سلام خدمت کاربران عزیز وب سایت توسینسو، همانطور که میدانید Log ها Event های شبکه یک سازمان از اهمیت بالایی برخوردار هستند زیرا از طریق آن توانایی کشف رخداد و حملات و حتی بررسی و عیب یابی شبکه را پیدا خواهیم کرد... نگهداری و بررسی این Log ها و Event خود به یک معقوله بزرگتر برمیگردد اما ارسال آن‌ها به یک SIEM برای آنالیز به درستی و بدون ایجاد هیچ مشکلی در اطلاعات نیز از اهمیت زیادی برخوردار است. در این مقاله قصد داریم به بررسی HEC در SIEM قدرتمند Splunk بپردازیم

بررسی (SIEM)Security information and event management

درواقع SIEM تشکیل شده از دو بخش SIM و SEM می‌باشد که میتواند مانیتورینگ امنیتی و بررسی رخداد های امنیتی را به شما بدهد. شما از طریق SIEM ها توانایی نظارت کامل بر روی تجهیزات خود را پیدا خواهید کرد و در هرآن می‌توانید رخداد ها و وقایع امنیتی که موجب آسیب زدن به سازمان می‌شوند را کشف کنید.

بررسی Splunk

درواقع Splunk نیز یک SIEM می‌باشد اما بطور کلی Splunk توانایی جمع آوری log ها و رخداد های نرم افزار ها، محیط های Cloud و رایانش ابری، دیوایس ها و تجهیزات شبکه و کامپیوتر های شخصی را دارد از این رو Splunk با پس از جمع آوری رخداد ها توانایی لیست کردن آن ‌ها، تحلیل و نظارت بر روی آن هارا به ما میدهد.نرم افزار Splunk دارای امکانات و ویژگیهای متعددی می باشد که ما قصد داریم در این محتوا به بررسی چگونگی ارسال Log و Event ها از طریق HCE بپردازیم.

بررسی HEC در Splunk

به طور خلاصه HEC یک روش انتقال داده در Splunk می‌باشد که به شما این امکان را می‌دهد خیلی راحت تر و بهتر و با امنیت بیشتر رخداد های سازمان خود را از طریق پروتکل امن Https به سمت Splunk ارسال کنید. در این نوع انتقال داده ما از ارسال داده ها از طریق UF بینیاز می‌شویم و همچنین قابلیت های خیلی بهتری از جمله ارسال اکثر داده ها، احراض هویت مبنی بر Token را به ما می‌دهد.

چگونه رخداد هارا بدون UF به سمت HEC بفرستیم

دوستان حال شاید فکر کنند اینکار شدنی نیست که بدون UF داده هایمان را به سمت سرور Splunk HEC ارسال کنیم... ولی باید بگویم خیر درست فهمیده ایید که HEC نیاز مارا به UF را کاملا از بین میبرد شما بعد از تنظیم HEC خیلی راحت با چند خط کد نویسی و یا استفاده از نرم افزار کوچیک اماده(همانند Splunk-SendEvent.ps) داده هایتان را به سمت سرور Splunk HEC ارسال کنید.

راه اندازی HEC در Splunk

برای راه اندازی HEC در Splunk ابتدا نیاز است وارد محیط کنسول وب Splunk شوید و مراحل زیر را به ترتیب انجام دهید

  • مرحله اول: وارد مسیر Settings -> Data Input شوید
  • مرحله دوم: بر روی Http Event Collector کلیک کنید
  • مرحله سوم: بر روی قسمت Global Settings کلیک کنید
  • مرحله چهارم: All Token را بر روی Enable قرار دهید
  • مرحله پنجم(اختیاری): میتوانید Source Type را برای HEC تنظیم کنید
  • مرحله ششم(اختیاری): میتوانید Index مورد نظر را برای HEC تنظیم کنید

بقیه مراحل نیز به صورت اختیاری می‌باشند که نیاز به گفتن آن‌ها نیست و با خواندن آن به وظیفه‌شان پی‌میبرید

  • نکته: برای ارسال داده ها بر روی بستر Https می‌بایست تیک Enable SSL را بزنید

همچنین پس از این به قسمت Add Data در بخش Settings بروید و یک Token جدید را ایجاد کنید تا سرور Splunk بتواند داده هارا دریافت کند

نگاهی بر کانفینگ های که برای این قسمت انجام دادیم:

نحوه ارسال رخداد ها به سمت Splunk HEC

همانطور که گفتیم در HEC ما نیازی به استفاده از UF نداریم و میتوانیم خیلی راحت از نرم افزار های ساده ایی مانند Send-SplunkEvent.ps1 استفاده کنید

مثالی از ارسال یک رخداد از طریق

.\Send-SplunkEvent.ps1 -InputObject @{message="Hello Splunk!";severity="INFO"} -Key <token> 
Get-Service wuauserv | .\Send-SplunkEvent.ps1 -Key <token> -Uri http://localhost:8088/services/collector

بررسی آن در Splunk:

 

 نویسنده: امیرحسین تنگسیری نژاد