Pular para conteúdo

Splunk

Você pode configurar o Wallarm para enviar alertas para o Splunk.

Configurando a integração

Na interface do usuário do Splunk:

  1. Abra ConfiguraçõesAdicionar DadosMonitorar.

  2. Selecione a opção HTTP Event Collector, insira um nome para a integração e clique em Próximo.

  3. Pule a escolha do tipo de dados na página de Configurações de entrada e continue em Rever Configurações.

  4. Revise e Envie as configurações.

  5. Copie o token fornecido.

Na interface do usuário do Wallarm:

  1. Abra a seção Integrações.

  2. Clique no bloco Splunk ou clique no botão Adicionar integração e escolha Splunk.

  3. Insira um nome para a integração.

  4. Cole o token copiado no campo Token HEC.

  5. Cole o URI do HEC e o número da porta de sua instância Splunk no campo HEC URI:PORT. Por exemplo: https://hec.splunk.com:8088.

  6. Selecione os tipos de eventos para acionar notificações.

    Integração Splunk

    Detalhes sobre eventos disponíveis:

    • Hits detectados, com exceção de:

    • Relacionados ao sistema:

      • Mudanças de usuário (novo criado, excluído, mudança de função)
      • Mudanças de integração (desativada, excluída)
      • Mudanças de aplicação (nova criada, excluída, mudança de nome)
    • Vulnerabilidades detectadas, todas por padrão ou apenas para o(s) nível(is) de risco selecionado(s) - alto, médio ou baixo.
    • Regras e gatilhos alterados (criação, atualização ou exclusão da regra ou gatilho)
    • Escopo (ativos expostos) alterado: atualizações em hosts, serviços e domínios
    • De hora em hora, você pode receber uma notificação com o número de solicitações processadas durante a hora anterior

  7. Clique em Testar integração para verificar a correção da configuração, a disponibilidade da Cloud Wallarm e o formato de notificação.

    Teste de notificação Splunk no formato JSON:

    {
    summary:"[Mensagem de teste] [Parceiro de teste(EUA)] Nova vulnerabilidade detectada",
    description:"Tipo de notificação: vuln

                Uma nova vulnerabilidade foi detectada no seu sistema.

                ID: 
                Título: Teste
                Domínio: exemplo.com
                Caminho: 
                Método: 
                Descoberto por: 
                Parâmetro: 
                Tipo: Info
                Ameaça: Médio

                Mais detalhes: https://us1.my.wallarm.com/object/555


                Cliente: TesteEmpresa
                Nuvem: EUA
                ",
    details:{
        client_name:"TesteEmpresa",
        cloud:"EUA",
        notification_type:"vuln",
        vuln_link:"https://us1.my.wallarm.com/object/555",
        vuln:{
            domain:"exemplo.com",
            id:null,
            method:null,
            parameter:null,
            path:null,
            title:"Teste",
            discovered_by:null,
            threat:"Médio",
            type:"Info"
        }
    }
}

  8. Clique em Adicionar integração.

Endereços IP da Wallarm Cloud

Para fornecer acesso ao Wallarm Cloud para seu sistema, você pode precisar de uma lista de seus endereços IP públicos:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Organizando eventos em um painel

Para organizar eventos Wallarm em um painel de controle pronto para usar no Splunk 9.0 ou posterior, você pode instalar o aplicativo Wallarm para Splunk.

Este aplicativo fornece um painel de controle pré-configurado que é automaticamente preenchido com os eventos recebidos da Wallarm. Além disso, o aplicativo permite que você prossiga para logs detalhados sobre cada evento e exporte os dados do painel de controle.

Painel Splunk

Para instalar o aplicativo Wallarm para Splunk:

  1. Na interface do usuário Splunk ➝ Apps, encontre o aplicativo Wallarm API Security.

  2. Clique em Instalar e insira as credenciais do Splunkbase.

Se alguns eventos Wallarm já estiverem registrados no Splunk, eles serão exibidos no painel de controle, bem como eventos adicionais que a Wallarm descobrirá.

Além disso, você pode personalizar completamente o painel pronto para uso, por exemplo, sua visualização ou strings de pesquisa usados ​​para extrair dados de todos os registros Splunk.

Configurando alertas adicionais

Além das notificações que você já configurou por meio do cartão de integração, os gatilhos Wallarm permitem que você selecione eventos adicionais para notificações:

Para detalhar a condição, você pode adicionar um ou mais filtros. Assim que a condição e os filtros são definidos, selecione a integração através da qual o alerta selecionado deve ser enviado. Você pode selecionar várias integrações simultaneamente.

Escolhendo uma integração

Desativando e excluindo uma integração

Você pode excluir ou desativar temporariamente a integração. Embora a exclusão interrompa o envio de notificações e exclua completamente todas as configurações, a desativação apenas interrompe o envio de notificações que você pode reativar a qualquer momento com as mesmas configurações.

Se para a integração os eventos Relacionados ao sistema forem selecionados para disparar notificações, a Wallarm notificará sobre ambas as ações.

Indisponibilidade do sistema e parâmetros de integração incorretos

Notificações ao sistema são enviadas por meio de solicitações. Se o sistema estiver indisponível ou os parâmetros de integração estiverem configurados incorretamente, o código de erro é retornado na resposta à solicitação.

Se o sistema responder à solicitação de Wallarm com qualquer código diferente de 2xx, Wallarm reenvia a solicitação com o intervalo até que o código 2xx seja recebido:

  • Os intervalos do primeiro ciclo: 1, 3, 5, 10, 10 segundos

  • Os intervalos do segundo ciclo: 0, 1, 3, 5, 30 segundos

  • Os intervalos do terceiro ciclo: 1, 1, 3, 5, 10, 30 minutos

Se a porcentagem de solicitações mal sucedidas atingir 60% em 12 horas, a integração é automaticamente desabilitada. Se você receber notificações do sistema, você receberá uma mensagem sobre a integração ser automaticamente desabilitada.