Splunk SIEM
Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织可以在 Splunk Enterprise 仪表板上监埪 Bitwarden 应用程序的事件活动。
本地 Splunk Enterprise 目前支持 Bitwarden Splunk 集成。
Bitwarden 应用目前在 Splunk Enterprise 的 Linux x64 架构上受支持。
在将您的 Bitwarden 组织连接到 Splunk Enterprise 之前,需要先创建索引来维护 Bitwarden 数据。
1、打开位于顶部导航栏上的 Settings 菜单,然后选择 Indexes。
2、进入索引界面后,选择 New Index。
3、将出现一个供您为 Bitwarden 应用程序创建新索引的窗口。
Splunk 索引
4、在 Index Name 字段中,输入
bitwarden_events。创建索引唯一需要的字段是 Index Name。其余字段可以根据需要进行调整。
5、完成后,选择 Save。
创建 Bitwarden 索引后,导航到 Splunk Enterprise 仪表板。
1、选择 Apps 旁边的 ⚙️齿轮图标。
Splunk 应用仪表板
2、选择位于屏幕右上角的 Browse more apps。
Splunk 浏览所有应用程序
3、在应用程序目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs - Linux x64 应用程序选择 Install。
Bitwarden 事件日志应用程序
�在 Splunk 上登录并安装 Bitwarden 应用程序
5、输入信息后,选择 Agree and Install。
安装 Bitwarden 应用程序后,您可能需要重新启动 Splunk。
1、转到仪表板主页然后选择 Bitwarden Event Logs 应用程序。
Splunk 仪表板上的 Bitwarden
2、接下来从顶部��导航菜单中选择 Setup。这里是您添加 Bitwarden 组织信息的地方。
设置 Bitwarden 菜单
3、保持此界面打开,在另一个选项卡上,访问您的 Bitwarden 网页密码库。打开您的组织并导航到设置、组织信息然后查看 API 密钥。您将被要求重新输入您的主密码以访问您的 API 密钥信息。
组织 api 信息
4、将
client_id 和 client_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。按如下方式完成附加字段:
字段 | 值 |
|---|---|
Index | 选择之前在指南中创建的索引: bitwarden_events。 |
Server URL | 对于自托管 Bitwarden 用户,请输入您的自托管 URL。请确保该 URL 在末尾不包含正斜杠 「 /」。
对于云托管组织,请使用 URL https://bitwarden.com。 |
组织 API 密钥拥有对您的组织的所有访问权限。确保您的 API 密钥的私密。如果您认为您的 API 密钥已被泄露,请选择此姐买你上的轮换 API 密钥按钮。当前 API 密钥的活动实施在使用前需要使用新密钥重新配置。
5、选择 Submit。
6、完成设置后,请转到 Settings → Server controls → Restart Splunk,重新启动 Splunk Enterprise。
要开始查看数据,您可以设置搜索宏。Splunk 搜索宏是可重复使用的搜索查询,可应用于您的仪表板。
1、要添加搜索宏,请转到顶部导航栏上的 Settings。然后,选择 Advanced Search。
创建 Splunk 搜索宏
2、接下来,选择 ✚Add new。进入创建宏屏界面后,请填写以下字段:
字段 | 定义 |
|---|---|
Destination app | 将应用此宏的应用程序。 Bitwarden 目标应用程序是 bitwarden_event_logs。 |
Name | 宏的名称。您正在使用的宏采用附加到宏名称的参数。 Bitwarden 的宏名称是 bitwarden_event_logs_index。 |
Definition | 该字段将包含搜索宏在搜索中引用时扩展的字符串。包含的参数将用美元符号括起来,例如 $arg$。 输入 index=* 以在宏中进行广泛搜索。搜索中需要通配符 *。可以在宏设置之后从搜索功能执行更具体的查询。 |
Arguments | 在以逗号分隔的参数名称字符串中输入参数。参数名称只能包含字母数字、「_」和「-」字符。 创建宏不需要此字段。 |
Validation Expression | 输入运行宏参数的 eval 或布尔表达式。
创建宏不需要此字段。 |
Validation Error Message | 输入验证表达式返回 false 时要显示的消息。
创建宏不需要此字段。 |
3、将所有信息输入宏字段后,选择 Save。
接下来,设置哪些用户角色有权使用宏:
1、通过选择 Settings → Advanced Search → Search macros 来查看宏。
Splunk 宏访问权限
2、在要编辑的宏上选择 Permissions。
Splunk 宏权限
3、编辑以下权限:
字段 | 描述 |
|---|---|
Object should appear in | 要在事件搜索中使用宏,请选择 This app only。如果选择了 Keep private,宏将不会应用。 |
Permissions | 为具有读取和写入访问权限的用户角色选择所需的权限。 |
4、编辑所需权限后,选择 Save。
在给定时间,只有一个搜索宏可以在应用程序上运行。
仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括:
- Bitwarden 身份验证事件
- Bitwarden 密码库项目事件
- Bitwarden 组织事件
仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。
从 Search 页面或 Dashboards 进行搜索时,可以将搜索指定为特定的时间范围。
Splunk 时间范围搜索
Bitwarden 事件日志搜索支持以下时间范围:
- Month to date
- Year to date
- Previous week
- Previous business week
- Previous month
- Previous year
- Last 30 days
- All time
搜索的结构:
search | commands1 arguments1 | commands2 arguments2 | ...
标准搜索结果对象的示例:
Splunk 搜索结果对象
标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值:
值 | 示例结果 |
|---|---|
actingUserEmail | 执行操作的用户的电子邮件。 |
actingUserId | 执行操作的用户的唯一 ID。 |
actingUserName | 执行操作的用户的名称。 |
date | 以 YYYY-MM-DD TT:TT:TT 格式显示的事件日期。 |
device | 用于标识执行操作的设备的数字。 |
hash | |
ipAddress | 执行事件的 IP 地址。 |
memberEmail | 操作针对的组织成员的电子邮件。 |
memberId | 操作针对的组织成员的唯一 ID。 |
memberName | 操作针对的组织成员的名称。 |
type |
搜索所有:
sourcetype="bitwarden:events" type=*
按特定字段过滤结果:
在以下示例中,搜索正在查找带有
* 通配符的 actingUserName,这将显示所有带有 actingUserName 的结果。sourcetype="bitwarden:events" actingUserName=*Text
AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含
type 类型和 actingUserName 的结果。sourcetype="bitwarden:events" type=1000 actingUserName="John Doe"
通过使用
| 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。sourcetype="bitwarden:events" type=1115 actingUserName="John Doe" | top ipAddress
管理用户角色以允许个人执行特定任务。要编辑用户角色:
- 1.打开顶部导航栏上的 Settings 菜单。
- 2.从菜单右下角选择 Users。
- 3.在用户界面,找到您要为其编辑权限的用户并选择 Edit。
Splunk 编辑用户权限
在此界面,可以填写用户的详细信息。
admin、power 以及 can_delete 等权限也可以在此处单独分配。通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在更改被监视的组织等实例中可能需要清除数据。
- 1.访问 Splunk 目录然后
stopSplunk 进程。 - 2.使用
-index标志清除bitwarden_events索引。 - 3.重新启动 Splunk 进程。
最近�更新 5mo ago