Splunk¶

Вы можете настроить оповещения Splunk для следующих событий:

• Обнаружен хит

• Системные события: добавленные пользователи, удаленные и отключенные интеграции

• Обнаружена уязвимость

• Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Настройка интеграции¶

В интерфейсе Splunk:

1. Перейдите на страницу Settings ➝ Add Data и выберите Monitor.

2. Выберите тип HTTP Event Collector, введите название интеграции и нажмите Next.

3. Пропустите выбор типа данных на странице Input Settings и перейдите к Review Settings.

4. Проверьте и подтвердите настройки.

5. Скопируйте полученный токен.

В Личном кабинете Валарм:

1. Откройте Настройки → Интеграции.

2. Нажмите на блок Splunk или нажмите кнопку Добавить интеграцию и выберите Splunk.

3. Введите имя интеграции.

4. Вставьте скопированный токен в поле HEC Token.

5. Вставьте HEC URI и номер порта вашего инстанса Splunk в поле HEC URI:PORT. Например: https://hec.splunk.com:8088.

6. Выберите типы событий, о которых необходимо отправлять уведомления. Если события не выбраны, уведомления не отправляются.

7. Протестируйте интеграцию и убедитесь в корректности настроек.

8. Нажмите Добавить интеграцию.

   

Тестирование интеграции¶

Тестирование интеграции позволяет проверить корректность настроек, соединение с Облаком Валарм и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.

Тестирование интеграции выполняется следующим образом:

• В выбранную систему отправляются тестовые уведомления с префиксом [Тестовое сообщение].

• Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.

  Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.

• В тестовых уведомлениях не используются реальные данные.

Пример уведомления в Splunk в формате JSON:

{
    "title": "Test",
    "source": "Wallarm",
    "type": "Info",
    "domain": "example.com",
    "threat": "Medium",
    "link": "https://my.wallarm.com/object/555",
    "summary": "[Тестовое сообщение] Обнаружена новая уязвимость"
}

Редактирование интеграции¶

Чтобы обновить настройки интеграции:

1. Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.

2. Откройте интеграцию.

3. Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции¶

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

1. Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.

2. Откройте активную интеграцию и нажмите Отключить.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции¶

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

1. Перейдите в Личный кабинет Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.

2. Откройте интеграцию и нажмите Удалить.

3. Подтвердите действие.