Configurar o Gerenciamento de Resposta para Enviar Eventos de Syslog para Splunk

Opções de download

  • PDF     (2.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de março de 2025
ID do documento:222868

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o recurso Secure Analytics Response Management para enviar eventos via syslog para terceiros, como Splunk.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Secure Network Analytics Response Management (Gerenciamento de Resposta de Análise de Rede Segura).
    • Syslog Splunk 

    Componentes Utilizados

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    • Implantação do Secure Network Analytics (SNA) que contenha pelo menos um dispositivo Manager e um dispositivo Flow Collector.
    • Servidor Splunk instalado e acessível por 443 portas.

    Configurar syslog em SNA sobre UDP 514 ou porta definida personalizada

    tip-icon

    Dica:Certifique-se de que UDP/514,TCP/6514 ou qualquer porta personalizada escolhida para o syslog seja permitida em qualquer firewall ou dispositivo intermediário entre SNA e Splunk.

    1.Gerenciamento de resposta SNA

    O componente Gerenciamento de Resposta do Secure Analytics (SA) pode ser usado para configurar Regras, Ações e Destinos de syslog.

    Essas opções devem ser configuradas para enviar/encaminhar alarmes do Secure Analytics para outros destinos. 

    Etapa1: Faça login no SA Manager e navegue para Configure > Detection Response Management.

         response management

    Passo 2: Na nova página, navegue até a guia Actions, localize o item de linha padrão Send to Syslog e clique nas reticências (...) na coluna Action e, em seguida, Edit.

         response management actions

    Passo 3: Insira o endereço de destino desejado no campo Syslog Server Address e a porta de recebimento de destino desejada no campo UDP Port. No Formato da mensagem, selecione CEF.
    Passo 4: Quando terminar, clique no botão azul Save no canto superior direito.

    tip-icon

    Tip: A porta UDP padrão para syslog é 514

         syslog configuration SNA

    2. Configuração do Splunk para Receber Syslogs SNA pela porta UDP

    Depois de aplicar suas alterações na interface do usuário da Web do Secure Network Analytics Manager , você deve configurar a entrada de dados no Splunk.

    Passo 1: Faça login no Splunk e navegue até Configurações > Adicionar dados > Entradas de dados.

         Splunk

    Passo 2: Localize a linha UDP e selecione +Add new.

         Splunk

    Passo 3: Na nova página, selecione UDP, insira a porta de recebimento como 514 no campo Port.
    Passo 4: No campo Sobreposição de nome de origem, insira desired name of source.

    Passo 5: Ao concluir, clique no botão verde Avançar > na parte superior da janela. 

         Splunk

    Passo 6: Na próxima página, alterne para a opção New e localize o campo Source Type e insira desired source .

    Passo 7: Selecione IP para o Método.

    Passo 8: Clique no botão verde Review > na parte superior da tela.

         Splunk

    Etapa 9: Na próxima janela, revise suas configurações e edite-as, se necessário.

    Etapa 10: Depois de validar, clique no botão verde Submit > na parte superior da janela.

        Splunk

    Etapa 11: Navegue até Apps > Search & Reporting na interface do usuário da Web. 

         Splunk

    Etapa 12: Na página Pesquisar, use o filtrosource="As_configured" sourcetype="As_configured"para localizar logs recebidos.

         Splunk

    note-icon

    Note: Para a origem, consulte a Etapa 4
             Para source_type, consulte a Etapa 6

    Configurar o syslog em SNA pela porta TCP 6514 ou pela porta definida personalizada

    1. Configuração do Splunk para Receber Logs de Auditoria SNA pela porta TCP

    Passo 1: Na interface de usuário do Splunk, navegue para Settings > Add Data > DATA Inputs.

         Splunk

    Passo 2: Localize a linha TCP e selecione + Adicionar novo.

         Splunk

    Passo 3: Na nova janela, selecione TCP, insira a porta de recebimento desejada, no exemplo de porta de imagem 6514, e insira "nome desejado" no campo Substituição do nome de origem.

    note-icon

    Note: TCP 6514 é a porta padrão para syslog sobre TLS

    Passo 4: Ao concluir, clique no botão verde Avançar > na parte superior da janela. 

         Splunk

    Passo 5: Na nova janela, selecione Novo na seção Tipo de origem, digite nome desejado no campo Tipo de origem.

    Passo 6: Selecione IP para o Método na seção Host.

    Passo 7: Ao concluir, selecione o botão verde Revisar > na parte superior da janela.


         Splunk

    Passo 8: Na próxima janela, revise suas configurações e edite-as, se necessário. Depois de validar, clique no botão verde Submit > na parte superior da janela.

