Splunk SIEM

Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织可以在 Splunk Enterprise 仪表板上监埪 Bitwarden 应用程序的事件活动。

本地 Splunk Enterprise 目前支持 Bitwarden Splunk 集成。

设置

创建 Splunk 账户

在 Splunk Enterprise 上安装 Bitwarden 应用程序要求 Splunk Base 账户。

安装 Splunk

拥有 Splunk Base 账户后,下一步就是安装 Splunk Enterprise。按照 Splunk 文档完成自托管企业软件的安装。

Bitwarden 应用目前在 Splunk Enterprise 的 Linux x64 架构上受支持。

创建索引

在将您的 Bitwarden 组织连接到 Splunk Enterprise 之前,需要先创建索引来维护 Bitwarden 数据。

1、打开位于顶部导航栏上的 Settings 菜单,然后选择 Indexes

2、进入索引界面后,选择 New Index

3、将出现一个供您为 Bitwarden 应用程序创建新索引的窗口。

Splunk 索引

4、在 Index Name 字段中,输入 bitwarden_events

创建索引唯一需要的字段是 Index Name。其余字段可以根据需要进行调整。

5、完成后,选择 Save

安装 Splunk Enterprise Bitwarden 应用程序

创建 Bitwarden 索引后,导航到 Splunk Enterprise 仪表板。

1、选择 Apps 旁边的 ⚙️齿轮图标。

Splunk 应用仪表板

2、选择位于屏幕右上角的 Browse more apps

Splunk 浏览所有应用程序

3、在应用程序目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs - Linux x64 应用程序选择 Install

Bitwarden 事件日志应用程序

4、为了完成安装,您需要输入您的 Splunk Base 账户。您的 Splunk Base 账户可能与用于登录自托管 Splunk Enterprise 实例的凭据不同。

在 Splunk 上登录并安装 Bitwarden 应用程序

5、输入信息后,选择 Agree and Install

安装 Bitwarden 应用程序后,您可能需要重新启动 Splunk。

连接您的 Bitwarden 组织

在您的 Splunk Enterprise 实例中安装 Bitwarden 事件日志应用程序后,您可以使用 Bitwarden API 密钥连接您的 Bitwarden 组织。

1、转到仪表板主页然后选择 Bitwarden Event Logs 应用程序。

Splunk 仪表板上的 Bitwarden

2、接下来从顶部导航菜单中选择 Setup。这里是您添加 Bitwarden 组织信息的地方。

设置 Bitwarden 菜单

3、保持此界面打开,在另一个选项卡上,访问您的 Bitwarden 网页密码库。打开您的组织,导航至设置组织信息查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。

组织 api 信息

4、将 client_idclient_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。

按如下方式完成附加字段:

字段

Index

选择之前在指南中创建的索引:bitwarden_events

Server URL

对于自托管 Bitwarden 用户,请输入您的自托管 URL。请确保该 URL 在末尾不包含正斜杠 「/」。 对于云托管组织,请使用 URL https://bitwarden.com

组织 API 密钥拥有对您的组织的所有访问权限。确保您的 API 密钥的私密。如果您认为您的 API 密钥已被泄露,请选择此姐买你上的轮换 API 密钥按钮。当前 API 密钥的活动实施在使用前需要使用新密钥重新配置。

5、选择 Submit

6、完成设置后,请转到 Settings Server controls Restart Splunk,重新启动 Splunk Enterprise。

使用搜索宏开始监控数据

要开始查看数据,您可以设置搜索宏。Splunk 搜索宏是可重复使用的搜索查询,可应用于您的仪表板。

1、要添加搜索宏,请转到顶部导航栏上的 Settings。然后,选择 Advanced Search

创建 Splunk 搜索宏

2、接下来,选择 ✚Add new。进入创建宏屏界面后,请填写以下字段:

