与Splunk共享tCell应用程序数据
安全操作团队通常使用Splunk来搜索、监视和分析来自多个来源的数据。利用Splunk中的tCell数据安装tCell的附加组件. 你可以将tCell应用程序连接到Splunk集中您的事件数据和警报,而无需登录tCell查看事件。此集成有助于优化数据,以实现更高效的安全操作。
用例
您的SOC团队使用Splunk监控来自多个来源的安全源,以及tCell实现RASP web安全。为了更广泛地了解组织的安全性,您的团队希望在首选的SIEM工具Splunk中添加一个web应用程序监控层。
你决定安装tCell的附加组件和配置tCell应用程序连接将所有安全事件数据发送到Splunk。现在,您团队中的任何人都可以在Splunk中与tCell web应用程序数据交互,而无需登录tCell。
先决条件
- 正在使用的tCell帐户
- 安装了tCell代理并向tCell云报告的tCell应用程序。有关详细信息,请参阅代理安装指南。
- 已安装Splunk Enterprise(在prem或云托管环境上)
安装
选项1:从Splunkbase安装
- 下载tCell的附加组件从…起散粒基.
- 登录到Splunk Enterprise。
- 上应用程序菜单中,单击设置偶像
- 选择从文件安装应用程序.
- 在上载应用程序窗口中,单击选择文件.
- 选择
tcell_xxx.tgz的附加组件下载文件,然后单击打开或选择. - 点击上载.
- 点击现在重启然后确认要重新启动。
选项2:从Splunk Enterprise安装
- 在Splunk Enterprise中,选择Splunk应用程序.
- 选择浏览更多应用程序.
- 寻找特塞尔找到tCell的附加组件.
- 选择安装.
选项3:本地安装
- 添加
tcell_xxx.tgz的附加组件将文件下载到$SPLUNK_HOME/etc/apps目录 - 使用tar-xvf(在*nix上)或WinZip(在Windows上)等工具卸载并解压缩您的应用程序或加载项。
- 重新启动Splunk。
将应用程序连接到tCell云
当您将应用程序连接到tCell云时,您可以选择发送给Splunk的安全事件类型。
从tCell表格中添加-收集输入需要以下信息。
| 领域 | 描述 |
|---|---|
| 名称 | 从应用程序输入的数据的唯一名称 |
| 间隔 | Splunk从tCell收集数据的频率(秒) |
| 指数 | Splunk数据的存储库 |
| tCell公司名称 | 你公司的名字 |
| tCell API密钥 | 你的平台API密钥 如有必要,生成只读API密钥: 1.登录到您的tCell帐户。 2.在帐户设置>API密钥中,单击创建只读API密钥。 3.复制要在此表单中使用的API密钥。 |
| tCell应用程序ID | tCell应用程序的唯一ID 您可以通过两种方式找到应用程序ID: -在tCell UI中,您可以在tCell Admin->Applications中查看应用程序ID。 -在tCell API中,通过运行ListApp API. |
| 安全事件类型 | 您可以将以下任何安全事件类型发送到Splunk: -应用程序防火墙事件 -用户登录 -顾客服务提供商违反 -包漏洞 -包装 -内联脚本 -操作系统命令 -本地文件 |
将应用程序连接到tCell云
- 在tCell的应用程序菜单中,选择tcell_splunk_应用程序.
- 在投入菜单,选择创建新输入.
- 完成添加并收集来自tCell的输入类型
- 点击添加.
这页对你有帮助吗?