manuel d'installation et de mise à splunk enterprise ... · test d’assortiment de données...
TRANSCRIPT
Splunk® Enterprise Security 4.7.0
Manuel d'installation et de mise àniveau
Généré : 20/4/2017 09:40
Copyright (c) 2017 Splunk Inc. All Rights Reserved
33
448
11111316
17171822
262627
Table of ContentsIntroduction
À propos de Splunk Enterprise Security
PlanificationPlanification du déploiementPlanification des sources de données
InstallationInstallation d'Enterprise SecurityDéploiement des extensions incluses dans Splunk Enterprise SecurityImportation d'applications et d'extensions personnalisées dans SplunkEnterprise SecurityIntégration de Splunk Stream à Splunk Enterprise SecurityConfiguration et déploiement d'indexConfiguration d'utilisateurs et de rôlesConfiguration de modèles pour Splunk Enterprise Security
Mise à niveauPlanification d'une mise à niveau de Splunk Enterprise SecurityMise à niveau de Splunk Enterprise Security
Introduction
À propos de Splunk Enterprise Security
Splunk Enterprise Security utilise les capacités de recherche et de création de rapports de la plate-forme Splunkpour fournir aux opérateurs chargés de la sécurité une vue générale de l'état de la sécurité au sein del'organisation. Enterprise Security utilise des recherches de corrélation pour fournir une certaine visibilité auniveau des menaces relatives à la sécurité et générer des événements notables pour le suivi des menacesidentifiées. Vous pouvez capturer et surveiller des données issues de l’ensemble des appareils, systèmes etapplications de votre environnement, afin de produire des rapports.
Ce manuel est écrit pour un utilisateur capable de procéder à l'installation, à la configurations et à l'administrationdes logiciels Splunk. Si vous avez besoin de formation à la plate-forme Splunk et à Enterprise Security, consultezles Cours éducatifs pour les clients d'Enterprise Security.
Autres manuels pour Splunk Enterprise Security :
Notes de mise à jourUtilisation de Splunk Enterprise SecurityAdministration de Splunk Enterprise SecurityCas d'usageRéférence de l'API REST
3
Planification
Planification du déploiement
Déployez Splunk Enterprise Security sur une installation la plate-forme Splunk configurée. Examinez les exigencesdu système et du matériel ainsi que les considérations relatives aux search heads et aux indexeurs avant dedéployer Enterprise Security.
Architectures de déploiement disponibles
Vous pouvez déployer Splunk Enterprise Security sur une instance unique de déploiement ou sous la forme d'undéploiement de recherche distribuée. Splunk Enterprise Security est également disponible sur Splunk Cloud. Avantde déployer Splunk Enterprise Security localement, familiarisez-vous avec les composants d'un déploiement de laplate-forme Splunk. Consultez Composants d'un déploiement de Splunk Enterprise dans le Manuel de planificationdes capacités.
Déploiement d'une instance unique
Pour un déploiement simple et de petite taille, installez Splunk Enterprise Security sur une instance unique de laplate-forme Splunk. Une instance unique fonctionne à la fois comme une search head et comme un indexeur.Utilisez les forwarders pour collecter vos données et les envoyer à une instance unique pour le parsage, lestockage et la recherche.
Le déploiement à instance unique convient à la mise en place d’un environnement de laboratoire ou de test, oud’un petit système avec un ou deux utilisateurs exécutant simultanément des recherches.
Déploiements de recherche distribuée
On recommande de déployer et d’exécuter Splunk Enterprise Security sous la forme d’un déploiement de recherchedistribué.
Installez Splunk Enterprise Security sur un cluster de search heads ou une search head dédiée.Améliorez les performances de recherche en utilisant un cluster d'index et en distribuant la charge de travaildes données de recherche sur plusieurs nœuds. L'utilisation de plusieurs indexeurs permet de distribuer lesforwaders et la charge de travail de traitement des données sur les indexeurs.Utilisez les forwarders pour collecter vos données et les envoyer aux indexeurs.
Dans un déploiement de recherche distribuée, et pour mettre en œuvre le clustering de search heads, configurez lasearch head de manière à ce qu’elle transfère toutes les données aux indexeurs. Consultez Transfert des donnéesde search head à la couche d'indexeurs, dans le manuelRecherche distribuée.
Pour bien dimensionner le déploiement de votre recherche distribuée avec Splunk Enterprise Security, consultezPrésentation de la planification des capacités pour Splunk Enterprise dans le Manuel Planification des capacités etConsidérations sur le dimensionnement des indexeurs pour Splunk Enterprise Security.
Déploiement sur le cloud
Splunk Enterprise Security est disponible sous forme d'un service sur Splunk Cloud. L'architecture du déploiementde Splunk Cloud varie en fonction des données et de la charge de recherche. Les clients Splunk Cloud travaillentavec l’Assistance de Splunk pour configurer, gérer et maintenir leur infrastructure sur le cloud. Pour plusd'informations sur les déploiements gérés de Splunk Cloud, consultez les Types de déploiement Splunk Clouddans le Manuel de l'utilisateur de Splunk Cloud.
Configurations système requises pour Splunk Enterprise
Splunk Enterprise Security nécessite l'installation d'un système d'exploitation 64 bits sur tous les indexeurs etsearch heads. Pour la liste des systèmes d'exploitation, des navigateurs et des systèmes de fichiers compatibles,consultez Configuration système pour une utilisation de Splunk Enterprise dans les locaux dans le Manueld'installation de Splunk Enterprise.
Utilisez ce tableau pour déterminer la compatibilité des versions d'Enterprise Security 4.7.x et des versions de laplate-forme Splunk.
Version de Splunk Enterprise Security Version de la plate-forme Splunk
4.7.0 6.5.x ou une version ultérieure.
4
Configurations matérielles requises
Splunk Enterprise Security nécessite des spécifications matérielles minimales, que vous pouvez augmenter enfonction de vos besoins et de votre utilisation de Splunk Enterprise Security. Ces spécifications s'appliquentégalement au déploiement d'une instance unique de Splunk Enterprise Security.
Rôle de la machine CPU minimum Minimum de RAM
Search head 16 cœurs 32 Go
Indexeur 16 cœurs 32 Go
L'indexation est un processus d'E/S intense. Les indexeurs nécessitent suffisamment d'E/S disque pour ingérer etanalyser efficacement les données tout en répondant aux demandes de recherche. Pour les dernières exigences enIOPS pour exécuter Splunk Enterprise, consultez Matériel de référence : indexeur dans le Manuel Planification descapacités.
Selon votre environnement, il est possible que vous ayez besoin d'augmenter les spécifications matérielles de votredéploiement Enterprise Security au-delà de la configuration matérielle minimale. Selon votre configuration système,consultez les spécifications de moyenne gamme de haute performance pour le matériel de référence de la plate-forme Splunk. Consultez Spécifications de moyenne gamme et spécifications de hautes performances dans leManuel Planification des capacités.
Si le nombre de cœurs du CPU des indexeurs dans votre déploiement dépasse les spécifications matériellesminimales, vous pouvez mettre en œuvre l’un des paramètres de parallélisation afin d'améliorer les performancesdes indexeurs pour des cas d'usage spécifiques. Consultez Paramètres de parallélisation dans le ManuelPlanification des capacités.
Considérations relatives aux search heads de Splunk Enterprise Security
Installez Splunk Enterprise Security sur un cluster de search heads dédié ou une search head dédiée. Vous pouvezinstaller des applications ou des extensions compatibles avec le modèle d'information commun (MIC) sur la mêmesearch head que Splunk Enterprise Security. Par exemple, l'extension Splunk App pour la compatibilité PCI (pourSplunk Enterprise Security) ou Splunk pour Facebook ThreatExchange peuvent toutes deux être installées sur lamême search head que Splunk Enterprise Security.
Toutes les recherches en temps réel dans Splunk Enterprise Security utilisent le paramètre indexé en temps réelpour améliorer les performances d'indexation. Consultez À propos des recherches et des rapports en temps réeldans le Manuel de recherche. La désactivation du paramètre de recherche indexée en temps réel permet de réduirela capacité générale d'indexation de vos indexeurs. Pour connaître les implications des différents types derecherche en temps réel sur les performances, consultez Limitations connues des recherches en temps réel dans leManuel de recherche.
Splunk Enterprise Security nécessite le Magasin KV. Pour plus d'informations sur le Magasin KV, y compris lesconfigurations système requises, consultez À propos de l'app de stockage clé valeur dans le Manuel del'administrateur de Splunk Enterprise. Splunk Enterprise Security stocke certains fichiers de lookup dans leMagasin KV. Dans un environnement de clusters de search heads, la synchronisation de lookups volumineuses duMagasin KV entre les membres du cluster peut échouer et provoquer une péremption du Magasin KV. Afind'atténuer ce problème, vous pouvez augmenter la taille du log des opérations. Consultez Éviter les membrespérimés en augmentant la taille du log des opérations dans le Manuel de l'administrateur de Splunk Enterprise.
Splunk Enterprise Security ne prend pas en charge le pooling de search heads.
Splunk Enterprise Security et le clustering des search heads
Splunk Enterprise Security prend en charge l'installation uniquement sur des clusters de search heads basés surLinux. À ce stade, les clusters de search heads Windows ne sont pas pris en charge par Splunk Enterprise Security.
Les clusters de search heads augmentent la charge de travail sur les indexeurs. Ajoutez davantage d'indexeurs ouallouez davantage de cœurs de CPU aux indexeurs lors de la mise en œuvre d'un cluster de search heads.Consultez Configuration système requise et autres considérations sur le déploiement pour les clusters de searchheads dans le Manuel Recherche distribuée de Splunk Enterprise et architecture de clustering des search headsdans le Manuel Recherche distribuée.
Considérations sur le dimensionnement des search heads pour Splunk Enterprise Security
Facteur Augmenter cette spécification
5
Un grand nombre de recherches simultanéesAugmenter le nombre de cœurs du CPU Augmenter la RAM
Un plus grand nombre de recherches en temps réel est exécuté Un grand nombre d'utilisateurs se connecte en même temps
Augmenter le nombre de cœurs du CPU
Un grand nombre de recherches de corrélation activées Augmenter la RAM
Fichiers volumineux de lookup d'actifs et d'identités Augmenter la RAM
Considérations sur le dimensionnement des indexeurs pour Splunk Enterprise Security
Augmenter le nombre d'indexeurs dans votre déploiement afin de pallier l'augmentation de la charge de rechercheet du nombre de recherches simultanées. Comme une collection d'indexeurs peut servir plus d'une search head, lessearch heads supplémentaires utilisant les mêmes indexeurs que la search head hébergeant Enterprise Securitypeuvent avoir une incidence sur les performances totales de la couche des indexeurs et réduire les ressourcesdisponibles pour Enterprise Security.
La plate-forme Splunk utilise des indexeurs pour le dimensionnement horizontal. Le nombre d'indexeurs requisdans le déploiement d'Enterprise Security varie en fonction du volume de données, du type de données, desexigences de conservation, du type de recherche et de la simultanéité des recherches.
Utilisez Splunk Professional Services pour estimer l'architecture du déploiement si vous envisagez d'ingérer 1 téra-octet (1 To) de données par jour, ou davantage, dans Enterprise Security.
Résultats des tests de performance
Examinez les résultats de ces tests de performance afin d'estimer plus précisément les performances que vouspouvez attendre de votre infrastructure en fonction de l'assortiment de données de votre déploiement de la plate-forme Splunk et d'Enterprise Security.
