Article Options
- Subscribe to RSS Feed
- Mark as New
- Mark as Read
- Bookmark
- Subscribe
- Email to a Friend
- Printer Friendly Page
- Report Inappropriate Content
Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk
Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk
Como configurar la integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk
Parte2 - Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk
Resumen
Se realizará la configuración de un perfil para iniciar las grabaciones de las sesiones a partir de la elevación de privilegios y se realizará la integración con splunk de forma que se puedan visualizar las sesiones de auditoria directamente desde el Portal de Splunk.
Requerimientos - Parte 2
Trial de Splunk On-Premise (Es posible realizarlo también cloud)
Instalador de Splunk Universal Forwarder
Add-on de Centrify para Splunk
Desarrollo
En esta parte del laboratorio procederemos a realizar la instalación de Splunk y la integración del mismo con Centrify Direct Audit.
-
Para iniciar con la configuración de Splunk, debemos obtener una cuenta para poder realizar la descarga del software. En mi caso usaré una cuenta de prueba.
-
Descargamos la versión para Windows Server disponible
-
Para este caso, usaremos un Servidor Windows Server 2012 R2 para realizar la instalación del Splunk Enterprise.
-
Realizamos la instalación personalizada para efectuar la configuración de la cuenta administradora. En caso de realizar la instalación por defecto usar el usuario preconfigurado (user: admin, password: changeme). La cual será solicitada al finalizar la instalación
-
Seleccionamos la opción “Find More Apps” para realizar la búsqueda de la aplicación de Centrify, "Centrify Add-on for Splunk”, y realizamos la instalación. En caso de no tener conexión a internet el add-on puede ser descargado de la pagina https://splunkbase.splunk.co
- Para realizar la instalación del add-on seleccionamos la opción Manage Apps —> Install app from file
- Para que la aplicación este visible en el menú, debemos buscar la aplicación dentro del listado de aplicaciones, seleccionar la opción Edit properties y cambiar la opción de Visible a Yes
- Para más información sobre como realizar la instalación de Add-On en Splunk pueden visitar el siguiente link.
-
A continuación debemos realizar la configuración del Splunk Forwarder el cual nos permitirá enviar los logs y datos del sistema al servidor. Para este laboratorio usaremos un sistema Windows 7 para la instalación del Universal Forwarder. Descargamos la version para Windows del Splunk Universal Forwarder y seguimos los pasos de instalación por defecto. Verificar que este seleccionado el check para versión On-Premise
-
Para más información sobre como funcionan los Splunk Forwarder visitar el siguiente link:
- Una vez terminada la instalación, podemos verificar que el servicio esta corriendo en la consola de Windows Services.
- Para realizar la instalación del Add-On de Centrify manualmente en el sistema, debemos descomprimir el archivo y copiar la carpeta "TA-centrify" en la ruta "C:\Program Files\SplunkUniversalForwarder\etc\apps\
- Hacer una copia del archivo inputs.conf.example y renombrarlo a inputs.conf. Editamos el archivo dejando la opción "disabled = 0” y guardamos los cambios.
- Reiniciamos el Forwarder para que surgan efecto los cambios realizados y realizar una verificación de la instalación. Ingresamos al Command Prompt en la ruta donde se realizó la instalación (en mi caso C:\Program Files\SplunkUniversalForwarder\bin ) y ejecutando el comando “splunk restart” como se muestra a continuación.
- Ahora debemos agregar fuentes de datos a nuestro servidor de Splunk, para ello, ingresamos a Settings —> Add Data —> Forward
- Seleccionamos las fuentes de datos que se van a procesar. Es importante resaltar que para el alcance de este laboratorio solo es necesario el evento local de “Application”.
- Creamos un nuevo index para que los eventos capturados queden agrupados dentro de este. Este paso es opcional.
- Finalizamos el asistente de creación de datos.
- Ahora debemos definir el puerto de entrada de los datos al servidor, para ello, ingresamos a Settings —> Forwarding and receiving —> Configure receiving —> New Receiving Port
- Una vez terminadas las configuraciones anteriores podemos construir una consulta como la siguiente. Esta con multa únicamente mostrará los eventos que tengan una sesión de auditoria de Centrify. Ejecutamos la consulta y la guardamos para futura referencia. (DASessID != "N/A")
- Por ultimo, para visualizar una sesión de auditoria directamente desde Splunk, seleccionamos una sesión del listado de consulta, hacemos clic en el botón “Event Actions” y en la opción “Replay Session”, lo cual abrirá la consola de visualización del Audit Analyzer.
Es importante resaltar que, como requisito para este funcionamiento, el evento de splunk debe contener el id de sesión de auditoria (DASessID) y debemos tener la consola de Centrify Audit Analyzer instalada en el equipo donde se visualizará la sesión
Articulos relacionados
Iniciar grabación de sesiones al realizar elevación de privilegios
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.