Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk

Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk

By Centrify ‎05-28-2018 01:09 PM

Como configurar la integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk

Parte2 - Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk

 
Resumen
Se realizará la configuración de un perfil para iniciar las grabaciones de las sesiones a partir de la elevación de privilegios y se realizará la integración con splunk de forma que se puedan visualizar las sesiones de auditoria directamente desde el Portal de Splunk.
 
Requerimientos - Parte 2
Trial de Splunk On-Premise (Es posible realizarlo también cloud)
Instalador de Splunk Universal Forwarder
Add-on de Centrify para Splunk
 
Desarrollo
En esta parte del laboratorio procederemos a realizar la instalación de Splunk y la integración del mismo con Centrify Direct Audit.
 
  1. Para iniciar con la configuración de Splunk, debemos obtener una cuenta para poder realizar la descarga del software. En mi caso usaré una cuenta de prueba. 
  2. Descargamos la versión para Windows Server disponible5EE64808-903E-4E2B-BA0C-A9479F7A9B1C.png

     

  3. Para este caso, usaremos un Servidor Windows Server 2012 R2 para realizar la instalación del Splunk Enterprise.
  4. Realizamos la instalación personalizada para efectuar la configuración de la cuenta administradora. En caso de realizar la instalación por defecto usar el usuario preconfigurado (user: admin, password: changeme). La cual será solicitada al finalizar la instalación8D7D4EEB-09AA-4DF3-925D-AB425CF85D22.png

     

  5. Seleccionamos la opción “Find More Apps” para realizar la búsqueda de la aplicación de Centrify, "Centrify Add-on for Splunk”, y realizamos la instalación. En caso de no tener conexión a internet el add-on puede ser descargado de la pagina https://splunkbase.splunk.co2D47B4CD-6106-4C0D-BB69-B5D11F297E7C.png

     

     

  6. Para realizar la instalación del add-on seleccionamos la opción Manage Apps —> Install app from file2FB0CCB7-69D0-4057-8636-9AA210645187.png

     

    656BC83A-CD82-4D76-BFEF-89788330CAFA.png

     

  7. Para que la aplicación este visible en el menú, debemos buscar la aplicación dentro del listado de aplicaciones, seleccionar la opción Edit properties y cambiar la opción de Visible a Yes4ACF10AF-597D-48DA-B0C4-1ABD53E76FAE.png

     

  8. Para más información sobre como realizar la instalación de Add-On en Splunk pueden visitar el siguiente link.
  9. A continuación debemos realizar la configuración del Splunk Forwarder el cual nos permitirá enviar los logs y datos del sistema al servidor. Para este laboratorio usaremos un sistema Windows 7 para la instalación del Universal Forwarder. Descargamos la version para Windows del Splunk Universal Forwarder y seguimos los pasos de instalación por defecto. Verificar que este seleccionado el check para versión On-Premise78BD614E-711E-48E1-820A-5381B19B8FD1.png

     

    13C76CB7-ABC9-44F9-ADF7-F96021174AA1.png

     

    9864DB51-0666-4C8D-803D-2641F0B6BA77.png

     

    1B6CB20E-BDF7-4565-ACBB-1F86325EB23B.png

     

  10. Para más información sobre como funcionan los Splunk Forwarder visitar el siguiente link:
  11. Una vez terminada la instalación, podemos verificar que el servicio esta corriendo en la consola de Windows Services.21174732-506A-47AE-A88E-6BD83AE58A08.png

     

  12. Para realizar la instalación del Add-On de Centrify manualmente en el sistema, debemos descomprimir el archivo y copiar la carpeta "TA-centrify" en la ruta "C:\Program Files\SplunkUniversalForwarder\etc\apps\6DEFD48E-0771-4A44-9553-B7E1653753F1.png

     

  13. Hacer una copia del archivo inputs.conf.example y renombrarlo a inputs.conf. Editamos el archivo dejando la opción "disabled = 0” y guardamos los cambios.2D9CAB6C-64B1-4AF0-9D09-5DB9237EF230.png 
  14. Reiniciamos el Forwarder para que surgan efecto los cambios realizados y realizar una verificación de la instalación. Ingresamos al Command Prompt en la ruta donde se realizó la instalación (en mi caso C:\Program Files\SplunkUniversalForwarder\bin ) y ejecutando el comando “splunk restart” como se muestra a continuación.D978D3B9-0EAB-4789-87D8-489658C795B6.png

     

  15. Ahora debemos agregar fuentes de datos a nuestro servidor de Splunk, para ello, ingresamos a Settings —> Add Data —> Forward4337B6AC-BCED-46F5-A5E2-6D5A502F6DD8.png

     

  16. Seleccionamos las fuentes de datos que se van a procesar. Es importante resaltar que para el alcance de este laboratorio solo es necesario el evento local de “Application”.FC28B6E5-BD73-42A2-A63E-F0D938BC4CF4.png

     

    F17017F9-E82B-401D-8E9D-6C950B854788.png

     

  17. Creamos un nuevo index para que los eventos capturados queden agrupados dentro de este. Este paso es opcional.D696E7DB-A921-4BC5-A5BB-6637BB837EBD.png

     

    D38118EC-9F36-4C3B-8155-8A1877116C3B.png

     853979D7-68CE-409F-909B-50887BD4E13B.png

     

  18. Finalizamos el asistente de creación de datos.
  19. Ahora debemos definir el puerto de entrada de los datos al servidor, para ello, ingresamos a Settings —> Forwarding and receiving —> Configure receiving —> New Receiving PortScreen Shot 2018-05-28 at 12.00.41 PM.png

     

  20. Una vez terminadas las configuraciones anteriores podemos construir una consulta como la siguiente. Esta con multa únicamente mostrará los eventos que tengan una sesión de auditoria de Centrify. Ejecutamos la consulta y la guardamos para futura referencia. (DASessID != "N/A")

    53432180-6E87-42A4-BE7A-471C6EC6D3DD.png

     

     

    FFBC893B-6E46-4549-90DB-FF0FE5D97C94.png

     

  21. Por ultimo, para visualizar una sesión de auditoria directamente desde Splunk, seleccionamos una sesión del listado de consulta, hacemos clic en el botón “Event Actions” y en la opción “Replay Session”, lo cual abrirá la consola de visualización del Audit Analyzer. 
    Es importante resaltar que, como requisito para este funcionamiento, el evento de splunk debe contener el id de sesión de auditoria (DASessID) y debemos tener la consola de Centrify Audit Analyzer instalada en el equipo donde se visualizará la sesión1B2EC483-54B4-4F5E-87A3-F6D6179E1735.png

     

    4B7F4B8F-2460-49DF-BDBD-EEB5E088DFA9.png

     

    1B043F97-717E-43CA-BC2E-8194C8CAB50F.png

     

    EDD42F54-6874-4B0D-B0FD-7A54228458F3.png

     

    Articulos relacionados

     Iniciar grabación de sesiones al realizar elevación de privilegios

Showing results for 
Search instead for 
Do you mean 
Labels

Community Control Panel