KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Thiết lập Universal Forwarder cho Server Doanh Nghiệp

Đăng vào 1 tháng trước

• 5 phút đọc

Chủ đề:

#cybersecurity#dfirjourney#splunklab#onpremsecurity

Giới thiệu

Ngày thứ sáu trong hành trình thiết lập hệ thống bảo mật, tôi đã cấu hình Splunk Universal Forwarder cho server doanh nghiệp để củng cố chuỗi dữ liệu tại chỗ. Mục tiêu là thu thập và truyền tải các sự kiện hệ thống quan trọng đến chỉ mục Splunk một cách an toàn, hoàn thành vòng lặp giám sát tại chỗ. Bước này không chỉ cho phép tầm nhìn tập trung mà còn thiết lập nền tảng cho các trường hợp sử dụng, bao gồm phát hiện nâng cao.

Mục tiêu

Mục tiêu của bài viết này là thiết lập Universal Forwarder trên Server Doanh Nghiệp để thu thập, xử lý và chuyển tiếp dữ liệu đến chỉ mục hoặc cụm chỉ mục đã chỉ định, đảm bảo truyền tải dữ liệu an toàn và đáng tin cậy.

Chuyển đổi: Từ Cloud đến On-Prem

Xây dựng môi trường lab tự chứa

Trong những ngày trước, tôi đã gửi dữ liệu từ một forwarder đến đám mây (phiên bản Splunk Cloud).

Nhiệm vụ hôm nay: Tôi sẽ gửi dữ liệu từ một forwarder về server của mình (Splunk Enterprise trên Windows Server).

Tại sao? Để xây dựng một môi trường lab hoàn chỉnh, không phụ thuộc vào thử nghiệm đám mây bên ngoài. Điều này phản ánh nhiều môi trường doanh nghiệp thực tế.

Cài đặt Universal Forwarder

Sử dụng địa chỉ IP của Windows Server

Sử dụng địa chỉ IP của Windows Server thay vì URL của phiên bản đám mây để cấu hình server triển khai.

Bước cài đặt quan trọng:

Khi trình cài đặt yêu cầu nhập "Receiving Indexer" hoặc "Deployment Server", tôi sẽ nhập địa chỉ IP của server Splunk Enterprise của mình, 192.168.1.50, trên Windows Server.

Cổng: 9997 (cổng nhận mà bạn đã cấu hình vào Ngày 5).

Cấu hình CLI

Thiết lập manual handshake

Để cấu hình hoặc thay đổi cài đặt sau khi cài đặt:

  1. Mở PowerShell với quyền Administrator.
  2. Điều hướng đến thư mục bin của UF:
    Copy 
    cd "C:\Program Files\SplunkUniversalForwarder\bin"
  3. Đặt server chuyển tiếp đến phiên bản Splunk Enterprise tại chỗ của bạn:
    Copy 
    .\splunk.exe add forward-server 192.168.1.50:9997

Tại sao hầu hết các lab On-Prem lại thất bại

Vấn đề: Ngay cả khi mọi thứ được cấu hình chính xác, tường lửa Windows trên server Splunk Enterprise của bạn sẽ chặn các kết nối đến cổng 9997 theo mặc định. Đây là điểm thất bại phổ biến nhất.

Giải pháp: Bạn cần tạo một quy tắc Inbound trong tường lửa Windows để cho phép lưu lượng truy cập.

Tại sao điều này quan trọng: Điều này mô phỏng một nhóm bảo mật mạng và cấu hình tường lửa trong thế giới thực.

Cấu hình quy tắc Tường lửa Windows

Trên server Splunk Enterprise của bạn, mở Windows Defender Firewall với Bảo mật Nâng cao.

  1. Nhấp vào Inbound Rules > New Rule...
  2. Tôi cần cấu hình một quy tắc mới để gửi dữ liệu đến cổng server nhận.
    • Loại quy tắc: Chọn Port và nhấp Next.
    • Tôi thiết lập cổng nhận giống như cổng tôi đã chọn trong quá trình cài đặt agent là cổng TCP.
    • Giao thức và Cổng: Chọn TCP, chỉ định 9997 (hoặc cổng bạn đã chọn), nhấp Next.
    • Chọn Allow the connection, và nhấp Next.
    • Profile: Áp dụng cho Domain, Private, và Public (cho lab), nhấp Next.
    • Đặt tên rõ ràng (ví dụ: "Splunk - Receiving Port 9997").
    • Nhấn Finish.

