目前支持导出 Splashtop 历史记录和会话事件日志,以便使用首选的 SIEM(安全信息和事件管理)软件进行进一步分析。
支持的数据流:
目前支持推送模式。团队历史记录和不同类型的会话日志中的所有更改都将从 Splashtop 的平台推送到 SIEM 软件以供进一步检查。
要导出的日志:
-
团队历史记录:
- 所有操作(my.splashtop.com/my.splashtop.eu > 日志 > 历史记录)
-
会话日志:
- 有人值守和无人值守的会话
- 文件传输
- 诊断会话
- 会话外文件传输、聊天和远程命令会话
- PSA 集成
- 共享我的桌面会话
支持的 SIEM 工具:
- Splunk
- Sumo Logic
- 其他
支持的日志格式:
- Splashtop Common Schema
- Elastic Common Schema
- Splunk 格式
注意:
- 目前不支持拉模式。您现在可以使用 Splashtop 开放 API 检索日志。
- 与端点管理功能(警报配置文件、系统清单等)相关的日志目前无法导出到 SIEM 工具。
- 如果是 Splunk 或 Sumo Logic 以外的 SIEM 工具,可以选择“集成:其他”,然后根据 SIEM 解决方案填写字段中的信息(my.splashtop.com/my.splashtop.eu > 管理 > SIEM 日志 > 创建)
借助 Splashtop 的 SIEM 日志记录功能,用户可以导出日志到自己的管理系统。请按照以下说明从 Sumo Logic 控制台配置收集器。
1. 登录 Sumo Logic 控制台。单击“管理数据”。
2. 在下拉列表下,单击“收集”选项卡。
3. 然后点击控制台右上角的“添加收集器”。
4. 选择“托管收集器”。
5. 填写托管收集器相关信息。
6. 确认创建。
7. 确认创建后,选择“HTTP 日志&指标”。
8. 填写 HTTP 日志&指标相关信息,然后保存该资源。
9. 复制 HTTP 源地址以供稍后使用。
10. 登录 my.splashtop.com,进入管理选项卡后单击 SIEM 日志记录。
11. 导航到“创建”按钮后单击“推送模式”。
12. 选择 Sumo Logic 作为集成类型。
13. 输入URL 字段,包括从 Sumo Logic 控制台复制的 HTTP 源地址。
14. 最后,单击“创建”。配置完成!
完成设置后,可以在 Sumo Logic 控制面板找到日志信息。
1. 在主页上,单击“日志搜索”
2. 输入日志信息,然后点击搜索图标。
3. 弹出日志信息的搜索结果!
在 Splunk 云平台上,找到“设置” > “添加数据”
选择“监控” > “HTTP 事件收集器”
填写信息,然后选择想要的令牌设置:
创建令牌后,复制令牌值,然后前往 my.splashtop.com/my.splashtop.eu(管理> SIEM 日志记录)完成设置:
创建推送模式应用时,在集成下拉列表中选择“Splunk”:
然后填写 HEC URL 信息和令牌值以创建应用:
*关于 HEC URL:
要将数据发送到 Splunk 云平台的 HTTP 事件收集器,必须使用 HEC 的特定 URI 发送数据。
-
Splunk 云平台免费试用版的 HEC URI 标准格式:
<protocol>://inputs.<host>:<port>/<endpoint>
- Splunk 云平台的 HEC URI 标准格式:
<protocol>://http-inputs-<host>:<port>/<endpoint>
-
谷歌云上的 Splunk 云平台的 HEC URI 标准格式:
<protocol>://http-inputs.<host>:<port>/<endpoint>
请注意:
- <protocol> 是
http
或https
- 必须在 <host> 前添加
http-inputs-
- <host> 是运行 HEC 的 Splunk 云平台实例
- <port> 是 HEC 端口号
-
Splunk 云平台免费试用版使用 8088 端口
-
Splunk 云平台实例默认使用 443 端口
-
- <endpoint> 是将要使用的 HEC 端点。
许多情况下,可以使用/services/collector
端点处理 JavaScript 对象标记(JSON)格式的事件,或者使用services/collector/raw
端点处理原始事件
完成设置后,可以通过搜索“来源‘Splashtop’”在 Splunk 上找到日志信息
我们的 SIEM 应用还支持将日志推送到自己的服务器或其他工具(例如,我们的用户已确认 LogScale 可以使用)。请到门户网站(my.splashtop.com / my.splashtop.eu)设置应用,并按照以下说明插入信息:
- 名称:您的 SIEM 应用名称
- 集成:选择其他
- URL:服务器的 URL 或 HEC 的 URL(HTTP 事件收集器)
- 身份验证令牌:可选,取决于您的服务是否会检查数据头中的令牌。
- 日志格式:选择希望接收日志的格式。(如果选择的格式不可用,可以尝试其他选项)。
通常,只有在托管日志服务器以接收日志时才需要进行此配置。对于 cloud 版本的 Splunk/Sumologic 或其他第三方 SIEM 服务器来说,则由其本身负责流量管理。
全局堆栈
- Web 门户(用于 SIEM 推送模式应用发送测试流量)
- 54.153.1.100
- 50.18.114.99
- 35.164.11.141
- 35.165.21.129
- 52.37.98.151
- 日志服务器
- 13.52.208.170
- 54.241.143.104
欧盟堆栈
- Web 门户(用于 SIEM 推送模式应用发送测试流量)
- 3.66.52.43
- 18.157.228.221
- 18.158.148.33/32
- 日志服务器
- 3.74.33.104
- 18.193.181.104