Les deux facteurs importants dans le dimensionnement d'Enterprise Security sont la charge des recherches decorrélation et la charge de l'accélération des modèles de données en fonction du type de données et du volume desdonnées accélérées. Selon l'assortiment des données, le volume du dimensionnement peut s'étaler de 40 à 100 Gopar indexeur.
Les indexeurs utilisés pour ces tests de performance correspondent au matériel de référence, avec 32 Go de RAMet un CPU à 16 cœurs.
Basé sur un scénario typique avec un assortiment de données de modèles, ce test a montré que chaque indexeur aun taux d'ingestion quotidien de données de 100 Go avec une faible latence au niveau des accélérations desmodèles de données et de la réactivité de l'interface utilisateur.
Test d’assortiment de données de modèles
Type de données
Une sélection de sources de données avec divers taux ont été ingérées etaccélérées sur 4 modèles de données.
Web : 65 % de toutes les donnéesTrafic réseau : 25 % de toutes les donnéesAnalyse des modifications : 1 % de toutes les donnéesAuthentification : 1 % de toutes les données avec un pourcentagerestant non applicable à aucun modèle de données.
Charge de la recherche60 recherches de corrélation ont été activées. Aucune charge utilisateursupplémentaire n'a été ajoutée.
Résultat du dimensionnement :Volume des données
100 300 500 800 1000
Résultat du dimensionnement :Nombre d'indexeurs
1 3 5 8 10
Basé sur un scénario où les seules données dans Enterprise Security relevaient d'un seul modèle de données, cetest a montré que chaque indexeur présente un taux d'ingestion quotidien de 40 Go avec une faible latence auniveau de l'accélération du modèle de données et de la réactivité de l'interface utilisateur.
6
Scénario du test : utilisation maximale pour un modèle de données.
Type de donnéesIngère et accélère les données uniquement dans le modèle de donnéesdu trafic réseau.
Charge de la recherche60 recherches de corrélation ont été activées Aucune charge utilisateursupplémentaire n'a été ajoutée.
Résultat du dimensionnement :Volume des données
40 120 200 320 400
Résultat du dimensionnement :Nombre d'indexeurs
1 3 5 8 10
Prise en charge du clustering de l'indexeur
Splunk Enterprise Security prend en charge les architectures de cluster d'indexeurs monosites et multisites.Consultez Les bases de l'architecture de cluster d'indexeurs et de l'architecture de cluster multisite dans Gestiondes indexeurs et des clusters d'indexeurs.
Une architecture de cluster d'indexeurs monosite ou multisite peut avoir une search head ou un cluster de searchheads avec une instance d'Enterprise Security en cours d’exécution. Des search heads d'instance uniquesupplémentaires ne peuvent pas exécuter Enterprise Security.
Pour une architecture de cluster d'indexeurs multisite, Splunk émet les recommandations suivantes :
Activez la réplication de résumé. Consultez Résumés répliqués dans Gestion des indexeurs et des clustersd'indexeurs.Configurez la search head d'Enterprise Security sur site0 pour désactiver l'affinité de recherche. ConsultezDésactiver l'affinité de recherche dans Gestion des indexeurs et des clusters d'indexeurs.
Si vous utilisez le clustering d'indexeurs, la méthode à utiliser pour déployer les applications et les fichiers deconfiguration dans les peers d'indexeurs est différente. Consultez Gestion de configuration commune sur tous lespeers de clusters et Gestion du déploiement des applications surtout les peers de clusters dans Gestion desindexeurs et des clusters d'indexeurs.
Accélérations de modèles de données
Splunk Enterprise Security accélère les modèles de données pour produire les résultats visibles dans les tableauxde bord, les panneaux et les recherches de corrélation. L'accélération des modèles de données utilise lesindexeurs pour le traitement et le stockage en stockant les données accélérées dans chaque index.
Améliorez les performances de l'accélération des modèles de données en la limitant à des index spécifiques pourdes modèles de données particuliers. Consultez Configurations de l'extension Modèle commun d'informationSplunk pour plus d'informations sur la restriction des modèles de données à des index spécifiques.
Consultez Stockage et conservation de l'accélération des modèles de données pour calculer le stockagesupplémentaire de l'accélération des modèles de données.
Compatibilité de la réduction TSIDX de l'index
Une stratégie de conservation des fichiers TSIDX d'un index est disponible dans Splunk Enterprise 6.4.x. Pour plusd'informations, consultez Réduction de l'utilisation du disque tsidx dans le manuel Gestion des indexeurs et desclusters d'indexeurs de Splunk Enterprise. La configuration d'une stratégie de conservation pour les fichiers TSIDXn'a pas d'incidence sur la conservation des accélérations des modèles de données.
Certaines recherches fournies avec Enterprise Security ne fonctionnent pas sur les buckets avec des fichiersTSIDX réduits.
Nom du panneau/de la recherchePlage
temporellepar défaut
Autre approche
Panneau Audit des forwarders : Historique dunombre d’événements par hôte
-30 jDéfinissez la conservation TSIDX sur unevaleur supérieure à la plage temporelle.
Recherche enregistrée : Audit - Historique dunombre d’événements pour les hôtes du top10.
-30 jDéfinissez la conservation TSIDX sur unevaleur supérieure à la plage temporelle.
7
Recherche enregistrée : Audit - Événementspar jour - Génération de lookup
-1 jDéfinissez la conservation TSIDX sur unevaleur supérieure à la plage temporelle pardéfaut.
Recherche enregistrée : Terminal - Différencede temps de l'index 2 - Génération de lookup
-1 jDéfinissez la conservation TSIDX sur unevaleur supérieure à la plage temporelle pardéfaut.
Utilisation du serveur de déploiement avec Splunk Enterprise Security
Splunk Enterprise Security comprend des applications et des extensions. Si le serveur de déploiement gère cesapplications ou extensions, l’installation d’Enterprise Security n’aboutit pas.
Les extensions comprises dans Splunk Enterprise Security doivent être déployées à l'aide de l'outil Gestiondes configurations distribuées. Consultez Déploiement des extensions incluses dans Splunk EnterpriseSecurity dans ce manuel.Les autres applications et extensions installées dans votre environnement doivent être déployées avec leserveur de déploiement, le cas échéant. Consultez À propos de la gestion du serveur de déploiement et desforwarders dans Mise à jour des instances de Splunk Enterprise.
Si les extensions incluses dans le package Enterprise Security sont gérées par un serveur de déploiement,supprimez la configuration du client de déploiement avant d'installer Enterprise Security.
1. Supprimez le fichier deploymentclient.conf qui contient les références aux serveurs de déploiement.2. Redémarrez les services Splunk.
Matériel virtualisé
Si vous installez Splunk Enterprise Security dans un environnement virtualisé, vous avez besoin de la mêmeallocation de mémoire et de CPU que pour un environnement physique non virtualisé.
Réservez toutes les ressources du CPU et de la mémoire.Ne sur-souscrivez pas le matériel.Testez IOPS de stockage simultanément sur tous les nœuds d'indexeur de la plate-forme Splunk pour vousassurer que l'IOPS correspond aux spécifications de référence du matériel utilisé dans votre environnement.Consultez Matériel de référence dans le Manuel Planification des capacités.
Des performances de stockage insuffisantes sont souvent responsables d'une mauvaise réactivité des rechercheset d’expirations lors de l’extension de la plate-forme Splunk dans un environnement virtualisé.
Pour connaître les informations de configuration de VMware, consultez le mémoire technique : « Déploiement deSplunk dans des environnements virtuels : configurer les machines virtuelles VMware pour exécuter Splunk »,disponible dans les ressources de Splunk.
Console de surveillance
Si vous activez la Console de surveillance d'une search head d'Enterprise Security, elle doit rester en modeautonome. Pour plus d'informations sur la manière de configurer la Console de surveillance dans un environnementdistribué, consultez Quelle instance doit héberger la console ? dans Surveillance de Splunk Enterprise.
Compatibilité d'Enterprise Security avec d'autres applications
Enterprise Security repose sur la connaissance des recherches et le modèle d'information commun (MIC) fourni parles extensions. Les extensions sont responsables de la définition du traitement des événements, nécessaire pouroptimiser, normaliser et classer les données de sécurité pour une utilisation avec le MIC. Seules des applicationscompatibles MIC sont compatibles avec Splunk Enterprise Security. Les autres applications et extensions noncompatibles avec MIC peuvent comprendre des connaissances de données qui ne sont pas normalisées pour leMIC, ce qui empêche les recherches et les tableaux de bord reposant sur ces champs de fonctionner correctement.
Planification des sources de données
Le volume, le type et le nombre de sources de données influencent l'architecture générale de la plate-forme Splunk,le nombre et le placement des forwarders, la charge estimée et l'impact sur les ressources réseau.
Splunk Enterprise Security nécessite que toutes les sources de données soient conformes au modèle d'informationcommun de Splunk (MIC). Enterprise Security est conçu pour utiliser les modèles de données standardisés MIClors de la recherche de données pour renseigner des panneaux de tableaux de bord et des vues, et lors de lafourniture de données à des recherches de corrélation.
8
Mappage d'extensions sur des sources de données
Les extensions fournies avec Splunk Enterprise Security sont conçues pour analyser et classer des sources dedonnées connues et d'autres technologies pour la compatibilité avec MIC.
Pour chaque source de données :
1. Identifiez l'extension : Identifiez la technologie et déterminez l'extension correspondante. Les principalessources d'extension sont les sources propres à une technologie fournies avec Enterprise Security et lecontenu compatible avec MIC, disponible sur Splunkbase. Si l'extension que vous souhaitez utiliser n'est pasencore compatible avec MIC, modifiez- la pour qu’elle prenne en charge les schémas de données MIC. Pourun exemple, consultez Utilisation du MIC pour normaliser les données au moment de la recherche dans leManuel Extension du modèle d'information commun.
2. Installez l'extension : Installez l'extension sur la search head d'Enterprise Security. Installez des extensionsqui effectuent des traitements index-temps sur chaque indexeur. Si l'architecture du forwarder comprendl'envoi de données via un parsage ou un heavy forwarder, il est possible que l'extension soit nécessaire dansle heavy forwarder. Les clients Splunk Cloud doivent faire appel à l’Assistance de Splunk pour installer lesextensions sur les search heads et les indexeur, mais sont responsables des forwarders locaux.
3. Configurez le serveur, le périphérique ou la technologie au besoin : Activez les journaux ou la collecte dedonnées pour le périphérique ou l'application et/ou configurez la sortie pour qu’elle soit collectée par uneinstance de Splunk. Consultez la documentation du fournisseur pour connaître les étapes de mise en œuvre.
4. Au besoin, personnalisez l'extension : L'extension peut nécessiter différentes personnalisation : définition del’emplacement ou de la source des données, stockage des données dans un fichier ou une base de données,et autres paramètres spécifiques.
5. Configurez une entrée de données Splunk et confirmez les paramètres du type de source : Le fichierREADME de l'extension comprend des informations sur la configuration du type de source associée auxdonnées, et peut comprendre des notes de personnalisation relatives à la configuration de l'entrée.
Considérations pour les entrées de données
Les instances de la plate-forme Splunk offrent plusieurs types de configurations d’entrées pour l’integestion desdonnées. Selon la technologie ou la source collectée, choisissez la méthode d'entrée qui correspond le mieux auxexigences de l'infrastructure en fonction de l'impact sur les performances, de la facilité d'accès aux données, de lastabilité, de la réduction de la latence de la source et de la simplicité de maintenance.
Surveillance des fichiers : Déployez un forwarder Splunk sur chaque système hébergeant les fichiers, etdéfinissez le type de source sur le forwarder à l'aide d'une configuration d'entrée. Si vous avez un grandnombre de systèmes avec des fichiers identiques, utilisez le serveur de déploiement de Splunk Enterprisepour configurer des entrées de fichiers standardisés sur de grands groupes de forwarders.
Surveillance des ports réseau : Utilisez des outils standards tels qu'un serveur syslog ou créez des portsd'écoute sur un forwarder. L'envoi de plusieurs sources réseau sur le même port ou fichier complique ladéfinition du type de source. Pour plus d'informations, consultez la documentation de la plate-forme Splunk.
Pour Splunk Enterprise, consultez Obtention des données à partir des ports TCP et UDP dansSplunk Enterprise Incorporation des données.Pour Splunk Cloud, consultez Obtention des données à partir des ports TCP et UDP dans SplunkCloud Incorporation des données.
Suivi des données Windows : Un forwarder peut obtenir des informations à partir d'hôtes Windows grâce àplusieurs options de configuration. Pour plus d'informations, consultez la documentation de la plate-formeSplunk.
Pour Splunk Enterprise, consultez Comment incorporer des données Windows dans SplunkEnterprise dans Splunk Enterprise Incorporation des données.Pour Splunk Cloud, consultez Comment incorporer des données Windows dans SplunkEnterprise dans Splunk Cloud Incorporation des données.
Surveillance des données de transfert réseau : Splunk Stream prend en charge la capture en temps réeldes données de transfert. Consultez À propos de Splunk Stream dans le Manuel d'installation et deconfiguration de Splunk Stream.
Entrées scriptées : Utilisez des entrés scriptées pour incorporer des données à partir d'une API ou autresinterfaces de données distantes et files d'attente de messages. Configurer le forwarder pour appeler desscripts shell, des scripts python, des fichiers batch Windows, PowerShell ou d'autres utilitaires pouvantformater et diffuser les données que vous souhaitez indexer. Vous pouvez également écrire les donnéesgroupées par un script dans un fichier pour une surveillance directe par un forwarder. Pour plusd'informations, consultez la documentation de la plate-forme Splunk.
Pour Splunk Enterprise, consultez Obtention des données à partir d'API et autres interfaces de9
données distantes via des entrées scriptées dans Splunk Enterprise Incorporation des données.Pour Splunk Cloud, consultez Obtention des données à partir d'API et autres interfaces dedonnées distantes via des entrées scriptées dans Splunk Cloud Incorporation des données.
Collecte d'informations d'actifs et d'identités
Splunk Enterprise Security compare les données d'actifs et d'identités avec des événements de la plate-formeSplunk pour enrichir les données et apporter un contexte supplémentaire pour l'analyse. Collectez et ajoutez vosinformations d'actifs et d'identités dans Splunk Enterprise Security pour bénéficier de l'enrichissement des données.Consultez Ajout de données d'actifs et d'identités à Splunk Enterprise Security dans Administration de SplunkEnterprise Security.
10
Installation
Installation d'Enterprise Security
Installez Splunk Enterprise Security sur une search head locale. Les clients de Splunk Cloud doivent travailler avecl’Assistance de Splunk pour coordonner l'accès à la search head d'Enterprise Security.
Conditions requises pour l'installation
Examinez les exigences de la plate-forme Splunk pour Splunk Enterprise Security. Consultez la planificationdu déploiement.Si un serveur de déploiement gère des applications ou des extensions incluses dans Splunk EnterpriseSecurity, supprimez le fichier deploymentclient.conf qui contient des références au serveur de déploiement etredémarrez les services Splunk. Sinon, l'installation n'aboutira pas.
Étape 1. Téléchargement de Splunk Enterprise Security
1. Connectez-vous à splunk.com à l'aide de votre nom d'utilisateur et de votre mot de passe Splunk.com.2. Téléchargez la dernière version de Splunk Enterprise Security. Vous devez être un client sous licence
Enterprise Security pour télécharger le produit.3. Cliquez sur Télécharger et enregistrez le fichier de Splunk Enterprise Security sur votre bureau.4. Connectez-vous à la search head en tant qu'administrateur.
Étape 2. Installation de Splunk Enterprise Security
1. Sur la page de recherche de Splunk Enterprise, sélectionnez Applications > Gérer les apps et cliquez surInstaller l'app à partir du fichier.
2. Cliquez sur Choisir un fichier et sélectionnez le fichier de Splunk Enterprise Security.3. Cliquez sur Charger pour commencer l'installation.4. Cliquez sur Installer maintenant pour démarrer l'installation de Splunk Enterprise Security.
Étape 3. Installation de Splunk Enterprise Security
1. Cliquez sur Démarrer.2. La page Configuration post-installation de Splunk Enterprise Security indique l'état au fur et à mesure de
la progression des phases de l'installation.3. Choisissez d'exclure l'installation certaines extensions, ou bien installez-les puis désactivez-les. Lorsque
l'installation est terminée, la page vous invite à redémarrer les services de la plate-forme Splunk.4. Cliquez sur Redémarrer Splunk pour terminer l'installation.
Remarque : L'installation d'Enterprise Security active SSL sur la search head. Vous devez modifier l'URL Web deSplunk de manière à utiliser https pour accéder à la search head après l'installation d'ES.
Étape 4. Configuration d'Enterprise Security
Pour continuer la configuration de Splunk Enterprise Security, consultez les sections suivantes :
1. Déploiement des extensions incluses dans Splunk Enterprise Security2. Configuration et déploiement d'index3. Configuration d'utilisateurs et de rôles4. Configuration de modèles de données
Pour un aperçu des sources de données et des considérations relatives à la collecte pour Enterprise Security,reportez-vous à la planification des sources de données.
Installation de Splunk Enterprise Security à partir de la ligne de commande
Installez Splunk Enterprise Security à l'aide de l’interface en ligne de commande de Splunk. Consultez À propos dela CLI pour en savoir plus sur l’interface en ligne de commande du logiciel Splunk.
1. Suivez l'étape 1 : Téléchargez Splunk Enterprise Security pour télécharger Splunk Enterprise Security etplacez-le sur la search head.
2. Démarrez le processus d'installation sur la search head. Suivez l'étape 2 : Installez Splunk EnterpriseSecurity ou effectuez un appel REST pour démarrer l'installation à partir de la ligne de commande du serveur.Par exemple : curl -k -u admin:password https://localhost:8089/services/apps/local -d filename="true" -dname="<filename and directory>" -d update="true" -v
11
3. Sur la search head, utilisez la ligne de commande du logiciel Splunk pour exécuter la commande suivante : splunk search '| essinstall' -auth admin:password
Une fois l'installation terminée, consultez le journal de l'installation dans :$SPLUNK_HOME/var/log/splunk/essinstaller2.log.
Installation sur un cluster de search heads
Splunk Enterprise Security à des exigences et des processus spécifiques pour la mise en œuvre du clustering desearch heads.
Pour un aperçu du clustering de search heads, consultez Architecture du clustering de search heads dans leManuel Recherche distribuée.Pour une liste complète des exigences relatives au clustering de search heads, consultez Configurationssystème et autres considérations de déploiement pour les clusters de search heads dans le ManuelRecherche distribuée.
Utilisez une instance de transfert pour préparer Enterprise Security pour l'outil de déploiement. Si vous ne disposezpas d'une instance de transfert, vous pouvez utiliser une instance de test ou de QA Splunk Enterprise n'ayant pasd'autres applications installées. Une instance de transfert ne peut pas être connectée à des indexeurs de productionni à des peers de recherche. Utilisez une instance de transfert pour la configuration des modifications et des misesà niveau.
Pour installer Enterprise Security sur un cluster de search heads :
1. Préparez une instance de transfert.2. Installez Enterprise Security sur l'instance de transfert.3. Migrez l'installation d'Enterprise Security sur l'outil de déploiement. Copiez les applications, SAs, DAs et TAs
associées à Splunk Enterprise Security Suite depuis $SPLUNK_HOME/etc/apps sur l'instance de transfert vers$SPLUNK_HOME/etc/shcluster/apps sur l'outil de déploiement. Ne copiez pas la totalité du dossier car vous nedevez pas inclure des applications par défaut telles que l'application de recherche.
4. Utiliser l'outil de déploiement pour déployer Enterprise Security sur les membres du cluster.
Gestion des modifications de configuration dans un cluster de search heads
Certaines modifications de configuration système doivent être déployées à l'aide de l'outil de déploiement.
1. Au lieu d'effectuer les modifications sur un membre du cluster de search heads, effectuez-les sur une instancede transfert.
2. Testez les modifications de configuration sur l'instance de transfert.3. Migrez les fichiers nécessaires à l'outil de déploiement du cluster de search heads.4. Déployez la configuration mise à jour sur le cluster de search heads.
Modifications de configuration qui doivent être déployées à l'aide de l'outil de déploiement :
Modification de configuration Fichiermodifié
Activation ou désactivation des recherches indexées en temps réel sur la page Paramètresgénéraux.
inputs.conf
Modification du délai de synchronisation du disque indexé en temps réel sur la page Paramètresgénéraux.
inputs.conf
Envoi des événements notables à Splunk UBA sur la page Configuration UBA. outputs.conf
La plupart des modifications de configuration que vous effectuez dans un cluster de search heads sontautomatiquement répliquées sur les autres membres du cluster. Par exemple :
Ajout, modification et désactivation de sources de renseignements sur les menacesAjout, modification et désactivation de listes de sources d'actifs et d'identitésModifications de l'interface utilisateurModifications de recherches
Consultez Comment les modifications de configuration sont propagées sur le cluster de search heads dans leManuel Recherche distribuée.
Migration d'un déploiement existant
Vous ne pouvez pas ajouter une search head Enterprise Security ou un membre de groupe de search heads12
directement à un cluster de search heads. Pour migrer une search head ou un membre de groupe de search headssur un cluster, vous devez créer un nouveau cluster et y déployer la dernière version d'Enterprise Security.
Une fois qu’un cluster de search heads s’exécute dans Enterprise Security, vous devez manuellement examiner etmigrer les configurations personnalisées à partir d'une installation précédente d'Enterprise Security sur l'outil dedéploiement du nouveau cluster pour répliquer les modifications sur les membres du cluster.
Pour plus d'informations, consultez Migration d'une search head autonome vers un cluster de search heads dans leManuel Recherche distribuée de Splunk Enterprise.
Pour obtenir de l'aide au niveau de la planification d'une migration de déploiement de Splunk Enterprise Security,contactez les Services professionnels Splunk.
Déploiement des extensions incluses dans Splunk EnterpriseSecurity
Le package Splunk Enterprise Security comprend un ensemble d'extensions.
Les extensions dont le nom inclut « SA- » ou « DA- » constituent la structure de Splunk Enterprise Security.Vous n'avez aucune autre action supplémentaire à effectuer pour déployer ou configurer ces extensions, carleur installation et leur configuration sont gérées dans le cadre du processus d'installation de SplunkEnterprise Security. Ne désactivez pas les extensions qui forment la structure de Splunk Enterprise Security.Le nom des autres extensions se distingue par le préfixe « TA- » ; elles sont spécifiques à une technologie etfournissent des connaissances compatibles MIC nécessaires à l'incorporation de ces données source dansEnterprise Security.
Pour en savoir plus sur la manière dont les différents types d'extension interagissent avec Splunk EnterpriseSecurity, consultez À propos de l'architecture de la solution ES sur le portail des développeurs de Splunk.
L'approche du déploiement des extensions technologiques dépend de l'architecture de votre plate-forme Splunk.
Condition requise
Installez Splunk Enterprise Security sur votre search head ou cluster de search heads. Consultez Installationd'Enterprise Security. Lorsque vous installez Splunk Enterprise Security dans un environnement distribué, leprogramme d'installation installe et active les extensions fournies dans le package Enterprise Security sur la searchhead ou le cluster de search heads.
Étapes
1. Déterminez les extensions à installer sur les forwarders2. Déployez les extensions sur les forwarders3. Déploiement des extensions sur les indexeurs
Déterminez les extensions à installer sur les forwarders
Installez les extensions qui collectent les données sur les forwarders. Déterminez les extensions à installer sur lesforwarders et le type de configuration de forwarder que nécessite chaque extension en examinant la documentationde ces extensions.
La plupart des extensions comprennent des paramètres d'entrée pour une source de données spécifique. Examinezle inputs.conf inclus dans l’extension et déployez l'extension sur forwarder selon les besoins. Certaines extensionsdoivent être déployées sur des forwarders installés directement sur le système de la source des données. D’autresextensions nécessitent des heavy forwarders. Consultez la documentation ou le fichier README de chaqueextension pour des instructions spécifiques.
Dans le cas des extensions avec une documentation sur le Web, suivez les liens ci-dessous pour savoir oùles installer et comment les configurer.Pour les extensions ne disposant pas d'une documentation sur le Web, consultez le fichier LISEZMOI qui setrouve dans le dossier racine de l'extension.
Déployez les extensions sur les forwarders
Consultez Installer une extension sur un déploiement distribué de Splunk Enterprise dans la documentation desextensions de Splunk.
Extensions propres à une technologie fournie avec Enterprise Security
Splunk Enterprise Security comprend les extensions technologiques suivantes, utiles pour la sécurité et
13
compatibles MIC.
Extension Splunk pour Blue Coat ProxySGExtension Splunk pour Bro IDSExtension Splunk pour McAfeeExtension Splunk pour JuniperExtension Splunk pour Microsoft WindowsExtension Splunk pour TenableExtension Splunk pour NetFlowExtension Splunk pour Oracle DatabaseExtension Splunk pour OSSECExtension Splunk pour RSA SecurIDExtension Splunk pour SophosExtension Splunk pour FireSIGHTExtension Splunk pour Symantec Endpoint ProtectionExtension Splunk pour UBAExtension Splunk pour Unix et LinuxExtension Splunk pour Websense Content GatewayTA-airdefenseTA-alcatelTA-cefTA-fortinetTA-ftpTA-nmapTA-tippingpointTA-trendmicro
Déploiement des extensions sur les indexeurs
Splunk recommande d'installer des extensions prises en charge par Splunk sur la totalité du déploiement de laplate-forme Splunk, puis d'activer et de configurer les entrées uniquement là où elles sont requises. Pour plusd'informations, consultez Où installer les extensions de Splunk dans la documentation des extensions de Splunk.
La procédure que vous utilisez pour déployer les extensions sur votre indexeur peut dépendre du déploiement devotre plate-forme Splunk. Sélectionnez l'option qui correspond à votre situation ou à vos préférences.
Situation de déploiement Procédure
Splunk Enterprise Security fonctionne sur Splunk Cloud.
Contactez l’Assistance de Splunkpour lui demander d'installer lesextensions requises sur vosindexeurs.
Vous préférez déployer manuellement les extensions sur les indexeurs.Consultez Installer une extensionsur un déploiement distribué deSplunk Enterprise.
Vos indexeurs sont clusterisés, vous utilisez le cluster maître pourdéployer des extensions sur des peers de cluster sur l'installation de laplate-forme Splunk dans vos locaux, et le déploiement ne présente pasd'autre complexité.
Création manuelle deSplunk_TA_ForIndexers et gestionmanuelle du déploiement
Vos indexeurs ne sont pas clusterisés, vous utilisez le serveur dedéploiement pour gérer les paramètres des indexeurs sur l'installation dela plate-forme Splunk dans vos locaux, et il n'existe pas d'autre complexitéau niveau du déploiement.
Création et configurationautomatiques du déploiement deSplunk_TA_ForIndexers
Splunk Enterprise Security fonctionne sur un déploiement complexe, telqu'une search head d'Enterprise Security et une search head pour lesautres recherches, les deux utilisant le même groupe d'indexeurs.
Contactez Splunk ProfessionalServices pour obtenir de l'aide pourle déploiement des extensions survos indexeurs.
Création manuelle de Splunk_TA_ForIndexers et gestion manuelle du déploiement
Utilisez cette procédure uniquement si Splunk Enterprise Security fonctionne sur Splunk Enterprise plutôt queSplunk Cloud, si les indexeur sont clusterisés, et que le déploiement ne présente pas d'autre complexité. Si cela necorrespond pas à votre situation de déploiement, consultez Extensions dont le déploiement est requis sur desindexeurs pour sélectionner une méthode de déploiement différente.
14
Gestion des configurations distribuées collecte les configurations index-temps et les définitions d'index de basedans le package Splunk_TA_ForIndexers pour simplifier le déploiement des configurations d'extension sur desindexeurs sur site. Splunk_TA_ForIndexers inclut tous les paramètres indexes.conf et index-temps props.conf ettransforms.conf de toutes les applications et extensions activées sur la search head, les fusionne dans des fichiersindexes.conf, props.conf et transforms.conf uniques, et place les fichiers dans une extension prête à télécharger. Ilfonctionne de manière similaire à une sortie ./splunk cmd btool <conf_file_prefix> list.
Remarque : Cette procédure déploie toutes les extensions qui sont activées sur votre search head vers vosindexeurs. Si vous souhaitez limiter les extensions que vous déployez sur vos indexeurs uniquement aux sous-ensembles qui doivent strictement se trouver sur des indexeurs, sélectionnez Apps > Gérer les apps et désactiveztoutes les extensions qui ne sont pas nécessaires sur les indexeurs avant de commencer cette procédure, puisréactivez-les une fois celle-ci terminée.
Avant de déployer Splunk_TA_ForIndexers, assurez-vous que les extensions installées sur les indexeurs ne sontpas incluses dans le package Splunk_TA_ForIndexers package. Déployer deux fois la même extension peutprovoquer des conflits de configuration, en particulier si les extensions sont de versions différents.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Configurer > Général > Gestion desconfigurations distribuées.
2. Sélectionnez Télécharger le package pour créer et télécharger Splunk_TA_ForIndexers.3. Une fois que l'extension téléchargée, vous pouvez modifier le contenu du package.
Par exemple, modifiez indexes.conf pour le conformer aux paramètres de conservation du site et à d'autresoptions de stockage, ou supprimez le fichier si vous gérez et configurez des index dans une autre application.
4. Utilisez le cluster maître pour déployer Splunk_TA_ForIndexers ou des extensions sur des peers de cluster.Consultez Gestion de configuration commune sur tous les peers et Gestion du déploiement des applicationssurtout les peers dans Gestion des indexeurs et des clusters d'indexeurs.
Lorsque vous installez une nouvelle extension à utiliser avec Enterprise Security, répétez ces étapes pour créerune version mise à jour de Splunk_TA_ForIndexers.
Création et configuration automatiques du déploiement de Splunk_TA_ForIndexers
Utilisez cette procédure uniquement si Splunk Enterprise Security fonctionne sur Splunk Enterprise, si lesindexeurs ne sont pas clusterisés, et que le déploiement ne présente pas d'autre complexité. Si cela ne correspondpas à votre situation de déploiement, consultez Extensions dont le déploiement est requis sur des indexeurs poursélectionner une méthode de déploiement différente.
Gestion des configurations distribuées collecte les configurations index-temps et les définitions d'index de basedans le package Splunk_TA_ForIndexers pour simplifier le déploiement des configurations d'extension sur desindexeurs sur site. Lorsque vous sélectionnez l'option de déploiement automatique, Gestion des configurationsdistribuées inclut tous les paramètres d'index-temps props.conf et de transforms.conf de toutes les applicationsextensions activées sur la search head, les fusionne en des fichiers props.conf et transforms.conf uniques et placeles fichiers dans Splunk_TA_ForIndexers pour un déploiement automatique. Si vos configurations de conservationet de stockage d'indexeur sont les mêmes sur tous les indexeurs, vous pouvez choisir d'ajouter les configurationsindexes.conf au package.
Remarque : Cette procédure déploie toutes les extensions qui sont activées sur votre search head vers vosindexeurs. Si vous souhaitez limiter les extensions que vous déployez sur vos indexeurs uniquement aux sous-ensembles qui doivent strictement se trouver sur des indexeurs, sélectionnez Apps > Gérer les apps et désactiveztoutes les extensions qui ne sont pas nécessaires sur les indexeurs avant de commencer cette procédure, puisréactivez-les une fois celle-ci terminée.
Avant de déployer Splunk_TA_ForIndexers, assurez-vous que les extensions installées sur les indexeurs ne sontpas incluses dans le package Splunk_TA_ForIndexers package. Déployer deux fois la même extension peutprovoquer des conflits de configuration, en particulier si les extensions sont de versions différents.
1. Configurez la search head de Splunk Enterprise Security comme un client de déploiement du serveur dedéploiement. Consultez Configuration des clients de déploiement dans Mise à jour des instances de SplunkEnterprise.
2. Dans la barre de menu d'Enterprise Security, sélectionnez Configurer > Général > Gestion desconfigurations distribuées.
3. Pour Voulez-vous utiliser le déploiement automatique ?, sélectionnez Oui.4. Sélectionnez Ajouter un nouvel identifiant pour ajouter un compte d'administration Splunk à utiliser avec le
serveur de déploiement. Le compte administration doit avoir un rôle d'administrateur sur le serveur dedéploiement.
1. Saisissez l'Utilisateur et le Mot de passe du compte.2. Configurez l'Application sur SplunkEnterpriseSecuritySuite.3. Enregistrez l’identifiant du compte.
5. Cliquez sur Sélectionner des identifiants et sélectionnez l'identifiant que vous avez ajouté à l'étape quatre.
15
6. Sélectionnez les indexeurs qui peuvent recevoir l'extension Splunk_TA_ForIndexers.7. (optionnel) Ajoutez le nom des indexeurs supplémentaires en les saisissant dans le champ Sélectionner des
indexeurs Splunk.8. (optionnel) Cochez la case Pousser indexes.conf pour inclure les configurations indexes.conf dans le
package de l'extension Splunk_TA_ForIndexers. Comme les paramètres d'index peuvent nécessiter desconfigurations propres au stockage, indexes.conf n'est pas inclus par défaut dans le package. Si vous nedéployez pas indexes.conf avec Splunk_TA_ForIndexers, gérez manuellement les configurations d'index.
9. Cliquez sur Enregistrer pour créer l'extension Splunk_TA_ForIndexers.
Remarque : Si vous désactivez le déploiement automatisé de Splunk_TA_ForIndexers après avoir configuré ledéploiement automatique, l'extension Splunk_TA_ForIndexers demeure sur le serveur de déploiement. Supprimezmanuellement l'extension et la classe de serveur.
Importation d'applications et d'extensions personnalisées dansSplunk Enterprise Security
Vous pouvez étendre les fonctionnalités de Splunk Enterprise Security grâce à des applications et à desextensions. Téléchargez des applications et des extensions à partir de Splunkbase ou créez votre propre extensionà l'aide d'un outil tel que Splunk Add-on Builder. Les clients de Splunk Cloud doivent travailler avec l’Assistance deSplunk pour installer des extensions sur des search heads.
Utilisation de l'entrée modulaire Mise à jour d'ES
Splunk Enterprise Security intègre les configurations des applications et des extensions installées sur la mêmesearch head. L'entrée modulaire Mise à jour d'ES est responsable de l'importation de toutes les applications etextensions qui correspondent à un filtre regex. Le filtre est défini dans le chemin de l'applicationSplunkEnterpriseSecuritySuite/default/inputs.conf.
Entrée modulaire Fonction
app_imports_update://update_es Importe et met à jour les métadonnées des extensions de support.
app_imports_update://update_es_da Importe et met à jour les métadonnées des extensions de domaine.
app_imports_update://update_es_mainImporte et met à jour les métadonnées de laSplunkEnterpriseSecuritySuite.
Les importations sont transitives
Les importations d'application sont transitives. Cela signifie qu'une application (A) qui importe une autre application(B), importe également toutes les applications (C) importées par cette application.
1. Si l'application A importe B,2. et que l'application B importe C,3. alors A importe C.
Comme les extensions prises en charges s'importent mutuellement, il est possible que vous ne voyiez qu'une seuleextension de support avec un fichier mis à jour local.meta. Il s'agit de SA-AccessProtection, car il s'agit de la premièreextension prise en charge dans la liste des applications.
Affichage des importations d'applications
Utilisez la commande de recherche |rest pour afficher les importations d'applications. Vous devez disposer depermissions d'administrateur Splunk pour exécuter la commande. Par exemple, pour afficher les importations del'application SplunkEnterpriseSecuritySuite en étant authentifiée en tant qu'utilisateur administrateur :
| rest /servicesNS/admin/system/apps/local/SplunkEnterpriseSecuritySuite/import splunk_server=local | fields import
Convention de nommage de l'importation des applications et des extensions
Ces entrées modulaires importent automatiquement des applications et des extensions dont le préfixe est l'un dessuivants : DA-ESS-, SA-, TA-, Splunk_SA_, Splunk_TA_ et Splunk_DA-ESS_.
Importation d'extensions avec une convention de nommage différente
Si votre extension personnalisée n'utilise pas les conventions de nommage générales d'ES, vous devez ajouter le
16
nom ou une convention de nommage à l'entrée modulaire d'importation.
1. Dans la barre d'outils d'Enterprise Security, accédez à Configurer > Général et sélectionnez Mise à jourApp Imports.
2. Modifiez l'entrée update_es.3. Mettez à jour le champ Expression rationnelle désignant les applications en ajoutant la convention de
nommage de votre extension à la liste des conventions de nommage prises en charge à l'aide d'une regex.1. Par exemple, pour importer une nouvelle extension nommée My_datasource, renseignez le champ
Expression rationnelle désignant les applications comme suit : (appsbrowser)|(search)|([ST]A-.*)|(Splunk_[ST]A_.*)|(DA-ESS-.*)|(Splunk_DA-ESS_.*)|(My_datasource)
2. Lors de la modification du champ Expression rationnelle désignant les applications, procédeztoujours par ajout à la regex par défaut, faute de quoi les importations d'applications existanteséchoueront.
4. Enregistrez.5. Aperçu des modifications
|rest services/data/inputs/app_imports_update | table title app_regex app_exclude_regex updated
6. Redémarrez les services de Splunk Enterprise pour incorporer les modifications.
Suppression d'une extension de l'importation des applications
Excluez une extension du processus d'importation des applications.
1. Dans la barre d'outils d'Enterprise Security, accédez à Configurer > Général et sélectionnez Mise à jourApp Imports.
2. Modifiez l'entrée update_es.3. Mettez à jour le champ Expression rationnelle d’exclusion des applications en ajoutant la convention de
nommage de votre extension à la liste des conventions de nommage prises en charge à l'aide d'une regex.1. Par exemple, pour exclure une nouvelle extension nommée TA_new_test, renseignez le champ
Expression rationnelle d’exclusion des applications comme suit : |TA_new_test4. Enregistrez.5. Aperçu des modifications
|rest services/data/inputs/app_imports_update | table title app_regex app_exclude_regex updated
6. Redémarrez les services de Splunk Enterprise pour incorporer les modifications.
Intégration de Splunk Stream à Splunk Enterprise Security
Enterprise Security s'intègre à Splunk Stream pour capturer et analyser les données du trafic réseau. SplunkStream comprend une application (splunk_app_stream) à installer sur une search head et deux options de transfert.
1. installez Splunk App for Stream sur la search head d'Enterprise Security.Pour le déploiement de Splunk Enterprise, consultez Installation de Splunk Stream dans le Manueld'installation et de configuration de Splunk Stream.Pour le déploiement de Splunk Cloud, consultez Déploiement de Splunk Stream sur Splunk Cloud dansle Manuel d'installation et de configuration de Splunk Stream.
2. Activez le modèle de configuration de Splunk Enterprise Security sur le forwarder de Splunk Stream que vousutilisez. Vous pouvez utiliser l’extension Splunk pour Stream (Splunk_TA_stream) ou le forwarderindépendant de Stream. Consultez Utilisation des modèles de configuration de Stream.
Utilisation de Stream dans Enterprise Security
Après avoir configuré Splunk Stream, vous pouvez démarrer une tâche de capture Stream comme résultat d'unerecherche de corrélation. Consultez Démarrage d'une capture de flux avec Splunk Stream dans Administration deSplunk Enterprise Security. Vous pouvez également démarrer une tâche de capture de flux à partir d'un événementnotable dans le tableau de bord Examen des incidents. Consultez Démarrage d'une capture de flux dans Utilisationde Splunk Enterprise Security.
Vous pouvez afficher et analyser des événements de données Stream capturés dans Splunk Enterprise Securitydans les tableaux de bord Renseignement sur les protocoles. Consultez les tableaux de bord Renseignement surles protocoles dans Utilisation de Splunk Enterprise Security.
Configuration et déploiement d'index
Splunk Enterprise Security implémente des index personnalisés pour le stockage des événements. Les index sontdéfinis sur les applications fournies avec Splunk Enterprise Security.
17
Dans le déploiement d'une instance unique, l'installation d'Enterprise Security génère les index dans lechemin par défaut du stockage des données.Dans le cas d’un déploiement Splunk Cloud, les clients travaillent avec l’Assistance de Splunk pourconfigurer, gérer et maintenir leurs paramètres d'index du cloud. Consultez Gestion des index de SplunkCloud dans le Manuel des utilisateurs de Splunk Cloud.Dans un déploiement distribué, créez les index sur tous les indexeurs ou les peers de recherche de la plate-forme Splunk.
Configuration des index
Les index définis dans Splunk Enterprise Security ne fournissent pas les paramètres de configuration pour :
les chemins de stockage multiples,les modèles de données accélérés,la conservation des données,la taille des buckets,l'utilisation des paramètres de volume.
Pour des exemples détaillés de configuration d'index, consultez indexes.conf.example dans le Manuel del'administrateur de Splunk Enterprise.
Index par application
Contexte d'application Index Description
DA-ESS-ThreatIntelligence
ioc Non utilisé dans cette version.
threat_activityContient les événements qui résultent d'une correspondance dela liste des menaces.
SA-EndpointProtection endpoint_summary Index de résumés de protection du terminal.
SA-ThreatIntelligence
notable Contient les événements notables.
notable_summaryContient un résumé des statistiques des événements notablesutilisés dans certains tableaux de bord.
risk Contient les événements modificateurs de risque.
SA-NetworkProtection whois Index des données WHOIS.
Splunk_SA_CIMcim_summary Non utilisé dans cette version.
cim_modactions Contient les événements d'action de réponse adaptative.
Splunk_SA_ExtremeSearch xtreme_contexts Contient les contextes de la recherche extrême.
Les extensions peuvent comprendre des index personnalisés définis dans un fichier indexes.conf.
Déploiement des index
Splunk Enterprise Security comprend un outil pour rassembler les paramètres indexes.conf et index-tempsprops.conf et transforms.conf provenant de toutes les applications et les extensions activées sur la search head, afinde les assembler en une extension. Pour plus de détails, consultez Déploiement des extensions incluses dansSplunk Enterprise Security dans ce manuel.
Configuration d'utilisateurs et de rôles
Splunk Enterprise Security utilise le système de contrôle d'accès intégré à la plate-forme Splunk. L'autorisation dela plate-forme Splunk vous permet d’ajouter des utilisateurs, d’attribuer des utilisateurs à des rôles, et d’affecter cesrôles à des capacités personnalisées pour fournir à votre organisation un contrôle d'accès granulaire, basé sur lesrôles.
Configuration des rôles d'utilisateur
Splunk Enterprise Security ajoute trois rôles aux rôles par défaut fournis par la plate-forme Splunk. Les nouveauxrôles permettent à un administrateur Splunk d'affecter un accès à des fonctions spécifiques dans ES selon lesbesoins d'accès d'un utilisateur. L'administrateur de la plate-forme Splunk peut affecter des groupes d'utilisateurs
18
aux rôles les mieux adaptés aux tâches qu’ils seront amenés à effectuer et gérer dans Splunk Enterprise Security. Ilexiste trois catégories d'utilisateurs.
Utilisateur DescriptionRôle
SplunkES
Directeur dela sécurité
Cherche à comprendre la position de sécurité actuelle de l'organisation enanalysant essentiellement les tableaux de bord Position de sécurité, Centres deprotection et Audit. Un directeur de la sécurité n'a pas à configurer le produit ni àgérer les incidents.
ess_user
Analyste de lasécurité
Utilise les tableaux de bord Position de sécurité et Examen des incidents pourgérer les incidents de sécurité et procéder à des investigations. Les analystes dela sécurité ont également pour tâche d’examiner les centres de protection etd'apporter un éclairage sur ce qui constitue un incident de sécurité. Ils définissentégalement les seuils utilisés par les recherches de corrélation et les tableaux debord. Un analyste de la sécurité doit être en mesure de modifier des recherches decorrélation et de créer des suppressions.
ess_analyst
Administrateurde solution
Installe et maintient les installations de la plate-forme Splunk et les applications deSplunk. Cet utilisateur est responsable de la configuration des workflows, de l'ajoutde nouvelles sources de données et du réglage et du dépannage de l'application.
admin ousc_admin
Chaque rôle personnalisé de Splunk Enterprise Security hérite des rôles de la plate-forme Splunk et ajoute descapacités spécifiques à Splunk ES. Les trois rôles personnalisés de Splunk ES ne peuvent pas tous être affectés àdes utilisateurs.
RôleSplunk
ES
Hérite durôle de la
plate-formeSplunk
Capacités Splunk ES ajoutées Peuvent être affectées à des utilisateurs
ess_user user recherche en temps réelOui. Remplace le rôle user pour lesutilisateurs ES.
ess_analyst
user,ess_user,power
Hérite de ess_user et ajoute : créer,modifier et posséder des événementsnotables et effectuer toutes lestransitions
Oui. Remplace le rôle power pour lesutilisateurs ES.
ess_admin
user,ess_user,power,ess_analyst
Hérite de ess_analyst et ajoute :modifier des recherches de corrélationet modifier des états d'examen
Non. Vous devez utiliser le rôled'administrateur de la plate-forme Splunkpour administrer une installation EnterpriseSecurity.
Le rôle admin de la plate-forme Splunk hérite de toutes les capacités ES uniques. Dans un déploiement de SplunkCloud, le rôle d'administrateur de la plate-forme Splunk s'appelle sc_admin. Utilisez le rôle admin ou sc_admin pouradministrer une installation d'Enterprise Security.
Rôle de la plate-formeSplunk
Hérite du rôle Capacitésajoutées
Accepte des affectationsd'utilisateurs
adminuser, ess_user, power, ess_analyst,ess_admin
Tous Oui.
sc_adminuser, ess_user, power, ess_analyst,ess_admin
Tous Oui.
Héritage de rôle
Tous les héritages de rôle sont préconfigurés dans Enterprise Security. Si les capacités d'un rôle sont modifiées,les autres rôles qui en héritent bénéficient des modifications. Pour plus d'informations sur les rôles, consulter ladocumentation de la plate-forme Splunk.
Pour Splunk Enterprise, consultez Ajout et modification de rôles dans Sécurisation de Splunk Enterprise.Pour Splunk Cloud, consultez Gestion des rôles de Splunk Cloud dans le Manuel de l'utilisateur de Splunk
19
Cloud.
Ajout de capacités à un rôle
Les capacités permettent de contrôler le niveau d'accès des rôles aux diverses fonctionnalités de Splunk EnterpriseSecurity. Utilisez la page Permissions dans Enterprise Security pour examiner et modifier les capacités affectées àun rôle.
1. Dans la barre de menu de Splunk Enterprise Security, sélectionnez Configurer > Général > Permissions.2. Recherchez le rôle que vous souhaitez mettre à jour.3. Recherchez le Composant ES que vous souhaitez ajouter.4. Cochez la case du composant du rôle.5. Enregistrez.
Capacités propres à Splunk Enterprise Security.
Splunk Enterprise Security utilise des capacités personnalisées pour contrôler l'accès aux capacités propres àSplunk Enterprise Security.
Ajoutez des capacités sur la page des permissions dans Splunk Enterprise Security pour vous assurer que leslistes de contrôle d'accès appropriées (LCA) sont mises à jour. La page des permissions effectue pour vous lesmodifications dans les LCA. Si vous ajoutez ses capacités personnalisées à la page des paramètres de la plate-forme Splunk, vous devez vous-même mettre à jour les LCA.
Fonction dansES
Description Capacité
Créer denouveauxévénementsnotables
Créer des événements notables ad hoc à partir de résultatsde recherche. Consultez Création manuelle d'un événementnotable dans Splunk Enterprise Security
edit_tcp edit_notable_events
Modifier lesparamètres deplanificationdes recherchesavancées
Modifier la priorité et la fenêtre de planification desrecherches de corrélation dans Gestion du contenu.
edit_search_schedule_priority edit_search_schedule_window
Modifier lesrecherches decorrélation
Modifier les recherches de corrélation dans Gestion ducontenu. Consultez Configuration de recherches decorrélation dans Splunk Enterprise Security Les utilisateursdisposant de cette capacité peuvent également exporter ducontenu à partir de Gestion du contenu sous la forme d'uneapplication. Consultez Exportation du contenu sous la formed'une application à partir de Splunk Enterprise Security.
edit_correlationsearches schedule_search
Modifier lagestion desconfigurationsdistribuées
Utiliser la gestion des configurations distribuées. ConsultezDéploiement des extensions incluses dans SplunkEnterprise Security.
Modifier lanavigation d’ES
Effectuer des modifications dans la navigation d'EnterpriseSecurity. Consultez Personnalisation de la barre de menudans Splunk Enterprise Security.
edit_es_navigation
Modifier lesglass tables
Créer et modifier des glass tables. Consultez Création d'uneglass table.
edit_glasstable
Modifier laconfigurationdes lookupsd’identité
Gérer la configuration des lookups d'identité et restreindre lacorrélation des actifs et des identités. Consultez Ajout dedonnées d'actifs et d'identités à Splunk Enterprise Securityet Configuration de la corrélation des actifs et des identitésdans Splunk Enterprise Security.
edit_identitylookup
Modifierl’examen desincidents
Effectuer des modifications au niveau des paramètresd'Examen des incidents. Consultez Personnalisation desexamens des incidents dans Splunk Enterprise Security.
edit_log_review_settings
Modifier leslookups
Effectuer des modifications au niveau des fichiers de la tablede lookup. Consultez Création et gestion de lookups dans edit_lookups
20
lookupsSplunk Enterprise Security
Modification del'état desévénementsnotables
Effectuer des modifications au niveau des étatssélectionnables pour les événements notables. ConsultezGestion de l'état des événements notables.
edit_tcpedit_notable_eventstransition_reviewstatus-X to Y
Modifier dessuppressionsd’événementsnotables
Créer et modifier des suppressions d'événements notables.Consultez Création et gestion de suppressionsd'événements notables.
edit_suppressions
Modifier desévénementsnotables
Effectuer des modifications sur les événements notables, parexemple en les affectant. Consultez Événements notablesde triage dans Examen des incidents dans SplunkEnterprise Security.
edit_notable_eventsedit_tcp
Modifier desfiltres parpanneau
Créer et gérer des filtres par panneau pour les tableaux debord. Consultez Configuration du filtrage par panneau dansSplunk Enterprise Security.
edit_per_panel_filters
Modifier lesrenseignementssur lesmenaces
Modifier les renseignements sur les menaces existants.Consultez Modification des renseignements sur les menacespris en charge dans Splunk Enterprise Security.
edit_modinput_threatlist
Gérer lesconfigurations
Effectuer des modifications au niveau des paramètresgénéraux ou de la liste des lookup modifiables. ConsultezConfiguration des paramètres généraux de SplunkEnterprise Security.
edit_managed_configurations
Gérer toutes lesinvestigations
Autorise le rôle à visualiser et modifier toutes lesinvestigations. Consultez Gestion des investigations desécurité dans Splunk Enterprise Security.
manage_all_investigations
Posséder desévénementsnotables
Autorise le rôle à être le propriétaire d'événements notables.Consultez Attribution d'événements notables.
can_own_notable_events
Lookupsbasées sur unerecherche
Créer des tables de lookup qui peuvent être renseignées parune recherche. Consultez Création de lookups basées surune recherche dans Splunk Enterprise Security.
edit_managed_configurations schedule_search
Utiliser desinvestigations
Créer et modifier des investigations. Seuls les rôles ayantcette capacité peuvent effectuer des modifications sur lesinvestigations. Consultez Investigations dans SplunkEnterprise Security.
edit_timelines
Gérer lesidentifiants
Gérer les identifiants pour Splunk Enterprise Security etd'autres applications. Ne peut pas être configuré sur la pagePermissions. Consultez Gestion des identifiants d'entréedans Splunk Enterprise Security.
admin_all_objects
Ajustement des recherches simultanées pour un rôle
Par défaut, la plate-forme Splunk définit une limite quant au nombre de recherches exécutables simultanément pourles rôles user et power. Vous pouvez modifier le nombre de recherches simultanées pour certains rôles.
1. Dans la barre de menu de Splunk Enterprise Security, sélectionnez Configurer > Général > Paramètresgénéraux.
2. Examinez les limites des rôles et modifiez-les selon les besoins.
Élément Description
Quota de disque pour larecherche (admin)
Espace disque maximum (en Mo) qu’un utilisateur ayant le rôle d’administrateur peututiliser pour stocker les résultats des tâches de recherche.
Quota de tâches derecherche (admin)
Nombre maximum de recherches concurrentes pour les utilisateurs ayant le rôled’administrateur.
21
Quota de tâches derecherche (avancé)
Nombre maximum de recherches concurrentes pour les utilisateurs ayant le rôled'utilisateur avancé.
Pour modifier les limites des rôles autres que admin et power, modifiez le fichier authorize.conf pour mettre à jour lequota de recherche par défaut. Consultez authorize.conf.example dans le manuel Administrateur de SplunkEnterprise.
Configuration des rôles pour appliquer la recherche à plusieurs index
La plate-forme Splunk stocke les sources des données ingérées dans plusieurs index. La distribution des donnéessur plusieurs index vous permet d'utiliser un contrôle d'accès basé sur les rôles et de varier les stratégies deconservation des sources de données. La plate-forme Splunk configure tous les rôles de telle façon que leursrecherches s’effectuent uniquement dans l'index main par défaut. Pour plus d'informations sur l'utilisation des rôles,consultez la documentation de la plate-forme Splunk.
Pour Splunk Enterprise, consultez À propos de la configuration d'un accès utilisateur basé sur les rôles dansle manuel Sécurisation de Splunk Enterprise.Pour Splunk Cloud, consulter Gestion des Utilisateurs et des rôles de Splunk Cloud dans le Manuel del'utilisateur de Splunk Cloud.
Pour autoriser des rôles de Splunk Enterprise Security à effectuer des recherches sur des indexes supplémentaires,affectez les indexes qui contiennent les données de sécurité correspondantes aux rôles correspondants.
1. Sélectionnez Paramètres > Contrôle d'accès.2. Cliquez sur Rôles.3. Cliquez sur le nom du rôle que vous souhaitez autoriser à effectuer des recherches dans des index
supplémentaires.4. Sélectionner les Index recherchés par défaut et Index dans lesquels ce rôle peut effectuer des recherches.
N'incluez pas les index de résumé, car cela pourrait provoquer une boucle d'index de recherche et de résumé.5. Enregistrez vos modifications.6. Au besoin, répétez l'opération pour des rôles supplémentaires.
Si vous ne devez pas mettre à jour les rôles avec les index corrects, les recherches et les autres objets deconnaissances qui reposent sur des données provenant d'index non affectés ne mettront pas à jour les résultats etne les afficheront pas.
Pour plus d'informations sur les raisons des index multiples, consultez Pourquoi avoir plusieurs index ? dansGestion des indexeurs et des clusters d'indexeurs de Splunk Enterprise.
Configuration de modèles pour Splunk Enterprise Security
Splunk Enterprise Security utilise des modèles de données accélérés pour renseigner les tableaux de bord et lesvues et offrir des résultats de recherche de corrélation. Les modèles de données sont définis et fournis dansl'extension Modèle d'information commun (Splunk_SA_CIM), incluse dans l'installation de Splunk EnterpriseSecurity. Enterprise Security installe également des modèles uniques de données qui s'appliquent uniquement aucontenu de Splunk Enterprise Security.
Charge de la recherche d'accélération des modèles de données
Un modèle de données est accéléré par l'intermédiaire d'un processus planifié de recherche résumée initié dans lasearch head. La recherche résumée s'effectue sur des indexeurs et recherche de nouvelles données indexées touten utilisant le modèle de données comme un filtre. Les résultats sont enregistrés sur disque avec le bucket desindex pour un accès rapide.
Sur la plate-forme Splunk 6.3 et les versions ultérieures, il est possible d'exécuter jusqu'à deux recherchesrésumées simultanées par modèle de données et par indexeur. Pour plus d'informations, consultez Résumésparallèles dans le Manuel de planification des capacités de Splunk Enterprise. Pour régler les paramètres derésumé parallèle dans Splunk Cloud, remplissez un ticket d'assistance.
Recherches de modèles de données de contrainte pour des index spécifiques
L'extension Informations communes Splunk vous permet de forcer les indexes recherchés par un modèle dedonnées pour des performances améliorées. Consultez Configuration de l'extension Modèle d'informationscommun Splunk dans le manuel Utilisateur de l'extension Modèle d'information commun Splunk.
Configuration de l'accélération des modèles de données pour des modèles de donnéesMIC
22
L'extension Informations communes Splunk vous permet d'ajuster les paramètres d'accélération de votre modèle dedonnées pour chaque modèle de données, notamment le temps de renseignement, le nombre maximum derecherches simultanées, les reconstructions manuelles et la priorité de planification. Si vous utilisez la plate-formeSplunk version 6.6.0, configurez le paramètre de la liste blanche des libellés pour inclure tous les libelléspersonnalisés que vous utilisez avec des modèles de données MIC. Consultez Accélération des modèles dedonnées MIC dans le manuel Utilisateur de l'extension Modèle d'information commun Splunk.
Stockage et conservation de l'accélération des modèles de données
L'accélération des modèles de données utilise les indexeurs pour le traitement et le stockage en plaçant lesdonnées accélérées avec chaque index. Pour calculer le stockage supplémentaire nécessaire dans les indexeursen fonction du volume total des données, utilisez la formule :
Stockage du modèle de données accéléré/année = volume des données par jour * 3,4
Cette formule suppose que vous utilisez les taux de conservation recommandés pour les modèles de donnéesaccélérés.
Par exemple, si vous traitez 100 Go/jour de volume de données pour une utilisation avec Enterprise Security, vousaurez besoin d'environ 340 Go d'espace disponible sur la totalité des indexeurs pour la conservation d'une annéed'accélération de modèles de données et de données sources.
Configuration des volumes de stockage
Les volumes de stockage des accélérations des modèles de données sont gérés dans indexes.conf à l'aide duparamètre tstatsHomePath . Le chemin de stockage de l'accélération des modèles de données est par défaut$SPLUNK_HOME/var/lib/splunk, sauf configuration contraire explicitement indiquée. Le stockage utilisé pourl'accélération des modèles de données n'est pas ajouté aux calculs de taille de l'index pour les tâches demaintenance, telles que les vérifications de roulement des buckets et de l'espace libre.
Pour gérer indépendamment le stockage de l'accélération des modèles de données des paramètres d'index, vousdevez définir un nouveau chemin de stockage à l'aide de la section [volume:]. Pour un exemple de définition d'unvolume et de stockage d'accélérations de modèles de données, consultez la documentation de la plate-formeSplunk.
Pour Splunk Enterprise, consultez Configurations de la conservation de résumés de modèles de données enfonction de la taille dans le Manuel du gestionnaire de connaissances de Splunk Enterprise.Pour Splunk Cloud, consultez Configurations de la conservation de résumés de modèles de données enfonction de la taille dans le Manuel du gestionnaire de connaissances de Splunk Cloud.
Conservation par défaut des modèles de données
Les paramètres de conservation des modèles de données dépendent des cas d'usage et des sources de données.Une conservation plus brève utilise moins d'espace disque et nécessite moins de temps de traitement pourl'entretien mais limite la plage horaire des données accélérées.
Modèle de données Plage de résumé
Alertes Tout le temps
État de l’application 1 mois
Actifs et identités (ES) Aucun(e)
Authentification 1 an
Certificats 1 an
Analyse des modifications 1 an
Bases de données Aucun(e)
Prévention de la perte des données 1 an
Analyse des domaines (ES) 1 an
E-mail 1 an
Gestion des incidents (ES) Tout le temps
Messagerie interprocessus 1 an
23
Détection des intrusions 1 an
Inventaire Aucun(e)
Machines virtuelles Java Tout le temps
Malware 1 an
Résolution réseau (DNS) 3 mois
Sessions réseau 3 mois
Trafic réseau 3 mois
Performances 1 mois
Analyse des risques (ES) Tout le temps
Journaux d'audit de Splunk 1 an
Renseignements sur les menaces (ES) Tout le temps
Gestion des tickets 1 an
Mises à jour 1 an
Analyse du comportement des utilisateurs et des entités (ES) Tout le temps
Vulnérabilités 1 an
Web 3 mois
Utilisez la page Configuration MIC dans l'application modèles d'information commun Splunk pour modifier leparamètre de rétention des modèles de données MIC. Pour plus d'informations, consultez Modification de la plagede résumé pour les accélérations de modèles de données dans le manuel Utilisateur de l'extension Modèlesd'information commun Splunk. Pour modifier la plage de résumé ou d'autres paramètres dans un modèle dedonnées personnalisé, modifiez manuellement la datamodels.conf fournie avec l'application ou l'extension.
Pour savoir comment modifier ces paramètres dans Splunk Enterprise, consultez le fichier de spécificationsde datamodels.conf dans le Manuel de l'administrateur de Splunk Enterprise.Si vous utilisez Splunk Cloud, créez une demande auprès du service d'assistance pour ajuster cesparamètres.
Comportement de la reconstruction de l'accélération des modèles de données
Dans la plate-forme Splunk, en cas de modification de la configuration de la structure du modèle de donnéeschange ou de la recherche sous-jacente qui crée le modèle de données change, une reconstruction complète del'accélération du modèle de données est lancée. Enterprise Security modifie le comportement par défaut enappliquant les modifications de la configuration du modèle de données uniquement aux dernières accélérations etévite la suppression des accélérations précédentes. Les indexeurs conservent tous les modèles de donnéesaccélérés avec la configuration précédente jusqu'à ce que la période de conservation définie soit atteinte ou qu'elleait subit un roulement avec les buckets d'index. Pour de meilleures performances, ne modifiez pas le paramètre desreconstruction manuelle pour des modèles de données utilisés par Splunk Enterprise Security.
Les options de configuration de la reconstruction sont gérées dans le fichier datamodels.conf.
Pour plus d'informations sur l'accélération et le comportement de la reconstruction, consultez la documentation dela plate-forme Splunk.
Pour Splunk Enterprise, consultez Configurations avancées pour des modèles de données accélérés demanière persistante dans le Manuel du gestionnaire de connaissances de Splunk Enterprise.Pour Splunk Cloud, consultez Configurations avancées pour des modèles de données accélérés de manièrepersistante dans le Manuel du gestionnaire de connaissances de Splunk Cloud.
Utilisez la page Gestion des modèles de données pour forcer une reconstruction complète. Accédez àParamètres > Modèles de données, sélectionnez un modèle de données, utilisez la flèche gauche pourdévelopper la ligne et sélectionnez le lien Reconstruire.
Pour examiner l'état des accélérations de tous les modèles de données, utilisez le tableau de bord Audit desmodèles de données.
24
Application de l'accélération des modèles de données
Enterprise Security applique l'accélération des modèles de données par l'intermédiaire d'une entrée modulaire.Pour désactiver l'accélération d'un modèle de données dans ES :
1. Dans la barre d'outils de Splunk Enterprise, ouvrez Paramètres > Entrées de données et sélectionnezParamètres de l'application de l'accélération des modèles de données.
2. Sélectionnez un modèle de données.3. Décochez l'option Accélération appliquée.4. Enregistrez.
Modèles de données utilisés par Splunk Enterprise Security
Pour des informations de référence sur les modèles de données utilisés par Splunk Enterprise Security, consultezModèles de données utilisés par ES dans le portail des développeurs de Splunk.
25
Mise à niveau
Planification d'une mise à niveau de Splunk Enterprise Security
Planifiez une mise à niveau de Splunk Enterprise Security sur site. Les clients de Splunk Cloud doivent travailler enconcertation avec l’Assistance de Splunk pour coordonner les mises à niveau vers Enterprise Security.
Cette version de Splunk Enterprise Security prend en charge la mise à niveau à partir de la version 4.0 ou d'uneversion ultérieure. Pour effectuer la mise à niveau à partir de versions antérieures, effectuez les mises à niveauintermédiaires.
Pour effectuer la mise à niveau de Splunk Enterprise en même temps qu'Enterprise Security, utilisez un chemin demise à niveau pris en charge. En commençant avec la plate-forme Splunk version 6.5.x et Enterprise Security 4.x :
1. Procédez à la mise à niveau de Splunk Enterprise Security vers la version 4.7.0.2. Procédez à la mise à niveau de la plate-forme vers la version 6.6.0.
En commençant avec la plate-forme Splunk version 6.4.x et Enterprise Security 4.x :
1. Procédez à la mise à niveau de la plate-forme vers la version 6.5.x.2. Procédez à la mise à niveau de Splunk Enterprise Security vers la version 4.7.0.3. Procédez à la mise à niveau de la plate-forme vers la version 6.6.0.
Avant la mise à niveau de Splunk Enterprise Security
1. Examinez les versions compatibles de la plate-forme Splunk. Consultez les configurations requises pourSplunk Enterprise.
2. Examinez les exigences matérielles pour vous assurer que le matériel de votre serveur prend en chargeSplunk Enterprise Security. Consultez Exigences matérielles.
3. Consultez les problèmes connus grâce à la dernière version de Splunk Enterprise Security. ConsultezProblèmes connus dans Notes de version de Splunk Enterprise Security.
4. Consultez les fonctionnalités obsolètes dans la dernière version de Splunk Enterprise Security. Consultez lesFonctionnalités obsolètes dans Notes de version de Splunk Enterprise Security.
5. Sauvegardez la search head, y compris le Magasin KV. Le processus de mise à niveau ne sauvegarde paspréalablement l'installation existante. Consultez Sauvegarde du Magasin KV pour les instructions permettantde sauvegarder le Magasin KV sur la search head.
Recommandations pour la mise à niveau de Splunk Enterprise Security
Si vous souhaitez mettre à niveau la plate-forme Splunk vers une version avec laquelle votre version actuelle deSplunk Enterprise Security n'est pas compatible, mettez à niveau la plate-forme Splunk et Splunk EnterpriseSecurity dans la même fenêtre de maintenance.
Si vous ne pouvez pas mettre à niveau la plate-forme et Splunk Enterprise Security, revoyez les versionscompatibles de Splunk Enterprise et de Splunk Enterprise Security pour déterminer un chemin de mise à niveau.
1. (optionnel) Si nécessaire, mettez à niveau Splunk Enterprise vers une version compatible. Consultez Mise àniveau de votre environnement distribué Splunk Enterprise dans le Manuel d'installation de SplunkEnterprise.
2. Mettez à niveau les instances de la plate-forme Splunk.3. Mettez à niveau Splunk Enterprise Security.4. Examinez, mettez à niveau et déployez les extensions.
La mise à niveau de Enterprise Security sur un cluster de search head cluster est un processus en plusieurs étapes.La procédure recommandée est détaillée dans Mise à niveau d'Enterprise Security sur un cluster de search head.
Notes propres à la mise à niveau
La mise à niveau échouera si le serveur de déploiement gère des applications ou des extensions inclusesdans le package Enterprise Security. Avant de démarrer la mise à niveau, supprimez le fichierdeploymentclient.conf qui contient les références au serveur de déploiement et redémarrez les servicesSplunk.La mise à niveau hérite de toutes les modifications de configuration et des fichiers enregistrés dans leschemins des applications /local et /lookups.La mise à niveau préserve les modifications locales dans la navigation du menu.Après la mise à niveau, les modifications de configuration héritée via le processus de mise à niveau peuvent
26
avoir une incidence sur les nouveaux paramètres ou les remplacer. Utilisez le tableau de bord Statut de laconfiguration ES pour examiner les paramètres de configuration qui pourraient être en conflit avec lesnouvelles configurations. Consultez Statut de la configuration ES dans le Manuel de l'utilisateur.Le processus de mise à niveau est connecté $SPLUNK_HOME/var/log/splunk/essinstaller2.log
Notes de mise à niveau pour les extensions incluses dans Splunk Enterprise Security :
Le processus de mise à niveau remplace toutes les versions précédentes ou existantes des applications etdes extensions.La mise à niveau ne remplace pas une nouvelle version d'une application ou d'une extension installée dansvotre environnement.Une application ou une extension qui a été désactivée dans la version précédente demeure désactivée aprèsla mise à niveau.La mise à niveau désactive les applications et les extensions obsolètes. Les applications et extensionsobsolètes doivent être supprimées manuellement de l'installation d'Enterprise Security. Après la mise àniveau, une alerte s'affiche dans Messages pour identifier tous les éléments obsolètes.
Modifications apportées aux extensions
Pour une liste des extensions incluses dans cette version d'Enterprise Security, consultez Extensions propre à latechnologie fournie avec Enterprise Security.
Mise à niveau des extensions distribuées
Splunk Enterprise Security comprend les dernières versions des extensions incluses qui existaient lorsque cetteversion a été distribuée.
Une copie des dernières extensions est incluse dans Splunk Enterprise Security. Lors de la mise à niveaud'Enterprise Security, examinez toutes les extensions et déployez les extensions mises à jour pour les indexeurs etles forwarders selon les besoins. Le processus d'installation d'Enterprise Security ne met pas automatiquement àun niveau ni ne migre des configurations déployées pour des indexeurs ou des forwarders. Consultez Déploiementdes extensions incluses dans Splunk Enterprise Security.
Vous devez migrer manuellement toutes les personnalisations effectuées au niveau des précédentes versionsd'une extension.
Mise à niveau de Splunk Enterprise Security
Cette rubrique explique comment mettre à niveau Splunk Enterprise Security sur une search head sur site à partirde la version 4.0 ou d'une version ultérieure vers la dernière version. Les clients de Splunk Cloud doivent travailleravec l’Assistance de Splunk pour coordonner les mises à niveau vers Enterprise Security.
Étape 1. Analyse de la rubrique de planification
1. Pour un aperçu du processus de mise à niveau et des exigences, consultez Planification et mise à niveaudans ce manuel.
2. Effectuez une sauvegarde complète de la search head avant la mise à niveau.
Pour revenir en arrière à partir de la mise à niveau, vous devez restaurer la version précédente de SplunkEnterprise Security à partir de la sauvegarde.
Étape 2. Téléchargement de Splunk Enterprise Security
1. Ouvrez splunk.com et connectez-vous avec votre ID Splunk.com. Vous devez être un client sous licenceEnterprise Security pour télécharger le produit.
2. Téléchargez la dernière version de Splunk Enterprise Security.3. Choisissez Télécharger et enregistrez le fichier de Splunk Enterprise Security sur votre bureau.4. Connectez-vous à la search head d'Enterprise Security en tant qu'administrateur.
Étape 3. Installez la dernière version de Splunk Enterprise Security
1. Sur la page de recherche de Splunk Enterprise, sélectionnez Applications > Gérer les apps et choisissezInstaller l'app à partir du fichier.
2. Cliquez sur Mettre à niveau l'app pour lancer la mise à niveau.3. Cliquez sur Choisir un fichier et sélectionnez le fichier de Splunk Enterprise Security.4. Cliquez sur Charger pour commencer l'installation.5. Cliquez sur Installer maintenant pour démarrer l'installation d'ES.
27
Si vous n'exécutez par rapidement la procédure d'installation après la fin du chargement du fichier, EnterpriseSecurity affiche des erreurs.
Étape 4. Installation de Splunk Enterprise Security
1. Cliquez sur Démarrer.2. La page Configuration post-installation de Splunk Enterprise Security indique l'état de la mise à niveau
au fur et à mesure de la progression des phases de l'installation.3. Choisissez d'exclure l'installation des extensions sélectionnées ou installez-les et désactivez-les.
Lorsque l'installation est terminée, la page vous invite à redémarrer les services de la plate-forme Splunk.4. Cliquez sur Redémarrer Splunk pour terminer l'installation.
Étape 5. Validation de la mise à niveau
Le processus de mise à niveau de Splunk Enterprise Security est désormais terminé. Les objets désactivéspendant le processus de mise à niveau sont automatiquement activés.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Audit > Statut de la configuration ES.2. Examinez les conflits potentiels et les modifications apportées aux paramètres par défaut. Consultez Statut de
la configuration ES dans le Manuel de l'utilisateur.3. Videz le cache du navigateur que vous utilisez pour accéder à Splunk Web pour vous assurer d'accéder à
une version fraîche de Splunk Web après la mise à niveau. Si vous ne videz pas le cache, certaines pagespourraient ne pas se charger.
Splunk se connecte à la mise à niveau $SPLUNKHOME$/var/log/splunk/essinstaller2.log
Remarques concernant la mise à niveau vers des versions spécifiques
Après avoir effectué la mise à niveau d'Enterprise Security à partir d'une version antérieure à 4.1.x vers une versionpostérieure à 4.1.x, l'éditeur de recherche de corrélation peut afficher des configurations incohérentes avec lesparamètres antérieurs à la mise à niveau si le processus de migration de recherche est encore en cours.Recherchez l'index interne pour trouver les recherches migrées avec succès et examinez l'état de la migration.
index=_internal sourcetype=configuration_check file="confcheck_es_modactions*" migrated
Après avoir effectué la mise à niveau d'Enterprise Security à partir d'une version antérieure à 4.1.x vers une versionpostérieure à 4.1.x, les recherches de corrélations activées qui ne sont pas configurées pour créer des événementsnotables reviennent à la création d'événements notables. Par exemple, une recherche de corrélation qui, par défaut,a créé un événement notable et un modificateur de risque que vous avez configuré pour créer uniquement unmodificateur de risque vont, après la mise à niveau, créer à la fois un modificateur de risque et un événementnotable.
1. Avant la mise à niveau, notez les recherches de corrélations activées qui ne créent pas d'événementsnotables à l'aide la recherche suivante.
| rest splunk_server=local count=0 /services/saved/searches search="name=\"*-Rule\"" | where disabled=0 AND
action.summary_index=0 | table 'eai:acl.app',title
2. Une fois la mise à niveau terminée, procédez à la mise à jour des recherches de corrélation concernées afinque les recherches ne créent plus d'événements notables.
Mise à niveau d'Enterprise Security sur un cluster de search heads
Mettez à niveau une installation de clusters de search heads de Splunk Enterprise Security. Examinez toutes lesprocédures et l'ordre des opérations avant la mise à niveau.
Conditions requises
Mettez à niveau Splunk Enterprise sur toutes les instances de search heads selon les besoins. Pour plusd'informations sur la mise à niveau des instances de la plate-forme Splunk qui comprennent un cluster de searchheads, consultez Mise à niveau d'un cluster de search head dans le Manuel Recherche distribuée de SplunkEnterprise.
Préparation d'une instance de transfert
Utilisez une instance de transfert pour comparer la copie d'Enterprise Security sur l'outil de déploiement avec ladernière version. Si votre environnement dispose d'une instance propre de test ou de QA our l'ES, pouvez utilisercette instance pour le transfert de la mise à niveau si aucune autre application n'est installée.
28
1. Préparez une instance unique de Splunk Enterprise à utiliser pour le transfert d'une mise à niveau. Cetteinstance est uniquement destinée au transfert, vous ne devez donc pas la connecter à des indexeurs ni à despeers de recherche.
2. Copiez l'installation d'Enterprise Security à partir du chemin de l'instance de l'outil de déploiement$SPLUNK_HOME/etc/shcluster/apps vers celui de l'instance de transfert $SPLUNK_HOME/etc/apps. La copie d’EnterpriseSecurity présente sur l'outil de déploiement représente la version précédente et comprend les paramètres deconfigurations qui sont déployées sur le cluster de la search head. Elle ne comprend pas les modificationsdes objets de connaissance des runtimes répliqués entre les nœuds de cluster de search heads.
Transfert de la mise à niveau vers la dernière version d'ES
1. Suivez les étapes 1 à 5 du processus de mise à niveau de Splunk Enterprise Security.2. Utilisez le tableau de bord Statut de la configuration ES pour accorder les configurations et les paramètres de
la version déployée avec la dernière version d'Enterprise Security.
Le programme d'installation désactive automatiquement les applications et les extensions obsolètes. Une alertes'affiche dans Messages de l'instance de transfert et identifie tous les éléments obsolètes. Vous devez supprimermanuellement toute application ou extension obsolète de l'installation d'Enterprise Security.
Migration de l'installation mise à niveau d'ES vers l'outil de déploiement
Migrez le contenu mis à niveau de l'instance de transfert vers l'outil de déploiement et déployez-le dans lesmembres du cluster de la search head.
1. Dans l'instance de transfert, copiez $SPLUNK_HOME/etc/apps vers $SPLUNK_HOME/etc/shcluster/apps dans l'outil dedéploiement.
2. Dans l'outil de déploiement, supprimez les applications ou extensions obsolètes$SPLUNK_HOME/etc/shcluster/apps que vous avez notées pendant la mise à niveau du transfert.
Déploiement des modifications sur les membres du cluster
Dans l'outil de déploiement, utilisez -preserve-lookups true pour déployer Enterprise Security tout en conservant toutle contenu du fichier de lookup généré sur les membres du cluster. Pour plus d'informations, consultez Entretiendes fichiers de lookup sur les mises à niveau des applications dans le Manuel Recherche distribuée de SplunkEnterprise.
Validation de la configuration sur le cluster de recherche
Après avoir distribué la copie d'Enterprise Security sur l'outil de déploiement sur les membres du cluster de lasearch head, utilisez le tableau de bord Statut de la configuration ES pour comparer les objets de connaissancerépliqués sur cluster à la dernière installation d'Enterprise Security.
1. Connectez-vous à Splunk Web sur un membre du cluster de la search head.2. Ouvrez Enterprise Security.3. Dans la barre de menu d'Enterprise Security, sélectionnez Audit > Statut de la configuration ES.4. Examinez les conflits potentiels et les modifications apportées aux paramètres par défaut.
Consultez Statut de la configuration ES dans le Manuel de l'utilisateur.
Migration d'une search head vers un cluster de recherche
Une search head autonome d'Enterprise Security ou un membre d'un groupe de search heads ne peut pas êtreajouté à un cluster de search head. Pour migrer des configurations ES sur un cluster de search heads :
1. Identifiez toutes les configurations personnalisées et les modifications de la précédente installation d'ES.2. Mettez en œuvre un nouveau cluster de search head.3. Déployez la dernière version d'Enterprise Security sur le cluster de search heads.4. Examinez et migrez les configurations personnalisées sur l'outil de déploiement du cluster de search heads
pour la réplication des membres du cluster.5. Arrêtez l'ancienne search head d'ES.
Pour plus d'informations sur la migration des paramètres, consultez Migration d'une search head autonome vers uncluster de search heads dans le Manuel Recherche distribuée de Splunk Enterprise.
Pour obtenir de l'aide au niveau de la planification d'une migration de déploiement de Splunk Enterprise Security,contactez l'équipe de Splunk Professional Services.
29