Splunk¶
Вы можете настроить оповещения Splunk для следующих событий:
-
Обнаружен хит
-
Системные события: добавленные пользователи, удаленные и отключенные интеграции
-
Обнаружена уязвимость
-
Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов
Настройка интеграции¶
В интерфейсе Splunk:
-
Перейдите на страницу Settings ➝ Add Data и выберите Monitor.
-
Выберите тип HTTP Event Collector, введите название интеграции и нажмите Next.
-
Пропустите выбор типа данных на странице Input Settings и перейдите к Review Settings.
-
Проверьте и подтвердите настройки.
-
Скопируйте полученный токен.
В Личном кабинете Валарм:
-
Откройте Настройки → Интеграции.
-
Нажмите на блок Splunk или нажмите кнопку Добавить интеграцию и выберите Splunk.
-
Введите имя интеграции.
-
Вставьте скопированный токен в поле HEC Token.
-
Вставьте HEC URI и номер порта вашего инстанса Splunk в поле
HEC URI:PORT
. Например:https://hec.splunk.com:8088
. -
Выберите типы событий, о которых необходимо отправлять уведомления. Если события не выбраны, уведомления не отправляются.
-
Нажмите Добавить интеграцию.
Редактирование интеграции¶
Чтобы обновить настройки интеграции:
-
Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте интеграцию.
-
Обновите настройки интеграции и нажмите Сохранить.
Отключение интеграции¶
Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:
-
Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте активную интеграцию и нажмите Отключить.
Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.
Удаление интеграции¶
Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.