Ir al contenido principal

Add-on “Axur Data Connector” en Splunk

Actualizado hace más de una semana

La plataforma Axur cuenta con una integración nativa con Splunk. Con esta funcionalidad, puedes obtener mejoras significativas en la eficiencia operativa, en la capacidad de respuesta a incidentes y en la visibilidad de tu infraestructura de TI.

¿Qué es Splunk?

Splunk es una plataforma utilizada para recolectar, analizar y visualizar grandes volúmenes de datos. La herramienta permite correlacionar datos y obtener información en tiempo real, facilitando la toma de decisiones y la identificación de problemas antes de que se vuelvan críticos. Para obtener más información sobre Splunk, visita: https://www.splunk.com/

Beneficios de la implementación

Splunk es ampliamente utilizado por equipos de TI, ciberseguridad y operaciones para optimizar el rendimiento y la seguridad de los sistemas. Algunas de sus funcionalidades son:

  • Recopilación de datos: Integra datos de diferentes fuentes, como registros de servidores, dispositivos de red, aplicaciones, entre otros.

  • Análisis: permite realizar consultas complejas y visualizaciones interactivas para comprender y correlacionar mejor los datos.

  • Alertas e informes: ofrece la capacidad de configurar alertas basadas en eventos y generar informes personalizados.

  • Tableros: creación de tableros de control que muestran métricas y KPIs relevantes.

Cómo configurar el Add-on

Para implementar esta integración, sigue los pasos a continuación:

  1. Descarga el Axur Data Connector desde el marketplace de Splunk https://splunkbase.splunk.com/app/7622

  2. Abre el add-on en Splunk y accede a la pestaña Inputs.

  3. Haz clic en el botón Create New Input.

  4. En el cuadro de selección desplegable, elige la opción de crear una entrada de tickets o de credenciales, según la imagen a continuación:

    La configuración de feeds de credenciales está disponible a partir de la versión 1.0.4.

  5. Completa la información de la siguiente manera:

    1. Name: define un nombre para el input. El nombre debe contener solo letras, números y/o guiones bajos. No se permiten espacios, y esta es la única información que no se podrá editar después.

    2. Interval: define el intervalo en segundos en el que Splunk consultará este feed. La frecuencia máxima es cada 30 segundos.

    3. Index: de forma predeterminada, Splunk sugiere que uses "default", pero puedes cambiar a cualquier índice de tu elección.

      Para una mejor organización, si tienes otras fuentes de datos en Splunk además de Axur, te recomendamos crear un índice exclusivo para todos los feeds del add-on de Axur. Para hacerlo, ve a Settings > Indexes > New index.

    4. Integration Feed ID: el feed de tu integración debe ser creado directamente en la plataforma Axur, en la página API & Integraciones > Feeds. Después de crearlo, pegue la URL en el campo Integration Feed URL en Splunk, como se muestra en la imagen a continuación.

    Para obtener más información, consulta el artículo específico sobre Feeds en la base de conocimientos.

  6. Dentro del add-on, accede a la pestaña Configuration > Add-on Settings. En el campo "API Token", ingresa una clave API de la plataforma Axur. Para generar una, ve a la pestaña de API Keys en la plataforma Axur.

    1. Modo de Prueba: cuando este checkbox esté seleccionado, tus solicitudes estarán en modo de prueba, lo que significa que el puntero del feed no avanzará. Esto es recomendable cuando deseas probar si el feed está trayendo los eventos esperados. Después de la prueba, es importante desactivar esta casilla para que el feed funcione como se espera, sin traer eventos duplicados.

¡Atención! El feed solo devolverá datos a los que el usuario titular de la clave API tenga acceso. Por ejemplo, si el feed busca eventos de phishing y el usuario de la clave aplicada en el add-on no tiene acceso a este tipo de ticket, el feed no podrá consultar ningún dato.

¡Atención! Para habilitar la ingestión de datos, el complemento debe ser instalado en su IDM o Heavy Forwarder.

¡Listo! Tu integración ha sido configurada. Ahora solo espera a que ocurran las primeras consultas para que los eventos comiencen a aparecer en tu Splunk.

FAQ

¿Cómo puedo confirmar que la integración está funcionando?

Para confirmar que la integración está funcionando, puedes verificar la última vez que se hizo una solicitud a tu feed en la página API & Integraciones, como se muestra en la imagen a continuación.

Otra opción es crear un ticket de prueba que cumpla con los parámetros definidos en el feed y verificar si el evento se recupera en Splunk.

¿Qué hacer cuando el feed no está devolviendo datos en Splunk?

Dependiendo de la frecuencia de consulta configurada en el Input del feed, es posible que no haya nuevos resultados para mostrar. En la página API & Integraciones > Feeds, puedes ver la lista de feeds creados por tu empresa, así como su estado:

  • Verde: El feed recibió al menos una solicitud en las últimas 24 horas.

  • Amarillo: El feed no ha recibido ninguna solicitud en las últimas 24 horas.

  • Vacío: El feed nunca ha recibido solicitudes.

Si el estado está en verde, es probable que la configuración sea correcta, pero no hay eventos que coincidan con los parámetros del feed o las autorizaciones del usuario que hace las solicitudes (por ejemplo, el usuario está intentando recuperar tickets de phishing sin autorización para este tipo de ticket).

Si el estado está en amarillo o vacío, podría haber una configuración incorrecta en Splunk. Te recomendamos revisar los pasos de configuración.

He instalado el complemento, y Splunk está mostrando un error genérico. ¿Qué debo hacer?

Después de instalar un complemento en Splunk, puede ser necesario reiniciar los servicios para aplicar las configuraciones correctamente. Sigue estos pasos para reiniciar Splunk y resolver el problema:

  1. Abre los Servicios en Windows:

    • Presiona Win + R, escribe services.msc y presiona Enter.

  2. Localiza el servicio de Splunk:

    • Busca Splunkd Service en la lista de servicios mostrada.

  3. Reinicia el servicio:

    • Haz clic derecho sobre Splunkd Service y selecciona Reiniciar.

    • Espera a que el servicio se reinicie (esto puede tomar algunos segundos).

  4. Prueba de nuevo:

    • Una vez reiniciado, accede a Splunk nuevamente e intenta continuar con la configuración del complemento.

Actualicé el add-on y mi integración dejó de funcionar. ¿Qué debo hacer?

Si actualizó el Axur Data Connector a la versión 2.0.0 y su feed dejó de funcionar, este comportamiento es esperado. Esta versión introdujo un cambio incompatible (breaking change): ahora la integración requiere la URL del Feed, en lugar del ID del Feed.

Para solucionar el problema:

  1. Edite la entrada existente en Splunk

  2. Reemplace el ID del Feed por la URL completa del Feed

  3. Guarde la configuración y espere el próximo ciclo de ejecución

Nota: Asegúrate de tener permisos de administrador en la máquina para realizar estas acciones. Si el problema persiste, revisa los registros (logs) de Splunk para identificar mensajes de error específicos o contacta al soporte técnico.

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Feed
Integración de IBM QRadar
Integración de Elastic Security
Axur Feed + n8n: convierta las detecciones de Axur en acciones automatizadas
Axur Feed + MISP: Importar IOCs a la Plataforma de Inteligencia de Amenazas MISP
¿Ha quedado contestada tu pregunta?