Panther SIEM

Panther 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织用户可以使用 Panther 监控系统上的 Bitwarden 应用程序监控事件活动。

设置

创建一个 Panther 账户

首先,您需要一个 Panther 账户和仪表板。在他们的网站上创建一个 Panther 账户。

初始化 Panther Bitwarden 日志源

1、访问 Panther 仪表板。

2、在菜单上,打开 Configure 下拉列表然后选择 Log Sources

Panther 日志源

3、选择 Onboard your logs

Panther 载入日志

4、在目录中搜索 Bitwarden

Bitwarden 日志集成

5、单击 Bitwarden 集成然后选择 Start Setup

连接您的 Bitwarden 组织

选择 Start Setup 后,将进入配置界面。

Panther SIEM 服务仅适用于 Bitwarden 云托管组织。

1、输入集成的名称,然后选择 Setup

2、接下来,您必须访问 Bitwarden 组织的客户端 ID客户端密钥。保持此界面打开,在另一个选项卡上访问您的 Bitwarden 网络密码库。打开您的组织,导航至设置组织信息查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。

组织 API 信息

3、将 client_idclient_secret 值复制并粘贴到 Bitwarden 应用程序设置页面上各自的位置。输入信息后,再次选择 Setup 以继续。

4、Panther 将对集成进行测试。成功完成测试后,您将可以选择调整偏好。按下 View Log Source 完成设置。

在 Bitwarden 应用程序设置完成后,Panther 可能需要长达 10 分钟的时间来提取数据。

开始监控数据

1、要开始监控数据,请转到主仪表板然后选择 🔍InvestigateData Explorer

2、在 Data Explorer(数据资源管理器)页面上,从下拉菜单中选择 panther_logs.public 数据库。确保 bitwarden_events 也可见。

Panther Data Explorer

3、完成所有必需的选择后,选择 Run Query

您还也可以 Save as 以便下次使用此查询。

4、屏幕底部将生成 Bitwarden 事件列表。

Panther 事件日志

5、通过选择 View JSON,可以以 JSON 格式展开和查看事件。

Panther JSON 对象

有关 Bitwarden 组织活动的更多信息,请参阅此处。有关针对特定查询的其他选项,请参阅 Panther Data Explorer 文档以获取更多信息。

最后更新于