Splunk SIEM

Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台，可与 Bitwarden 组织一起使用。组织可以使用 Splunk Enterprise 仪表板上的 Bitwarden Event Logs App 监控事件活动。

设置

创建 Splunk 账户

在 Splunk 上安装 Bitwarden App 要求 Splunk Enterprise 账户。Bitwarden 事件监控支持以下 Splunk 平台：

• Splunk Enterprise

• Spunk Cloud Classic

• Splunk Cloud Victoria

安装 Splunk

对于本地部署的 Splunk 用户，下一步是安装 Splunk Enterprise。请按照 Splunk 文档完成 Splunk Enterprise 软件的安装。

创建索引

在将您的 Bitwarden 组织连接到 Splunk 仪表板之前，需要先创建索引来维护 Bitwarden 数据。

1、打开位于顶部导航栏上的 Settings 菜单，然后选择 Indexes。

2、进入索引界面后，选择 New Index。将出现一个供您为 Bitwarden App 创建新索引的窗口。

3、在 Index Name 字段中，输入 bitwarden_events。

4、为 Max raw data size 和 Searchable retention 应用您所需的值。

5、完成后，选择 Save。

安装 Splunk Bitwarden App

创建 Bitwarden 索引后，导航到 Splunk 仪表板。

1、打开 Apps 下拉菜单然后选择 Find More Apps。

2、选择 Browse more apps。

3、在 App 目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs App 选择 Install。

4、为了完成安装，您需要输入您的 Splunk 账户。您的 Splunk 账户可能与用于访问 Splunk 门户的凭据不同。

5、输入信息后，选择 Agree and Install。

连接您的 Bitwarden 组织

在您的 Splunk Enterprise 实例中安装 Bitwarden 事件日志 App 后，您可以使用您的 Bitwarden API 密钥连接您的 Bitwarden 组织。

1、转到仪表板主页然后选择 Bitwarden Event Logs App：

2、接下来，在 App 配置页面上，选择 Continue to app setup page。您可以在此处添加 Bitwarden 组织的信息。

3、保持此界面打开，在另一个选项卡上，登录 Bitwarden 网页 App，然后使用产品切换器打开管理控制台：

4、导航至您的组织的设置 → 组织信息，然后选择查看 API 密钥。将要求您重新输入主密码，以访问 API 密钥信息。

5、将 client_id 和 client_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。

也请完成以下附加字段：

6、完成后，选择 Submit。

了解搜索宏

bitwarden_event_logs_index 搜索宏将在初始 Bitwarden 事件日志安装后创建。要访问宏并调整设置：

1. 打开顶部导航栏上的 Settings。然后，选择 Advanced Search。

2. 选择 Search Macros 以打开搜索宏列表。

搜索宏权限

接下来，设置哪些用户角色有权使用宏：

1、通过选择 Settings → Advanced Search → Search macros 来查看宏。

2、选择 bitwarden_events_logs_index 的权限。编辑以下权限并在完成后选择保存：

了解仪表板

仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括：

• Bitwarden 身份验证事件

• Bitwarden 密码库项目事件

• Bitwarden 组织事件

仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。

时间范围

从 Search 页面或 Dashboards 进行搜索时，可以将搜索指定为特定的时间范围。

查询参数

通过包含搜索查询来设置特定搜索。Spunk 利用其搜索处理语言 (SPL) 方式进行搜索。有关搜索的更多详细信息，请参阅 Splunk 文档。

搜索的结构：

标准搜索结果对象的示例：

标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值：

Bitwarden 字段

Spunk 默认字段

以下 Splunk 默认字段将出现在查询中。有关 Splunk 默认字段的更多信息，请参阅 Splunk 文档。

字段：

• source

• sourcetype

• date

  • date_hour date_mday date_minute date_month date_second date_wday date_year date_zone

• index

• linecount

• punct

• splunk_server

• timestamp

搜索所有：

按特定字段筛选结果：

在以下示例中，搜索正在查找带有 * 通配符的 actingUserName，这将显示所有带有 actingUserName 的结果。

AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含 type 类型和 actingUserName 的结果。

通过使用 | 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。

附加资源

设置用户角色

管理用户角色以允许个人执行特定任务。要编辑用户角色：

1、打开顶部导航栏上的 Settings 菜单。

2、从菜单右下角选择 Users。

3、在用户界面，找到您要为其编辑权限的用户并选择 Edit。

在此界面，可以填写用户的详细信息。admin、power 以及 can_delete 等权限也可以在此处单独分配。

删除数据

通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在某些情况下，例如更改被监控的组织，可能需要清除数据。

1、访问 Splunk 目录然后 stop Splunk 进程。

2、使用 -index 标志清除 bitwarden_events 索引。例如：

3、重新启动 Splunk 进程。

故障排除

• 对于 Splunk Enterprise 用户，App 将记录到：/opt/splunk/var/log/splunk/bitwarden_event_logs.log

如果您遇到任何错误，或者 Bitwarden App 无法正常运行，用户可以检查该日志文件中的错误或参阅 Spunk 文档。