Splunk¶

Вы можете настроить оповещения Splunk для следующих событий:

Обнаружен хит, за исключением:
- Экспериментального хита, обнаруженного на основе регулярного выражения. Хиты без метки Экспериментально учитываются.
- Хита, не включенного в выборку при семплировании.
Системные события: добавленные пользователи, удаленные и отключенные интеграции
Обнаружена уязвимость
Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Настройка интеграции¶

В интерфейсе Splunk:

Перейдите на страницу Settings ➝ Add Data и выберите Monitor.
Выберите тип HTTP Event Collector, введите название интеграции и нажмите Next.
Пропустите выбор типа данных на странице Input Settings и перейдите к Review Settings.
Проверьте и подтвердите настройки.
Скопируйте полученный токен.

В Личном кабинете Вебмониторэкс:

Откройте Настройки → Интеграции.
Нажмите на блок Splunk или нажмите кнопку Добавить интеграцию и выберите Splunk.
Введите имя интеграции.
Вставьте скопированный токен в поле HEC Token.
Вставьте HEC URI и номер порта вашего инстанса Splunk в поле HEC URI:PORT. Например: https://hec.splunk.com:8088.
Выберите типы событий, о которых необходимо отправлять уведомления. Если события не выбраны, уведомления не отправляются.
Протестируйте интеграцию и убедитесь в корректности настроек.
Нажмите Добавить интеграцию.

IP-адреса Вычислительного кластера Вебмониторэкс

Для предоставления Вычислительному кластеру Вебмониторэкс доступа к вашей системе, вам может понадобиться список публичных IP-адресов Вычислительного кластера:

https://my.wallarm.ru/: 158.160.45.107
https://my.webmonitorx.ru/: 51.250.73.199

Построение дашборда с событиями Вебмониторэкс¶

События, отправленные Вебмониторэкс в Splunk, можно представить в виде наглядного дашборда. Приложение Вебмониторэкс для Splunk 9.0 и выше содержит готовый дашборд, в котором все события Вебмониторэкс отображаются автоматически.

Дашборд кликабельный, вы можете переходить из него к подробным логам о событиях. Также, данные с дашборда можно экспортировать.

Чтобы установить приложение Вебмониторэкс для Splunk:

В интерфейсе Splunk ➝ Apps найдите приложение Вебмониторэкс WAF.
Нажмите Install и введите учетные данные Splunkbase.

На дашборде будут отображаться как уже зарегистрированные события Вебмониторэкс, так и все следующие.

Вы можете полностью кастомизировать готовый дашборд, например: внешний вид или поисковые запросы, которые извлекают записи Вебмониторэкс из всех записей Splunk.

Тестирование интеграции¶

Тестирование интеграции позволяет проверить корректность настроек, соединение с Вычислительным кластером Вебмониторэкс и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.

Тестирование интеграции выполняется следующим образом:

В выбранную систему отправляются тестовые уведомления с префиксом [Тестовое сообщение].
Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.

Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.
В тестовых уведомлениях не используются реальные данные.

Пример уведомления в Splunk в формате JSON:

{
    summary:"[Тестовое сообщение] [Вебмониторэкс] Обнаружена новая уязвимость",
    description:"Тип события: vuln

                В вашей системе обнаружена новая уязвимость.

                ID: 
                Название: Test
                Домен: example.com
                Путь: 
                Метод: 
                Источник: 
                Параметры: 
                Тип: Info
                Уровень риска: Medium

                Подробнее: https://my.wallarm.ru/object/555


                Клиент: TestCompany
                Вычислительный кластер: RU
                ",
    details:{
        client_name:"TestCompany",
        cloud:"RU",
        notification_type:"vuln",
        vuln_link:"https://my.wallarm.ru/object/555",
        vuln:{
            domain:"example.com",
            id:null,
            method:null,
            parameter:null,
            path:null,
            title:"Test",
            discovered_by:null,
            threat:"Medium",
            type:"Info"
        }
    }
}

Редактирование интеграции¶

Чтобы обновить настройки интеграции:

Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.
Откройте интеграцию.
Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции¶

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.
Откройте активную интеграцию и нажмите Отключить.

Отключение интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции¶

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.
Откройте интеграцию и нажмите Удалить.
Подтвердите действие.

Удаление интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.