Splashtop-Verlauf und Sitzungsereignisprotokolle können jetzt zur weiteren Analyse mit einer SIEM-Software (Sicherheitsinformations- und Ereignisverwaltung) deiner Wahl exportiert werden.
Unterstützter Datenfluss:
Der Push-Modus wird derzeit unterstützt. Alle Änderungen im Teamverlauf und verschiedene Arten von Sitzungsprotokollen werden von der Splashtop-Plattform zur weiteren Überprüfung an deine SIEM-Software übertragen.
Zu exportierende Protokolle:
-
Teamverlaufsprotokolle:
- Alle Operationen (my.splashtop.com/my.splashtop.eu > Protokolle > Verlauf)
-
Sitzungsprotokolle:
- Beaufsichtigte und unbeaufsichtigte Sitzungen
- Dateiübertragung
- Diagnosesitzungen
- Dateiübertragung außerhalb der Sitzung, Chat und Remote-Befehlssitzungen
- PSA-Integrationen
- Share My Desktop-Sitzungen
Unterstützte SIEM-Tools:
- Splunk
- Sumo-Logik
- Sonstige
Unterstützte Protokollformate:
- Allgemeines Splashtop-Schema
- Flexibles allgemeines Schema
- Splunk-Format
Anmerkungen:
- Der Pull-Modus wird noch nicht unterstützt. Zu diesem Zeitpunkt können Sie die offenen APIs von Splashtop verwenden, um Protokolle abzurufen.
- Protokolle im Zusammenhang mit Endpunktverwaltungsfunktionen (Warnungsprofile, Systeminventar usw.) sind noch nicht für den Export in SIEM-Tools verfügbar.
- Wähle für andere SIEM-Tools als Splunk oder Sumo Logic Integration „Sonstige“ aus und gib die Informationen in den Feldern entsprechend deiner SIEM-Lösung an (my.splashtop.com/my.splashtop.eu > Verwaltung > SIEM-Protokollierung > Erstellen)
Mit der SIEM-Protokollierungsfunktion von Splashtop können Benutzer jetzt Protokolle in ihr eigenes Verwaltungssystem exportieren. Bitte befolge die nachstehenden Anweisungen, um einen Collector von der Sumo Logic-Konsole aus zu konfigurieren.
1. Melde dich bei der Sumo Logic-Konsole an. Klicke auf „Daten verwalten“.
2. Klicke unter der Dropdown-Liste auf die Registerkarte „Kollektion“.
3. Klicke dann oben rechts in der Konsole auf „Collector hinzufügen“.
4. Gehe auf „Hosted Collector“.
5. Vervollständige die Informationen deines Hosted Collectors.
6. Bestätige die Erstellung.
7. Nachdem die Erstellung bestätigt wurde, wählst du „HTTP-Protokolle & -Metriken“ aus.
8. Vervollständige die Informationen deiner HTTP-Protokolle und -Metriken und speichere die Quelle.
9.Kopiere die HTTP-Quelladresse zur späteren Verwendung.
10. Melde dich bei my.Splashtop.com an, gehe zur Registerkarte Verwaltung und klicke dann auf SIEM-Protokollierung.
11. Navigiere zur Schaltfläche Erstellen und klicke auf „Push-Modus“.
12. Wähle Sumo Logic als Integrationstyp aus.
13. Gib das URL-Feld mit der HTTP-Quelladresse ein, die du von der Sumo Logic-Konsole kopiert hast.
14. Klicke abschließend auf „Erstellen“. Schon bist du fertig mit der Konfiguration.
Nachdem die Einrichtung abgeschlossen ist, findest du die Protokollinformationen auf deinem Sumo Logic-Dashboard.
