Splunkbase PaloAlto App
Splunk platformu hemen hemen tüm makine verilerini alır ve dizine ekler ve işinize anında değer katan güçlü arama ve analiz özellikleri sunar. Splunk da birçok uygulama tanımlayabilirsiniz. Splunkbase kütüphanesinde Splunk ortakları ve topluluğundan 100+ uygulama ve eklenti bulunmaktadır.
Örnek olarak aşağıdaki uygulamaları yükleyebilirsiniz.(NSX-T, paloalto, cisco, fortigate, aws, emc vb)
Splunk için Palo Alto Networks Eklentisi, bir Splunk® Enterprise yöneticisinin Palo Alto Networks Yeni Nesil Güvenlik Platformu’ndaki her üründen veri toplamasını sağlar. Eklenti, Güvenlik Duvarları, Panorama, Traps Endpoints, Aperture SaaS Güvenliği, Autofocus, MineMeld ve WildFire’dan veri toplar ve ilişkilendirir. Verileri, Splunk için Palo Alto Network App, Splunk Enterprise Security ve SOC veya IT gereksinimleriniz için oluşturduğunuz herhangi bir App’ı kullanarak işleyebilirsiniz. Bu eklenti, Splunk Enterprise Security ve PCI Uyumluluğu için Splunk Uygulaması gibi diğer Splunk Enterprise uygulamalarıyla kullanmak için girişleri ve PCI uyumlu bilgileri sağlar.
Uygulama ister web sayfasından istersenizde splunk web gui den indirilebilir.
İndirme işlemi tamamlandıktan sonra splunk enterprise için zorunlu restart gerektiğine dair pop up çıkacak.
Restart sonrasında tekrar bağlanıp uygulamalarınızı kontrol ettiğinizde yuklenmiş olduğunu göreceğiz.
PaloAlto cihazından logları alabilmemiz için data input oluşturacağız.
Only accept connection kısmı zorunlu değil, örnek olması adına bir ip yazdım. UDP için tanımımız aşağıdaki gibidir;
PaloAlto için yapılması gereken syslog ve log forwarding tanımlarını web ara yüzünden sağlayabiliriz.
Device altından syslog profili oluşturacağız.
Splunk da tanımladığımız porta göre değeri giriyoruz.
Objects altından log forwarding tanımına syslog olarak tanımladığımız splunk profilini ekleyeceğiz.
Tanımları bitirdikten sonra splunk uzerinde logları kontrol edebiliriz.
search kısmına udp:5514 ve sourcetype olarak pan log u yazıp loglarımızı kontol ederiz. Traffic, threat vb tum logları splunk da görebiliriz.
Kaynaklar
