KUNGFU TECH

0
0
Lập trình
Flame Kris
Flame Krisbacodekiller

Cấu Hình Pipeline Dữ Liệu với Splunk Enterprise

Đăng vào 3 giờ trước

• 5 phút đọc

Chủ đề:

#cybersecurity#dfirlab#datapipeline#logmanagement

Chuẩn Bị Splunk Enterprise Nhận Dữ Liệu

Giới thiệu
Cấu hình Splunk Enterprise để nhận và xử lý dữ liệu từ máy là mục tiêu chính của ngày thứ năm. Để đảm bảo rằng các log có thể vào môi trường mà không gặp vấn đề gì trong việc lập chỉ mục và phân tích, tôi đã thiết lập và xác minh các đầu vào dữ liệu. Công việc này đã đặt nền tảng cho pipeline dữ liệu, cho phép tích hợp nhiều nguồn log khác nhau và mở ra khả năng giám sát và phát hiện hiệu quả.

Mục tiêu
Cấu hình phiên bản Splunk Enterprise tại chỗ để hoạt động như một máy nhận, cho phép nó tiếp nhận dữ liệu từ Universal Forwarders và các nguồn khác.

Khái Niệm: Tích Hợp Dữ Liệu

Cửa chính của SIEM mở ra.

Tích hợp dữ liệu là gì?
Việc thiết lập Splunk để nhận, xử lý và lưu trữ dữ liệu từ một nguồn mới là khá đơn giản.

Khó khăn là bạn hiện có một cài đặt Splunk Enterprise thụ động. Mặc dù nó có thể tìm kiếm dữ liệu mà nó đã sở hữu, nhưng nó không thể lắng nghe dữ liệu mới đến.

Mục tiêu hôm nay là kích hoạt một cổng nhận, phục vụ như một "trạm nghe" cụ thể cho dữ liệu được truyền bởi các forwarders.

Tại Sao: Hiểu Về Cổng Nhận

Khu vực hạ cánh được chỉ định
Hãy tưởng tượng máy chủ Splunk của bạn như một tòa nhà trụ sở chính. Một cổng nhận giống như một bến hàng cụ thể (ví dụ: Bến 9997) nơi các xe tải giao hàng (Universal Forwarders) dự kiến sẽ đến.

Tại sao điều này cần thiết:

  • Giao tiếp mạng: Tất cả dữ liệu mạng di chuyển qua các cổng được đánh số.
  • Bảo mật: Nó hướng dẫn Splunk chỉ chấp nhận dữ liệu trên cổng cụ thể này, từ đó nâng cao bảo mật.
  • Giao thức: Giao thức Forwarding của Splunk mong đợi một cổng được chỉ định để giao tiếp.

Nếu không có điều này, các forwarders sẽ không có nơi nào để gửi dữ liệu của họ, và kết nối sẽ thất bại.

Truy Cập Cấu Hình

Điều hướng đến cài đặt đúng
Đăng nhập vào phiên bản Splunk Enterprise cục bộ của bạn (localhost:8000).

Trên Splunk Enterprise, Đi đến Cài đặt

Đi đến Cài đặt.
Nhấp vào Chuyển Tiếp và Nhận.

Nhấp vào Cấu hình Nhận dưới phần Nhận Dữ Liệu.

Mỗi khi một log được truyền từ một thiết bị, nó phải được gửi đến một cổng, đó là lý do tại sao cổng nhận phải được thiết lập.

Kích Hoạt Cổng Nhận

Mở Bến Hàng

  • Bước 1: Nhấp vào Mới để tạo một cổng nhận mới.
  • Bước 2: Nhập Số Cổng.
    Cổng mặc định cho giao tiếp Splunk-to-Splunk là 9997.
    Nhập 9997 vào trường cổng.
  • Bước 3: Nhấp Lưu.
    Kết quả: Splunk sẽ khởi động lại các dịch vụ cần thiết. Khi hoàn tất, nó sẽ lắng nghe các kết nối dữ liệu đến trên cổng 9997.

