1. Splashtop Business - 支持
  2. 使用和部署
  3. Splashtop Enterprise (Remote Labs)

SIEM 記錄

Avatar
Support

現在可以匯出 Splashtop 歷史記錄和連線事件記錄檔,並使用您喜歡的 SIEM (安全資訊和事件管理) 軟體進行進一步分析。

支援的功能

支援的資料流程

目前支援推送模式。團隊歷史記錄和不同類型的連線記錄檔中的所有變更,都將從 Splashtop 的平台推送至 SIEM 軟體,以供進一步檢查。

要匯出的記錄檔:

  • 團隊歷程記錄檔:
    • 所有操作 (my.splashtop.com/my.splashtop.eu > 記錄檔 > 歷史記錄)
  • 連線記錄檔:
    • 臨機和主動連線
    • 檔案傳輸
    • 診斷連線
    • 離線檔案傳輸、聊天和遠端命令連線
    • PSA 技術整合
    • 分享桌面連線

支援的 SIEM 工具:

  • Splunk
  • Sumo Logic
  • 其他

支援的記錄檔格式:

  • Splashtop Common Schema
  • Elastic Common Schema
  • Splunk 格式

注意:

  1. 目前尚不支援推送模式,預計將於之後的更新中提供。
  2. 與端點管理功能 (警示設定檔、系統詳細目錄等) 相關的記錄檔目前無法匯出至 SIEM 工具。
  3. 對於 Splunk 或 Sumo Logic 以外的 SIEM 工具,請選取「整合:其他」,然後根據您的 SIEM 解決方案 (my.splashtop.com/my.splashtop.eu > 管理 > SIEM 記錄檔 > 建立) 將資訊填入欄位
Sumo Logic 設定

透過 Splashtop 的 SIEM 記錄檔功能,使用者現在可以將記錄檔匯出至自己的管理系統。請按照以下說明從 Sumo Logic控制台設定收集器。

1. 登入 Sumo Logic 控制台,並按一下「管理資料」。

2. 在下拉式清單中按一下「收集」標籤。

sumo_console-1_zh-tw.png

3. 然後按一下控制台右上方的「新增收集器」。

sumo_console_zh-tw.png

4. 選取託管的收集器。

Collector_type_zh-tw.png

5. 填寫託管收集器的資訊。

collector_info_zh-tw.png

6. 確認建立。

confirm_zh-tw.png

7. 確認建立之後,請選取「HTTP 記錄檔和指標」。

http_zh-tw.png

8. 填寫「HTTP 記錄檔和指標」的資訊,並保存來源。

HTTP_Logs_zh-tw.png

9. 複製 HTTP 來源地址以便之後使用。

source_address_zh-tw.png

10. 登入 my.splashtop.com,前往管理標籤,並按一下 SIEM 記錄檔。

SIEM_PCP_zh-tw.png

11. 前往「建立」按鈕,然後按一下「推送模式」。

SIEM_PCP_create_zh-tw.png

12. 選取 Sumo Logic 作為整合類型。

13. 在網址欄位輸入您從 Sumo Logic 控制台複製的 HTTP 來源地址。

14. 最後,按一下「建立」即完成所有設定。

push_mode_app_zh-tw.png

設定完成後,您可以在 Sumo Logic 設定畫面上找到記錄檔資訊。

1. 在首頁上按一下「搜尋記錄檔」

dash_board_zh-tw.png

2. 輸入記錄檔資訊,然後按一下搜尋圖示。

log_search_zh-tw.png

3. 接著會彈出記錄檔資訊的結果!

example_zh-tw.png

Splunk 設定

前往 Splunk Cloud Platform 上的「設定」>「新增資料」

image-20220410-111133_zh-tw.png

選擇「螢幕」>「HTTP 事件收集器」

image-20220410-111753_zh-tw.png

image-20220410-111950_zh-tw.png

填寫資訊並選擇您想要的權杖設定:

image-20220410-123109_zh-tw.pngimage-20220410-123221_zh-tw.png

image-20220410-123249_zh-tw.png

建立權杖後,請複製權杖值,然後前往 my.splashtop.com/my.splashtop.eu (「管理」>「SIEM 記錄檔」) 以完成設定:

Snipaste_2022-04-10_21-16-52_zh-tw.png

image-20220410-123524_zh-tw.png

建立推送模式應用程式時,請在整合下拉式清單中選擇 Splunk:

image-20220410-123620_zh-tw.png

然後填寫 HEC 網址資訊和權杖值以建立應用程式:

image-20220410-125810_zh-tw.png

* 對於 HEC 網址:
如果要傳送資料至 Splunk Cloud Platform 上的 HTTP 事件收集器,您必須使用 HEC 的特定網址傳送資料。

  • Splunk Cloud Platform 免費試用版中 HEC 網址的標準形式為:
    <protocol>://inputs.<host>:<port>/<endpoint>
  • Splunk Cloud Platform 中 HEC 網址的標準形式為:
    <protocol>://http-inputs-<host>:<port>/<endpoint>
  • Google Cloud 上 Splunk Cloud Platform 中 HEC 網址的標準形式為:
    <protocol>://http-inputs.<host>:<port>/<endpoint>

請注意:

  • <protocol> 為 httphttps
  • 您必須在 <host> 前加上 http-inputs-
  • <host> 是執行 HEC 的 Splunk Cloud Platform 個體
  • <port> 是 HEC 連接埠號碼

    • Splunk Cloud Platform 免費試用版為 8088

    • Splunk Cloud Platform 個體預設為 443

  • <endpoint> 是您要使用的 HEC 端點。
    在許多情況下,您可以將 /service/collector 端點用於 JavaScript Object Notation (JSON) 格式的事件,或將 services/collector/raw 端點用於原始事件

 

設定完成後,您可以搜尋「Source 'Splashtop'」來找出 Splunk 上的記錄檔資訊

2021-11-26_11-02-35_zh-tw.png

 

若是使用託管伺服器來收集記錄檔?我該如何設定?

我們的 SIEM 應用程式也支援將記錄檔推送至您的伺服器。您可以在入口網站 (my.splashtop.com / my.splashtop.eu) 設定一個應用程式,並按照以下說明填入資訊:

  • 名稱:您的 SIEM 應用程式名稱
  • 整合:選取「其他
  • 網址:您的伺服器網址
  • 驗證權杖:選填;請依是否要檢查資料標題中的權杖而定。
  • 記錄檔格式:選取您想接收記錄檔的格式。
(可選) 我需要在防火牆上將哪些 IP 列入白名單以允許推送的記錄檔?

通常您只需要在託管記錄檔伺服器接收記錄檔時進行設定。對於 Splunk/Sumologic 雲端版本或其他第三方 SIEM 伺服器,皆由它們處理流量管理。

全球棧台

  • 入口網站 (提供 SIEM 推送模式應用程式傳送測試流量)
    • 54.153.1.100
    • 50.18.114.99
    • 35.164.11.141
    • 35.165.21.129
    • 52.37.98.151
  • 記錄檔伺服器
    • 13.52.208.170
    • 54.241.143.104
    • 44.238.4.189/32
    • 54.185.81.191/32

歐洲棧台

  • 入口網站 (提供 SIEM 推送模式應用程式傳送測試流量)
    • 3.66.52.43
    • 18.157.228.221
    • 18.158.148.33/32
  • 記錄檔伺服器
    • 3.74.33.104
    • 18.193.181.104

 

3 人中有 1 人覺得有幫助

此段落內的文章

檢視更多