         Splunk

    2. Gerar Certificado para Splunk

    Passo 1: Usando uma máquina com o openssl instalado, execute o comandosudo openssl req -x509 -newkey rsa:4096 -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN=10.106.127.4, substituindo o IP de exemplo de 10.106.127.4 pelo IP do dispositivo Splunk. Você é solicitado duas vezes a inserir uma frase secreta definida pelo usuário. Nos exemplos, os comandos estão sendo executados a partir da linha de comando da máquina de Splunk.

    user@examplehost: sudo openssl req -x509 -newkey rsa:4096 -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN=10.106.127.4
..+...+..+.+...+..+............+...............+.+.....+.+......+..+.+...........+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+.........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+......+..............+...+.+......+........+............................+..+...+....+...............+........+......+.+...+...+........+......+...+.+.....+...................+...........+......+.+.....+.........+....+.........+......+......+.....+.+........+............+.......+........+..........+........+....+..+....+......+.....+.............+.....+.......+........+......+.........+...+....+...+..+..........+.....+......+...+.........+.+.........+.....+......+.........+...............+............+....+.....+.+...+...+............+...............+.....+.+..............+.+.........+...+...+.........+.....+.+.....................+...+...........+.......+.....+...............+.........+....+......+...+...+.....+..........+..+................+.....................+.........+..+...+....+......+.................+...+.......+..+...............+......+.+.....+..........+.....+......+....+......+........+.......+....................+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
....+.......+..+...+...+.+......+...+.........+............+.....+....+..+...+....+...+...+.........+...+..+.......+........+............+.+.....+....+.........+..+.........+....+..+....+........+...+.......+...+...+..+...+.+...+..+....+.....+.......+........+......+.+..+......+....+......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.......+...+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.......+.+......+..............+.........+.....................+.......+.....+....+..............+.........+.......+...+.......................+....+...+..+.+.........+.........+......+...........+...+...............+.........+.+......+.........+.....................+.....+.........+.......+...............+........+.+....................+.+..+.+....................+.+...........+...+.+...+.....+.............+...+..+...+....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
user@examplehost:


    Quando o comando é concluído, dois arquivos são gerados. Os arquivos server_cert.pem e server_key.pem.

    user@examplehost: ll server*
-rw-r--r-- 1 root root 1814 Dec 20 19:02 server_cert.pem
-rw------- 1 root root 3414 Dec 20 19:02 server_key.pem
user@examplehost:

    Passo 2: Alternar para usuário raiz.

    user@examplehost:~$ sudo su
[sudo] password for examplehost:

    Passo 3: Copie o certificado recém-gerado para o /opt/splunk/etc/auth/ .

    user@examplehost:~# cat /home/examplehost/server_cert.pem > /opt/splunk/etc/auth/splunkweb.cer

    Etapa 4: anexe o arquivo spunkweb.cet com a chave privada.

    user@examplehost:~# cat /home/examplehost/server_key.pem >> /opt/splunk/etc/auth/splunkweb.cer

    Etapa 5: Alterar a propriedade do certificado de fragmento.

    user@examplehost:~# chown 10777:10777/opt/splunk/etc/auth/splunkweb.cer

    Etapa 6: Altere a permissão para o certificado de fragmento.

    user@examplehost:~# chmod 600/opt/splunk/etc/auth/splunkweb.cer

    Etapa 7: crie um novo arquivo input.conf.

    user@examplehost:~# vim /opt/splunk/etc/system/local/inputs

    Splunk

     Passo 8: Verifique os syslogs usando pesquisar. 

         Splunk

         Splunk

    3. Configurar o destino do log de auditoria em redes SNA 

    Passo 1: Faça login na interface do usuário do SMC e navegue para Configure > Central Management.

         Central Management

    Passo 2: Clique no ícone de reticências do dispositivo SNA desejado e selecione Editar configuração do dispositivo.

         Central Management

    Passo 3: Navegue até a guia Network Services e insira os detalhes de Audit Log Destination (Syslog over TLS). 

         SNA Syslog

    Passo 4: Navegue até a guia Geral, role para baixo até a parte inferior Clique em Adicionar novo para carregar o certificado Splunk criado anteriormente chamado server_cert.pem.

         SNA Trust Store

    Passo 5: Clique em Aplicar configurações.

         Apply Settings

    Troubleshooting

    Pode haver toda a confusão aparecendo na pesquisa.

         splunk

    Solução:

    Mapeie a entrada para o tipo de origem correto.

         Splunk

          splunk

          splunk

          splunk

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    20-Mar-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Ketan Bhatt
      TAC de segurança CX

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos