İlginizi Çekebilir
  1. Ana Sayfa
  2. Open Source
  3. Splunk Nedir? Centos 8 Üzerine Nasıl Kurulur?

Splunk Nedir? Centos 8 Üzerine Nasıl Kurulur?

home-column-real-time-dashboard



Splunk’a diyen çok ama değil değilmiş hem evet hem de hayır. Ben size olayı kendi dilimden anlatayım. Şimdi sizin loglarınız var ama nerde var? IT tarafından örnek veriyorum her şeyin logu var Firewall’ın, Mail GW’nin, Anti Virüsün vs. bunlar ne durumda virüs mü yakaladı mail mi takıldı kaç tane atak oldu deseler napıcaksınız? Tek tek arayüzlere gir kontrol et uzun iş.
SIEM ürünü  olan Splunk’a bu logları iletiyorsunuz. Sizin log storage’ınız ve indexleyen artık o oluyor. Sürekli o adrese o logları gönderiyorsunuz zamanla biriken logları anlamlandırıyor sizin için.

Peki nasıl anlamlandırıyor?
İki yol var ilki sorgu ile  firewall mantığını düşünün source ip destination ip ve aksiyon tipi block drop reject accept gibi noluyor karşınızda bir sonuç var birincisi böyle.
Diğer yok ise birçok uygulamanın eklentisi var örnek verelim Cisco ASA. Cisco ASA’yı entegre ettiniz logları artık oraya gönderiyor gelen datalardan neler yapabiliriz? Kimler vpn yapıyor, kimler kaç kere vpn yaptı, ne kadar süre bağlı kaldı hangi ip adresinden geldi vs.

Diyelim ki anti virüsü bağladığınız, Threat Activity, Total Infcetions vs gibi dataları görüyorsunuz. E görüyorumda kardeşim aksiyon almak gerekecek müdür diyecek ki bak bunlarda virüs var baktınız mı ne yaptınız?
O zaman diyorum ki ( Security Orchestration Automation and Responce) nedir?
Şimdi Splunk senaryomuz şöyle 10 bin kişilik bir finans kuruluşu her türlü güvenlik ürünü mevcut. Waf, EP, EDR, FW, DLP,Anomali Detector, Spam GW, ATP, Vulnerability Scanner vs vs.
Buralardan verileri topluyorsunuz her şey çok güzel, diyelim ki EP alarmlar geldi Splunk‘ta görüyorsunuz makinede virüs var. Burada da işe SOAR (Security Orchestration Automation and Responce) otomasyon kısmı giriyor ve şunu diyorsunuz bu iş için Splunk Phantom var. Şu makinede tehdit var anti virüs ile full scan başlat ya da hiç riske girmeyin eldeki imkanlar dahilinde bu makineyi ağ dışı bırak hiç bir yere ulaşamazsınız bunu EDR ya da ATP ile yapabilirsiniz.
Noldu sizin için aksiyon almış oldu. Bu da işin otomasyon kısmı. Sizin bunu fark etmeniz fırsat bulup inceleyip müdahale edene kadar dosya hash’i Virus Total’e gönderildi tespit edildi aksiyon alındı sizin bunu belki 30 dakika otomasyon ile 30 saniye.

Günün sonunda Splunk size bu yönde veri anlamlaştırma ve analiz kısmında hizmet eden free versiyonu bulunan lisans bir ürün.

Gelelim kuruluma…

Üzerinde Splunk Kurulumu

İndirmek için aşağıdaki linki kullanın
https://www.splunk.com/en_us/download/splunk-enterprise.html

Centos 8 üzerine kurulum yapacağız aşağıda seçili olan tgz uzantılı paketi indireceğiz.


Resim-1

İndirdikten sonra Centos 8’e WinScp ile bağlanıp ilgili dosyayı /tmp içine aktarın.
Aktarma işlemi bittikten sonra aşağıdaki adımları takip edin.
İlk olarak ilgili Centos’a login olalım kurarken hostname ve dns kaydını yapmış olalım böylelikle daha iyi çalışabiliriz.
Kullanıcı açarak başlıyoruz

Bu adımın sonunda size size login olurken kullanacağız kullanıcı adını ve şifre soruyor ben admin yazdım.


Resim-2

Şimdi makine üzerinden ya da farklı bir bilgisayardan http://127.0.0.1:8000/ adresinden bağlanın. Oluşturduğunuz user name ve password ile giriş yapın.


Resim-3

İşte hazır.


Resim-4

Anlattım, kurdum peki ya final? bilmiyorum.
“to be continued”

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz. 

Referanslar
www.mshowto.org 

TAGS: Splunk Nedir?, , Centos 8, SIEM, SOAR,Security Orchestration Automation and Responce,Splunk Ne işe Yarar?

Yorum Yap

Yazar Hakkında

1993 yılında İstanbul'da doğdum. Üniversiteyi bitirdikten sonra çeşitli eğitimler aldım ve almaya devam ediyorum bugüne kadar DHL, Erdem Hastanesi, Netaş ve Glasshouse'da çalıştım. Şimdiler ise Vakıf Emeklilik'de sigorta sektöründe güvenlik ürünleri üzerine çalışıyorum. Hiç bir zaman hırslı bir insan olmadım her şey yalnızca eğlence için hobilerimin arasında yemek yapmak, balık tutmak bir şeyler okumak ve bilgili insanları dinlemek var. Linux'u ve yardımlaşmayı seviyorum Linux'da pek iyi değilim çünkü Linux çok geniş bir alan yazdıklarımla ya da Linux ile alakalı konuşmak ya da soru sormak isterseniz bash'ımla beraber. -Cheeers

Yorum Yap