Splunk SIEM
对应的官方文档地址
Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织可以使用 Splunk Enterprise 仪表板上的 Bitwarden App 监控事件活动。
设置
创建 Splunk 账户
在 Splunk Enterprise 上安装 Bitwarden 应用程序要求 Splunk Base 账户。
安装 Splunk
拥有 Splunk Base 账户后,下一步就是安装 Splunk Enterprise。按照 Splunk 文档完成自托管企业软件的安装。
创建索引
在将您的 Bitwarden 组织连接到 Splunk Enterprise 之前,需要先创建索引来维护 Bitwarden 数据。
1、打开位于顶部导航栏上的 Settings 菜单,然后选择 Indexes。
2、进入索引界面后,选择 New Index。
3、将出现一个供您为 Bitwarden 应用程序创建新索引的窗口。
4、在 Index Name 字段中,输入 bitwarden_events。
5、完成后,选择 Save。
安装 Splunk Enterprise Bitwarden 应用程序
创建 Bitwarden 索引后,导航到 Splunk Enterprise 仪表板。
1、选择 Apps 旁边的 ⚙️齿轮图标。
2、选择位于屏幕右上角的 Browse more apps。
3、在应用程序目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs - Linux x64 应用程序选择 Install。
4、为了完成安装,您需要输入您的 Splunk Base 账户。您的 Splunk Base 账户可能与用于登录自托管 Splunk Enterprise 实例的凭据不同。
5、输入信息后,选择 Agree and Install。
连接您的 Bitwarden 组织
在您的 Splunk Enterprise 实例中安装 Bitwarden 事件日志应用程序后,您可以使用 Bitwarden API 密钥连接您的 Bitwarden 组织。
1、转到仪表板主页然后选择 Bitwarden Event Logs 应用程序。
2、接下来从顶部导航菜单中选择 Setup。这里是您添加 Bitwarden 组织信息的地方。
3、保持此界面打开,在另一个选项卡上,访问您的 Bitwarden 网页密码库。打开您的组织,导航至设置 → 组织信息 → 查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。
4、将 client_id 和 client_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。
按如下方式完成附加字段:
Index
选择之前在指南中创建的索引:bitwarden_events。
Server URL
对于自托管 Bitwarden 用户,请输入您的自托管 URL。请确保该 URL 在末尾不包含正斜杠 「/」。
对于云托管组织,请使用 URL https://bitwarden.com。
组织 API 密钥拥有对您的组织的所有访问权限。确保您的 API 密钥的私密。如果您认为您的 API 密钥已被泄露,请选择此姐买你上的轮换 API 密钥按钮。当前 API 密钥的活动实施在使用前需要使用新密钥重新配置。
5、选择 Submit。
6、完成设置后,请转到 Settings → Server controls → Restart Splunk,重新启动 Splunk Enterprise。
使用搜索宏开始监控数据
要开始查看数据,您可以设置搜索宏。Splunk 搜索宏是可重复使用的搜索查询,可应用于您的仪表板。
1、要添加搜索宏,请转到顶部导航栏上的 Settings。然后,选择 Advanced Search。
2、接下来,选择 ✚Add new。进入创建宏屏界面后,请填写以下字段:
Destination app
将应用此宏的应用程序。 Bitwarden 目标应用程序是 bitwarden_event_logs。
Name
宏的名称。您正在使用的宏采用附加到宏名称的参数。 Bitwarden 的宏名称是 bitwarden_event_logs_index。
Definition
该字段将包含搜索宏在搜索中引用时扩展的字符串。包含的参数将用美元符号括起来,例如 $arg$。
输入 index=* 以在宏中进行广泛搜索。搜索中需要通配符 *。可以在宏设置之后从搜索功能执行更具体的查询。
Arguments
在以逗号分隔的参数名称字符串中输入参数。参数名称只能包含字母数字、「_」和「-」字符。
创建宏不需要此字段。
Validation Expression
输入运行宏参数的 eval 或布尔表达式。 创建宏不需要此字段。
Validation Error Message
输入验证表达式返回 false 时要显示的消息。
创建宏不需要此字段。
3、将所有信息输入宏字段后,选择 Save。
搜索宏权限
接下来,设置哪些用户角色有权使用宏:
1、通过选择 Settings → Advanced Search → Search macros 来查看宏。
2、在要编辑的宏上选择 Permissions。
3、编辑以下权限:
Object should appear in
要在事件搜索中使用宏,请选择 This app only。如果选择了 Keep private,宏将不会应用。
Permissions
为具有读取和写入访问权限的用户角色选择所需的权限。
4、编辑所需权限后,选择 Save。
了解仪表板
仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括:
Bitwarden 身份验证事件
Bitwarden 密码库项目事件
Bitwarden 组织事件
仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。
时间范围
从 Search 页面或 Dashboards 进行搜索时,可以将搜索指定为特定的时间范围。
Bitwarden 事件日志搜索支持以下时间范围:
Month to date
Year to date
Previous week
Previous business week
Previous month
Previous year
Last 30 days
All time
查询参数
通过包含搜索查询来设置特定搜索。Spunk 利用其搜索处理语言 (SPL) 方式进行搜索。有关搜索的更多详细信息,请参阅 Splunk 文档。
搜索的结构:
search | commands1 arguments1 | commands2 arguments2 | ...标准搜索结果对象的示例:
标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值:
actingUserEmail
执行操作的用户的电子邮件。
actingUserId
执行操作的用户的唯一 ID。
actingUserName
执行操作的用户的名称。
date
以 YYYY-MM-DD TT:TT:TT 格式显示的事件日期。
device
用于标识执行操作的设备的数字。
hash
Splunk 计算的数据哈希。在此处详细了解 Splunk 的数据完整性。
ipAddress
执行事件的 IP 地址。
memberEmail
操作针对的组织成员的电子邮件。
memberId
操作针对的组织成员的唯一 ID。
memberName
操作针对的组织成员的名称。
type
表示发生的组织事件的事件类型代码。在此处查看完整的事件代码列表和说明。
搜索所有:
sourcetype="bitwarden:events" type=*按特定字段过滤结果:
在以下示例中,搜索正在查找带有 * 通配符的 actingUserName,这将显示所有带有 actingUserName 的结果。
sourcetype="bitwarden:events" actingUserName=*Text AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含 type 类型和 actingUserName 的结果。
sourcetype="bitwarden:events" type=1000 actingUserName="John Doe"通过使用 | 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。
sourcetype="bitwarden:events" type=1115 actingUserName="John Doe" | top ipAddress附加资源
设置用户角色
管理用户角色以允许个人执行特定任务。要编辑用户角色:
打开顶部导航栏上的 Settings 菜单。
从菜单右下角选择 Users。
在用户界面,找到您要为其编辑权限的用户并选择 Edit。
在此界面,可以填写用户的详细信息。admin、power 以及 can_delete 等权限也可以在此处单独分配。
删除数据
通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在更改被监视的组织等实例中可能需要清除数据。
访问 Splunk 目录然后
stopSplunk 进程。使用
-index标志清除bitwarden_events索引。重新启动 Splunk 进程。
最后更新于