1. Klicke auf der Startseite auf „Protokollsuche“.
2. Gib die Protokollinformationen ein und klicke dann auf das Suchsymbol.
3. Das Ergebnis der Protokollinformationen wird angezeigt!
Gehe auf der Splunk Cloud Platform zu Einstellungen > Daten hinzufügen
Wähle „Monitor“ > „HTTP Event Collector“
Gib die Informationen ein und wähle das gewünschte Setup für das Token aus:
Nachdem das Token erstellt wurde, kopierst du den Tokenwert und gehst zu my.splashtop.com/my.splashtop.eu (Verwaltung>SIEM-Protokollierung), um die Einrichtung abzuschließen:
Wähle beim Erstellen der Push-Modus-App „Splunk“ im Dropdown-Menü „Integration“ aus:
Gib die HEC-URL-Informationen und den Tokenwert ein, um die App zu erstellen:
*Für HEC-URL:
Um Daten an HTTP Event Collector auf der Splunk Cloud Platform zu senden, musst du die Daten mit einem bestimmten URI für HEC senden.
-
Das Standardformular für den HEC-URI in kostenlosen Testversionen der Splunk Cloud-Plattform lautet wie folgt:
<protocol>://inputs.<host>:<port>/<endpoint>
- Das Standardformular für den HEC-URI in der Splunk-Cloud-Plattform lautet wie folgt:
<protocol>://http-inputs-<host>:<port>/<endpoint>
-
Das Standardformular für den HEC-URI in der Splunk-Cloud-Plattform in der Google Cloud lautet wie folgt:
<protocol>://http-inputs.<host>:<port>/<endpoint>
Bitte beachte:
- <protocol> ist entweder
http
oderhttps
- Du m
http-inputs-
vor <host> hinzufügen - <host> ist die Splunk Cloud Plattform-Instanz, die HEC ausführt
- <port> ist die HEC-Portnummer
-
8088 auf der Splunk Cloud-Plattform kostenlose Testversionen
-
443 standardmäßig auf Splunk Cloud Plattform-Instanzen
-
- <endpoint> ist der HEC-Endpunkt, den du verwenden solltest.
In vielen Fällen kannst du den/services/collector
Endpunkt für JSON-formatierte Ereignisse (JavaScript Object Notation) oder denservices/collector/raw
Endpunkt für unformatierte Ereignisse verwenden
Nachdem die Einrichtung abgeschlossen ist, findest du die Protokollinformationen auf Splunk, indem du nach „Quelle 'Splashtop“ suchst.
Unsere SIEM-App unterstützt auch das Senden von Protokollen an Ihren eigenen Server oder andere Tools (beispielsweise haben Benutzer bestätigt, dass LogScale funktioniert). Sie können eine App auf dem Webportal einrichten (my.splashtop.com/my.splashtop.eu), und die Informationen gemäß den folgenden Anweisungen einfügen:
- Name: Name deiner SIEM-App
- Integration: Sonstige auswählen
- URL: Die URL Ihres Servers oder die URL von HEC (HTTP Event Collector)
- Authentifizierungstoken: Optional, hängt davon ab, ob Ihr Dienst das Token in der Kopfzeile der Daten überprüft oder nicht.
- Protokollformat: Wählen Sie das Format aus, in dem Sie die Logs erhalten möchtest. (Wenn eines nicht funktioniert, können Sie es mit anderen versuchen.)
Normalerweise musst du dies nur konfigurieren, wenn du den Protokollserver zum Empfangen von Protokollen hostest. Bei der Cloud-Version von Splunk/Sumologic oder anderen SIEM-Servern von Drittanbietern übernehmen sie das Traffic-Management.
Globaler Stack
- Webportal (dies ist für die SIEM-Push-Modus-App zum Senden von Testdatenverkehr vorgesehen)
- 54.153.1.100
- 50.18.114.99
- 35.164.11.141
- 35.165.21.129
- 52.37.98.151
- Protokollserver
- 13.52.208.170
- 54.241.143.104
- 44.238.4.189/32
- 54.185.81.191/32
EU-Stack
- Webportal (dies ist für die SIEM-Push-Modus-App zum Senden von Testdatenverkehr vorgesehen)
- 3.66.52.43
- 18.157.228.221
- 18.158.148.33/32
- Protokollserver
- 3.74.33.104
- 18.193.181.104