SIEM 日志记录

目前支持导出 Splashtop 历史记录和会话事件日志,以便使用首选的 SIEM(安全信息和事件管理)软件进行进一步分析。

要求:自定义 Enterprise 技术员许可证

支持的功能

支持的数据流

目前支持推送模式。团队历史记录和不同类型的会话日志中的所有更改都将从 Splashtop 的平台推送到 SIEM 软件以供进一步检查。

要导出的日志:

  • 团队历史记录:
    • 所有操作(my.splashtop.com/my.splashtop.eu > 日志 > 历史记录)
  • 会话日志:
    • 有人值守和无人值守的会话
    • 文件传输
    • 诊断会话
    • 会话外文件传输、聊天和远程命令会话
    • PSA 集成
    • 共享我的桌面会话

支持的 SIEM 工具:

  • Splunk
  • Sumo Logic
  • 其他

支持的日志格式:

  • Splashtop Common Schema
  • Elastic Common Schema
  • Splunk 格式

注意:

  1. 目前不支持拉模式。您现在可以使用 Splashtop 开放 API 检索日志。
  2. 与端点管理功能(警报配置文件、系统清单等)相关的日志目前无法导出到 SIEM 工具。
  3. 如果是 Splunk 或 Sumo Logic 以外的 SIEM 工具,可以选择“集成:其他”,然后根据 SIEM 解决方案填写字段中的信息(my.splashtop.com/my.splashtop.eu > 管理 > SIEM 日志 > 创建)
Sumo Logic 配置

借助 Splashtop 的 SIEM 日志记录功能,用户可以导出日志到自己的管理系统。请按照以下说明从 Sumo Logic 控制台配置收集器。

1. 登录 Sumo Logic 控制台。单击“管理数据”。

2. 在下拉列表下,单击“收集”选项卡。

sumo_console-1_zh-cn.png

3. 然后点击控制台右上角的“添加收集器”。

sumo_console_zh-cn.png

4. 选择“托管收集器”。

Collector_type_zh-cn.png

5. 填写托管收集器相关信息。

collector_info_zh-cn.png

6. 确认创建。

confirm_zh-cn.png

7. 确认创建后,选择“HTTP 日志&指标”。 

http_zh-cn.png

8. 填写 HTTP 日志&指标相关信息,然后保存该资源。

HTTP_Logs_zh-cn.png

9. 复制 HTTP 源地址以供稍后使用。

source_address_zh-cn.png

10. 登录 my.splashtop.com,进入管理选项卡后单击 SIEM 日志记录。

SIEM_PCP_zh-cn.png

11. 导航到“创建”按钮后单击“推送模式”。

SIEM_PCP_create_zh-cn.png

12. 选择 Sumo Logic 作为集成类型。

13. 输入URL 字段,包括从 Sumo Logic 控制台复制的 HTTP 源地址。

14. 最后,单击“创建”。配置完成!

push_mode_app_zh-cn.png

完成设置后,可以在 Sumo Logic 控制面板找到日志信息。

1. 在主页上,单击“日志搜索”

dash_board_zh-cn.png

2. 输入日志信息,然后点击搜索图标。

log_search_zh-cn.png

3. 弹出日志信息的搜索结果!

example_zh-cn.png

Splunk 配置

在 Splunk 云平台上,找到“设置” > “添加数据”

image-20220410-111133_zh-cn.png

选择“监控” > “HTTP 事件收集器”

image-20220410-111753_zh-cn.png

image-20220410-111950_zh-cn.png

填写信息,然后选择想要的令牌设置:

image-20220410-123109_zh-cn.pngimage-20220410-123221_zh-cn.png

image-20220410-123249_zh-cn.png

创建令牌后,复制令牌值,然后前往 my.splashtop.com/my.splashtop.eu(管理> SIEM 日志记录)完成设置:

Snipaste_2022-04-10_21-16-52_zh-cn.png

image-20220410-123524_zh-cn.png

创建推送模式应用时,在集成下拉列表中选择“Splunk”:

image-20220410-123620_zh-cn.png

然后填写 HEC URL 信息和令牌值以创建应用:

image-20220410-125810_zh-cn.png

*关于 HEC URL:
要将数据发送到 Splunk 云平台的 HTTP 事件收集器,必须使用 HEC 的特定 URI 发送数据。

  •  Splunk 云平台免费试用版的 HEC URI 标准格式:
    <protocol>://inputs.<host>:<port>/<endpoint>
  • Splunk 云平台的 HEC URI 标准格式:
    <protocol>://http-inputs-<host>:<port>/<endpoint> 
  • 谷歌云上的 Splunk 云平台的 HEC URI 标准格式:
    <protocol>://http-inputs.<host>:<port>/<endpoint> 

请注意:

  • <protocol> 是 http 或 https
  • 必须在 <host> 前添加 http-inputs-
  • <host> 是运行 HEC 的 Splunk 云平台实例
  • <port> 是 HEC 端口号
    • Splunk 云平台免费试用版使用 8088 端口

    • Splunk 云平台实例默认使用 443 端口

  • <endpoint> 是将要使用的 HEC 端点。
    许多情况下,可以使用 /services/collector 端点处理 JavaScript 对象标记(JSON)格式的事件,或者使用 services/collector/raw 端点处理原始事件

 

完成设置后,可以通过搜索“来源‘Splashtop’”在 Splunk 上找到日志信息

2021-11-26_11-02-35_zh-cn.png

 

如果我正在托管服务器或使用其他工具收集日志,该怎么办?如何设置?

我们的 SIEM 应用还支持将日志推送到自己的服务器或其他工具(例如,我们的用户已确认 LogScale 可以使用)。请到门户网站(my.splashtop.com / my.splashtop.eu)设置应用,并按照以下说明插入信息:

  • 名称:您的 SIEM 应用名称
  • 集成:选择其他
  • URL:服务器的 URL 或 HEC 的 URL(HTTP 事件收集器)
  • 身份验证令牌:可选,取决于您的服务是否会检查数据头中的令牌。
  • 日志格式:选择希望接收日志的格式。(如果选择的格式不可用,可以尝试其他选项)。
(可选)我需要在防火墙上将哪些 IP 列入白名单才能允许推送日志?

通常,只有在托管日志服务器以接收日志时才需要进行此配置。对于 cloud 版本的 Splunk/Sumologic 或其他第三方 SIEM 服务器来说,则由其本身负责流量管理。

全局堆栈

  • Web 门户(用于 SIEM 推送模式应用发送测试流量)
    • 54.153.1.100
    • 50.18.114.99
    • 35.164.11.141
    • 35.165.21.129
    • 52.37.98.151
  • 日志服务器
    • 13.52.208.170
    • 54.241.143.104

欧盟堆栈

  • Web 门户(用于 SIEM 推送模式应用发送测试流量)
    • 3.66.52.43
    • 18.157.228.221
    • 18.158.148.33/32
  • 日志服务器
    • 3.74.33.104
    • 18.193.181.104

 

2 人中有 1 人觉得有帮助