- 在应用程序面板,浏览到Code42内幕威胁应用程序的行。
如果有可用的应用程序的更新版本,则在该行上出现一个Update链接。 - 点击更新.
卸载应用程序
Splunk的企业
- 在Splunk企业服务器上打开终端窗口(Linux或Mac)或命令提示符(Windows)。
- 3 .执行如下命令停止Splunk Enterprise:
< path-to-splunk > / bin / splunk停止
- 运行以下命令删除Splunk的Code42 Insider Threat应用程序:
/bin/splunk remove appTA-code42-insider-threats-add-on - 重启Splunk.
Splunk的Code42内部威胁应用程序不再出现在Splunk用户界面中。
Splunk的云
- 在Splunk主页上,单击应用程序按钮:
- 在应用程序面板,浏览到一行的Code42内幕威胁应用程序Splunk。
- 单击禁用链接。
版本历史
有关Splunk的Code42内部威胁应用程序的发布信息,请参阅Splunkbase的发行说明.