Khởi động lại và xác minh: Kích hoạt các thay đổi

Khởi động lại dịch vụ Forwarder để áp dụng tất cả các cài đặt và thử kết nối mới:

bash Copy 
.\splunk.exe restart

Kiểm tra trạng thái của Forwarder: Tìm bất kỳ lỗi nào và xác nhận rằng nó đang chạy:

bash Copy 
.\splunk.exe status

Kiểm tra nhật ký của Forwarder: Nơi tốt nhất để xem thử nghiệm kết nối:

bash Copy 
Get-Content "C:\Program Files\SplunkUniversalForwarder\var\log\splunk\splunkd.log" -Tail 20

Tìm kiếm thông điệp thành công như "Connected to peer".

Xác minh & Phản ánh

Vòng lặp On-Prem đã hoàn tất

Bài kiểm tra cuối cùng: Tôi đã đăng nhập thành công vào giao diện web Splunk Enterprise tại chỗ (localhost:8000).

Tôi thực hiện tìm kiếm này:

bash Copy 
index=* | stats count by host

Thành công! Tôi thấy tên máy chủ của máy mà tôi vừa cài đặt forwarder mới xuất hiện trong kết quả tìm kiếm.

Mục tiêu đạt được: Dữ liệu hiện đang chảy từ điểm cuối, qua mạng, vào server Splunk của tôi, mà không cần phụ thuộc vào đám mây.

Ngày thứ 6 tập trung vào mạng và cơ sở hạ tầng. Kỹ năng cấu hình tường lửa và hiểu biết về kết nối mạng cũng quan trọng không kém việc cài đặt phần mềm.

Các thực tiễn tốt nhất

  • Đảm bảo bảo mật: Luôn kiểm tra các quy tắc tường lửa và đảm bảo rằng chúng không mở cổng không cần thiết.
  • Giám sát hiệu suất: Sử dụng Splunk để theo dõi hiệu suất của môi trường lab và nhận biết các vấn đề sớm.

Những cạm bẫy thường gặp

  • Bỏ qua cổng firewall: Nhiều người thường quên cấu hình quy tắc tường lửa, dẫn đến việc không thể kết nối.
  • Cấu hình sai địa chỉ IP: Đảm bảo rằng bạn đã sử dụng đúng địa chỉ IP của server.

Mẹo hiệu suất

  • Tối ưu hóa cổng: Sử dụng cổng không tiêu chuẩn có thể giúp giảm thiểu rủi ro bảo mật.
  • Thực hiện kiểm tra định kỳ: Thường xuyên kiểm tra kết nối và hiệu suất của hệ thống.

Câu hỏi thường gặp (FAQ)

1. Làm thế nào để khắc phục lỗi không kết nối?

  • Kiểm tra cài đặt tường lửa và đảm bảo địa chỉ IP và cổng là chính xác.

2. Có cần cài đặt thêm phần mềm nào không?

  • Không, chỉ cần cài đặt Splunk Universal Forwarder là đủ.

3. Làm thế nào để giám sát dữ liệu đã thu thập?

  • Sử dụng giao diện web của Splunk để thực hiện các tìm kiếm và báo cáo.

4. Có thể sử dụng Universal Forwarder trên các hệ điều hành khác không?

  • Có, Splunk Universal Forwarder hỗ trợ nhiều hệ điều hành khác nhau như Linux và MacOS.

Kết luận

Việc thiết lập Universal Forwarder cho server doanh nghiệp không chỉ giúp tăng cường bảo mật mà còn đảm bảo rằng dữ liệu được thu thập và xử lý một cách hiệu quả. Hãy thực hiện ngay hôm nay để tối ưu hóa quy trình quản lý dữ liệu của bạn!

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào