Splunk

Integration mit Splunk mit der SUSE® Security Splunk-App

Die SUSE® Security Splunk-App ist im Splunkbase-Katalog hier zu finden oder kann durch die Suche nach SUSE® Security gefunden werden.

Das SUSE® Security Sicherheits-Dashboard hilft dabei, Sicherheitsereignisse wie verdächtige Anmeldeversuche, Netzwerkverletzungen und anfällige Images zu identifizieren.

Im Folgenden sind Beispielbildschirme angezeigt, die in der Splunk-App dargestellt werden.

Image-Schwachstellen

Schwachstellen

Zugangssteuerung und Sicherheitsereignisse

admission_security

Netzwerkverletzungen nach Pod/Dienst (Implementierungen)

Netzwerk

Egress-Verbindungsübersicht

egress

SUSE® Security Anmeldeaktivitäts-Dashboard

Anmeldungen

Einrichtung und Konfiguration

Die App abrufen

GitHub

Laden Sie das neueste App-TAR-Archiv (neuvector_app.tar.gz) aus dem neuvector/neuvector-splunk-app Repository herunter.

Splunkbase

Laden Sie das neueste App-TAR-Archiv von Splunkbase herunter.

Splunk Apps-Browser

Klicken Sie im Splunk UI auf das Dropdown-Menü "Apps", klicken Sie auf "Weitere Apps finden" und suchen Sie dann nach SUSE® Security Splunk App.

Installation und Einrichtung

Installieren Sie die App, indem Sie entweder das App-TAR-Archiv hochladen oder den Aufforderungen von Splunkbase folgen.

Konfigurieren Sie syslog in der SUSE® Security Konsole

Gehen Sie zu Einstellungen → Konfiguration → Syslog

  1. Setzen Sie den Serverwert auf die IP-Adresse, auf der Splunk läuft

  2. Wählen Sie TCP als Protokoll

  3. Setzen Sie die Portnummer auf 10514

  4. Wählen Sie die Informationsstufe

  5. Klicken Sie auf ABSENDEN, um die Einstellung zu speichern.

syslog

Sie können mehrere Cluster konfigurieren, um syslog an Ihre Splunk-Instanz zu senden, und Ihre Splunk-Instanz wird diese Syslogs in Echtzeit empfangen.

Häufig gestellte Fragen (FAQs)

Welche Benutzerrolle wird benötigt?

Jede Benutzerrolle.