SIEM-Protokollierung

Splashtop-Verlauf und Sitzungsereignisprotokolle können jetzt zur weiteren Analyse mit einer SIEM-Software (Sicherheitsinformations- und Ereignisverwaltung) deiner Wahl exportiert werden. 

Anforderung: Benutzerdefinierte Enterprise-Technikerlizenz

Unterstützte Funktionen

Unterstützter Datenfluss:

Der Push-Modus wird derzeit unterstützt. Alle Änderungen im Teamverlauf und verschiedene Arten von Sitzungsprotokollen werden von der Splashtop-Plattform zur weiteren Überprüfung an deine SIEM-Software übertragen.

Zu exportierende Protokolle:

  • Teamverlaufsprotokolle:
    • Alle Operationen (my.splashtop.com/my.splashtop.eu > Protokolle > Verlauf)
  • Sitzungsprotokolle:
    • Beaufsichtigte und unbeaufsichtigte Sitzungen
    • Dateiübertragung
    • Diagnosesitzungen
    • Dateiübertragung außerhalb der Sitzung, Chat und Remote-Befehlssitzungen
    • PSA-Integrationen
    • Share My Desktop-Sitzungen

Unterstützte SIEM-Tools:

  • Splunk 
  • Sumo-Logik
  • Sonstige

Unterstützte Protokollformate:

  • Allgemeines Splashtop-Schema
  • Flexibles allgemeines Schema
  • Splunk-Format

Anmerkungen:

  1. Der Pull-Modus wird noch nicht unterstützt. Zu diesem Zeitpunkt können Sie die offenen APIs von Splashtop verwenden, um Protokolle abzurufen.
  2. Protokolle im Zusammenhang mit Endpunktverwaltungsfunktionen (Warnungsprofile, Systeminventar usw.) sind noch nicht für den Export in SIEM-Tools verfügbar.
  3. Wähle für andere SIEM-Tools als Splunk oder Sumo Logic Integration „Sonstige“ aus und gib die Informationen in den Feldern entsprechend deiner SIEM-Lösung an (my.splashtop.com/my.splashtop.eu > Verwaltung > SIEM-Protokollierung > Erstellen)
Sumo Logic-Konfiguration

Mit der SIEM-Protokollierungsfunktion von Splashtop können Benutzer jetzt Protokolle in ihr eigenes Verwaltungssystem exportieren. Bitte befolge die nachstehenden Anweisungen, um einen Collector von der Sumo Logic-Konsole aus zu konfigurieren.

1. Melde dich bei der Sumo Logic-Konsole an. Klicke auf „Daten verwalten“.

2. Klicke unter der Dropdown-Liste auf die Registerkarte „Kollektion“.

sumo_console-1_en-us.png

3. Klicke dann oben rechts in der Konsole auf „Collector hinzufügen“.

sumo_console_en-us.png

4. Gehe auf „Hosted Collector“.

Collector_type_en-us.png

5. Vervollständige die Informationen deines Hosted Collectors.

collector_info_en-us.png

6. Bestätige die Erstellung.

confirm_en-us.png

7. Nachdem die Erstellung bestätigt wurde, wählst du „HTTP-Protokolle & -Metriken“ aus. 

http_en-us.png

8. Vervollständige die Informationen deiner HTTP-Protokolle und -Metriken und speichere die Quelle.

HTTP_Logs_en-us.png

9.Kopiere die HTTP-Quelladresse zur späteren Verwendung.

source_address_en-us.png

10. Melde dich bei my.Splashtop.com an, gehe zur Registerkarte Verwaltung und klicke dann auf SIEM-Protokollierung. 

SIEM_PCP_en-us.png

11. Navigiere zur Schaltfläche Erstellen und klicke auf „Push-Modus“. 

SIEM_PCP_create_en-us.png

12. Wähle Sumo Logic als Integrationstyp aus.

13. Gib das URL-Feld mit der HTTP-Quelladresse ein, die du von der Sumo Logic-Konsole kopiert hast.

14. Klicke abschließend auf „Erstellen“. Schon bist du fertig mit der Konfiguration. 

push_mode_app_en-us.png

Nachdem die Einrichtung abgeschlossen ist, findest du die Protokollinformationen auf deinem Sumo Logic-Dashboard.