字段定义

Destination app

将应用此宏的应用程序。 Bitwarden 目标应用程序是 bitwarden_event_logs

Name

宏的名称。您正在使用的宏采用附加到宏名称的参数。 Bitwarden 的宏名称是 bitwarden_event_logs_index

Definition

该字段将包含搜索宏在搜索中引用时扩展的字符串。包含的参数将用美元符号括起来,例如 $arg$。

输入 index=* 以在宏中进行广泛搜索。搜索中需要通配符 *。可以在宏设置之后从搜索功能执行更具体的查询。

Arguments

在以逗号分隔的参数名称字符串中输入参数。参数名称只能包含字母数字、「_」和「-」字符。

创建宏不需要此字段。

Validation Expression

输入运行宏参数的 eval 或布尔表达式。 创建宏不需要此字段。

Validation Error Message

输入验证表达式返回 false 时要显示的消息。 创建宏不需要此字段。

3、将所有信息输入宏字段后,选择 Save

搜索宏权限

接下来,设置哪些用户角色有权使用宏:

1、通过选择 Settings Advanced Search Search macros 来查看宏。

Splunk 宏访问权限

2、在要编辑的宏上选择 Permissions

Splunk 宏权限

3、编辑以下权限:

字段描述

Object should appear in

要在事件搜索中使用宏,请选择 This app only。如果选择了 Keep private,宏将不会应用。

Permissions

为具有读取写入访问权限的用户角色选择所需的权限。

4、编辑所需权限后,选择 Save

在给定时间,只有一个搜索宏可以在应用程序上运行。

了解仪表板

仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括:

  • Bitwarden 身份验证事件

  • Bitwarden 密码库项目事件

  • Bitwarden 组织事件

仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。

时间范围

Search 页面或 Dashboards 进行搜索时,可以将搜索指定为特定的时间范围。

Splunk 时间范围搜索

Bitwarden 事件日志搜索支持以下时间范围:

  • Month to date

  • Year to date

  • Previous week

  • Previous business week

  • Previous month

  • Previous year

  • Last 30 days

  • All time

查询参数

通过包含搜索查询来设置特定搜索。Spunk 利用其搜索处理语言 (SPL) 方式进行搜索。有关搜索的更多详细信息,请参阅 Splunk 文档

搜索的结构

search | commands1 arguments1 | commands2 arguments2 | ...

标准搜索结果对象的示例:

Splunk 搜索结果对象

标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值:

示例结果

actingUserEmail

执行操作的用户的电子邮件。

actingUserId

执行操作的用户的唯一 ID。

actingUserName

执行操作的用户的名称。

date

YYYY-MM-DD TT:TT:TT 格式显示的事件日期。

device

用于标识执行操作的设备的数字。

hash

Splunk 计算的数据哈希。在此处详细了解 Splunk 的数据完整性。

ipAddress

执行事件的 IP 地址。

memberEmail

操作针对的组织成员的电子邮件。

memberId

操作针对的组织成员的唯一 ID。

memberName

操作针对的组织成员的名称。

type

表示发生的组织事件的事件类型代码。在此处查看完整的事件代码列表和说明。

搜索所有

sourcetype="bitwarden:events" type=*

按特定字段过滤结果

在以下示例中,搜索正在查找带有 * 通配符的 actingUserName,这将显示所有带有 actingUserName 的结果。

sourcetype="bitwarden:events" actingUserName=*Text 

AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含 type 类型和 actingUserName 的结果。

sourcetype="bitwarden:events" type=1000 actingUserName="John Doe"

通过使用 | 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。

sourcetype="bitwarden:events" type=1115 actingUserName="John Doe" | top ipAddress

附加资源

设置用户角色

管理用户角色以允许个人执行特定任务。要编辑用户角色:

  1. 打开顶部导航栏上的 Settings 菜单。

  2. 从菜单右下角选择 Users

  3. 在用户界面,找到您要为其编辑权限的用户并选择 Edit

Splunk 编辑用户权限

在此界面,可以填写用户的详细信息。adminpower 以及 can_delete 等权限也可以在此处单独分配。

删除数据

通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在更改被监视的组织等实例中可能需要清除数据。

  1. 访问 Splunk 目录然后 stop Splunk 进程。

  2. 使用 -index 标志清除 bitwarden_events 索引。

  3. 重新启动 Splunk 进程。

最后更新于