Перейти к содержанию

Splunk

Вы можете настроить оповещения Splunk для следующих событий:

  • Обнаружен хит

  • Системные события: добавленные пользователи, удаленные и отключенные интеграции

  • Обнаружена уязвимость

  • Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Настройка интеграции

В интерфейсе Splunk:

  1. Перейдите на страницу SettingsAdd Data и выберите Monitor.

  2. Выберите тип HTTP Event Collector, введите название интеграции и нажмите Next.

  3. Пропустите выбор типа данных на странице Input Settings и перейдите к Review Settings.

  4. Проверьте и подтвердите настройки.

  5. Скопируйте полученный токен.

В Личном кабинете Валарм:

  1. Откройте НастройкиИнтеграции.

  2. Нажмите на блок Splunk или нажмите кнопку Добавить интеграцию и выберите Splunk.

  3. Введите имя интеграции.

  4. Вставьте скопированный токен в поле HEC Token.

  5. Вставьте HEC URI и номер порта вашего инстанса Splunk в поле HEC URI:PORT. Например: https://hec.splunk.com:8088.

  6. Выберите типы событий, о которых необходимо отправлять уведомления. Если события не выбраны, уведомления не отправляются.

  7. Нажмите Добавить интеграцию.

    Добавление интеграции со Splunk

Редактирование интеграции

Чтобы обновить настройки интеграции:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию.

  3. Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте активную интеграцию и нажмите Отключить.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию и нажмите Удалить.

  3. Подтвердите действие.