Xác Minh: Xác Nhận Cổng Đang Hoạt Động

Kiểm tra Trạm Nghe

Cách xác minh cấu hình đã hoạt động: Trở lại trang Cấu hình Nhận.
Bạn nên thấy cổng 9997 được liệt kê trong bảng các cổng nhận đang hoạt động.
Một kết quả hiển thị LISTENING xác nhận rằng cổng đang hoạt động.

Điều Này Cho Phép

Sẵn Sàng cho Bước Tiếp Theo

Bạn đã cấu hình "phía máy chủ" của phương trình. Phiên bản Splunk Enterprise trung tâm của bạn đã sẵn sàng để tiếp nhận dữ liệu.

Bước Tiếp Theo Là Gì?

Bây giờ, tôi có thể đi đến bất kỳ máy nào khác (ví dụ: một máy khách Windows 10, một máy chủ web Linux), cài đặt một Universal Forwarder và chỉ định nó đến máy chủ Splunk này bằng lệnh:
.\splunk.exe add forward-server :9997

Điều này tạo ra cùng một kiến trúc mà bạn đã xây dựng với Splunk Cloud, nhưng bây giờ hoàn toàn trong môi trường phòng thí nghiệm của bạn.

Phản Hồi Ngày Thứ 5: Xây Dựng Hạ Tầng

Mục tiêu đã đạt được:
Đã cấu hình thành công Splunk Enterprise để nhận dữ liệu trên cổng 9997.

Công việc SOC không chỉ là phân tích; nó cũng liên quan đến hạ tầng. Hiểu cách cấu hình các thành phần cốt lõi như cổng nhận là điều cần thiết để xây dựng và duy trì một nền tảng bảo mật hoạt động.

Các Thực Hành Tốt Nhất

  • Đảm bảo bảo mật: Luôn mã hóa dữ liệu khi truyền tải.
  • Theo dõi hiệu suất: Sử dụng các công cụ giám sát để theo dõi hiệu suất của Splunk.

Những Cạm Bẫy Thường Gặp

  • Bỏ qua việc xác minh cổng: Luôn kiểm tra xem cổng đã hoạt động chưa trước khi gửi dữ liệu.
  • Cấu hình sai cổng: Đảm bảo rằng cổng bạn đã chọn không bị xung đột với cổng khác.

Mẹo Tối Ưu Hiệu Suất

  • Tối ưu hóa các quy tắc nhận dữ liệu: Giảm thiểu các đầu vào không cần thiết để tăng tốc độ xử lý.

Giải Quyết Vấn Đề

  • Nếu không nhận được dữ liệu: Kiểm tra lại cấu hình của Universal Forwarder và đảm bảo rằng nó đang trỏ đến cổng đúng.

Câu Hỏi Thường Gặp

  • Làm thế nào để kiểm tra cổng nhận?
    Bạn có thể quay lại trang Cấu hình Nhận và kiểm tra trạng thái của cổng.
  • Cần bao nhiêu thời gian để khởi động lại Splunk sau khi cấu hình?
    Thời gian khởi động lại phụ thuộc vào kích thước của dữ liệu đang được xử lý, nhưng thường mất khoảng vài phút.

Kết Luận

Việc cấu hình Splunk Enterprise để nhận dữ liệu không chỉ là một bước quan trọng trong việc xây dựng hạ tầng bảo mật, mà còn giúp bạn hiểu rõ hơn về cách mà dữ liệu được luân chuyển trong hệ thống. Hãy bắt đầu thực hiện ngày hôm nay để nâng cao khả năng giám sát và phát hiện của bạn trong môi trường làm việc.

Hành động ngay: Bắt tay vào việc cấu hình Splunk và tối ưu hóa quy trình nhận dữ liệu của bạn ngay bây giờ!

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào