Splunk¶
Вы можете настроить оповещения Splunk для следующих событий:
-
Обнаружен хит
-
Системные события: добавленные пользователи, удаленные и отключенные интеграции
-
Обнаружена уязвимость
-
Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов
Настройка интеграции¶
В интерфейсе Splunk:
-
Перейдите на страницу Settings ➝ Add Data и выберите Monitor.
-
Выберите тип HTTP Event Collector, введите название интеграции и нажмите Next.
-
Пропустите выбор типа данных на странице Input Settings и перейдите к Review Settings.
-
Проверьте и подтвердите настройки.
-
Скопируйте полученный токен.
В Личном кабинете Валарм:
-
Откройте Настройки → Интеграции.
-
Нажмите на блок Splunk или нажмите кнопку Добавить интеграцию и выберите Splunk.
-
Введите имя интеграции.
-
Вставьте скопированный токен в поле HEC Token.
-
Вставьте HEC URI и номер порта вашего инстанса Splunk в поле
HEC URI:PORT. Например:https://hec.splunk.com:8088. -
Выберите типы событий, о которых необходимо отправлять уведомления. Если события не выбраны, уведомления не отправляются.
-
Протестируйте интеграцию и убедитесь в корректности настроек.
-
Нажмите Добавить интеграцию.
Тестирование интеграции¶
Тестирование интеграции позволяет проверить корректность настроек, соединение с Облаком Валарм и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.
Тестирование интеграции выполняется следующим образом:
-
В выбранную систему отправляются тестовые уведомления с префиксом
[Тестовое сообщение]. -
Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.
Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.
-
В тестовых уведомлениях не используются реальные данные.
Пример уведомления в Splunk в формате JSON:
{
summary:"[Тестовое сообщение] [Wallarm] Обнаружена новая уязвимость",
description:"Тип события: vuln
В вашей системе обнаружена новая уязвимость.
ID:
Название: Test
Домен: example.com
Путь:
Метод:
Источник:
Параметры:
Тип: Info
Уровень риска: Medium
Подробнее: https://my.wallarm.com/object/555
Клиент: TestCompany
Облако: EU
",
details:{
client_name:"TestCompany",
cloud:"EU",
notification_type:"vuln",
vuln_link:"https://my.wallarm.com/object/555",
vuln:{
domain:"example.com",
id:null,
method:null,
parameter:null,
path:null,
title:"Test",
discovered_by:null,
threat:"Medium",
type:"Info"
}
}
}
Редактирование интеграции¶
Чтобы обновить настройки интеграции:
-
Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте интеграцию.
-
Обновите настройки интеграции и нажмите Сохранить.
Отключение интеграции¶
Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:
-
Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте активную интеграцию и нажмите Отключить.
Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.
Удаление интеграции¶
Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.