1. Klicke auf der Startseite auf „Protokollsuche“. 

dash_board_en-us.png

2. Gib die Protokollinformationen ein und klicke dann auf das Suchsymbol.

log_search_en-us.png

3. Das Ergebnis der Protokollinformationen wird angezeigt! 

example_en-us.png

Splunk-Konfiguration

Gehe auf der Splunk Cloud Platform zu Einstellungen > Daten hinzufügen

image-20220410-111133_en-us.png

Wähle „Monitor“ > „HTTP Event Collector“

image-20220410-111753_en-us.png

image-20220410-111950_en-us.png

Gib die Informationen ein und wähle das gewünschte Setup für das Token aus:

image-20220410-123109_en-us.pngimage-20220410-123221_en-us.png

image-20220410-123249_en-us.png

Nachdem das Token erstellt wurde, kopierst du den Tokenwert und gehst zu my.splashtop.com/my.splashtop.eu (Verwaltung>SIEM-Protokollierung), um die Einrichtung abzuschließen:

Snipaste_2022-04-10_21-16-52_en-us.png

image-20220410-123524_en-us.png

Wähle beim Erstellen der Push-Modus-App „Splunk“ im Dropdown-Menü „Integration“ aus:

image-20220410-123620_en-us.png

Gib die HEC-URL-Informationen und den Tokenwert ein, um die App zu erstellen:

image-20220410-125810_en-us.png

*Für HEC-URL: 
Um Daten an HTTP Event Collector auf der Splunk Cloud Platform zu senden, musst du die Daten mit einem bestimmten URI für HEC senden.

  •  Das Standardformular für den HEC-URI in kostenlosen Testversionen der Splunk Cloud-Plattform lautet wie folgt:
    <protocol>://inputs.<host>:<port>/<endpoint>
  • Das Standardformular für den HEC-URI in der Splunk-Cloud-Plattform lautet wie folgt:
    <protocol>://http-inputs-<host>:<port>/<endpoint> 
  • Das Standardformular für den HEC-URI in der Splunk-Cloud-Plattform in der Google Cloud lautet wie folgt:
    <protocol>://http-inputs.<host>:<port>/<endpoint> 

Bitte beachte:

  • <protocol> ist entweder http oder https
  • Du m http-inputs- vor <host> hinzufügen
  • <host> ist die Splunk Cloud Plattform-Instanz, die HEC ausführt
  • <port> ist die HEC-Portnummer
    • 8088 auf der Splunk Cloud-Plattform kostenlose Testversionen

    • 443 standardmäßig auf Splunk Cloud Plattform-Instanzen

  • <endpoint> ist der HEC-Endpunkt, den du verwenden solltest.
    In vielen Fällen kannst du den /services/collector Endpunkt für JSON-formatierte Ereignisse (JavaScript Object Notation) oder den services/collector/raw Endpunkt für unformatierte Ereignisse verwenden

 

Nachdem die Einrichtung abgeschlossen ist, findest du die Protokollinformationen auf Splunk, indem du nach „Quelle 'Splashtop“ suchst.

2021-11-26_11-02-35_en-us.png

 

Was ist, wenn ich einen Server hoste oder andere Tools verwende, um Logs zu sammeln? Wie kann ich sie einrichten?

Unsere SIEM-App unterstützt auch das Senden von Protokollen an Ihren eigenen Server oder andere Tools (beispielsweise haben Benutzer bestätigt, dass LogScale funktioniert). Sie können eine App auf dem Webportal einrichten (my.splashtop.com/my.splashtop.eu), und die Informationen gemäß den folgenden Anweisungen einfügen: 

  • Name: Name deiner SIEM-App
  • Integration: Sonstige auswählen
  • URL: Die URL Ihres Servers oder die URL von HEC (HTTP Event Collector)
  • Authentifizierungstoken: Optional, hängt davon ab, ob Ihr Dienst das Token in der Kopfzeile der Daten überprüft oder nicht.
  • Protokollformat: Wählen Sie das Format aus, in dem Sie die Logs erhalten möchtest. (Wenn eines nicht funktioniert, können Sie es mit anderen versuchen.)
(Optional) Welche IPs muss ich auf meiner Firewall auf die Whitelist setzen, um gepushte Protokolle zuzulassen?

Normalerweise musst du dies nur konfigurieren, wenn du den Protokollserver zum Empfangen von Protokollen hostest. Bei der Cloud-Version von Splunk/Sumologic oder anderen SIEM-Servern von Drittanbietern übernehmen sie das Traffic-Management.

Globaler Stack

  • Webportal (dies ist für die SIEM-Push-Modus-App zum Senden von Testdatenverkehr vorgesehen)
    • 54.153.1.100
    • 50.18.114.99
    • 35.164.11.141
    • 35.165.21.129
    • 52.37.98.151
  • Protokollserver
    • 13.52.208.170
    • 54.241.143.104
    • 44.238.4.189/32
    • 54.185.81.191/32

EU-Stack

  • Webportal (dies ist für die SIEM-Push-Modus-App zum Senden von Testdatenverkehr vorgesehen)
    • 3.66.52.43
    • 18.157.228.221
    • 18.158.148.33/32
  • Protokollserver
    • 3.74.33.104
    • 18.193.181.104

 

1 von 2 fanden dies hilfreich