Passar para o conteúdo principal

Add-on "Axur Data Connector" no Splunk

Atualizado há mais de uma semana

A plataforma Axur conta com uma integração nativa com Splunk. Com essa funcionalidade, você pode obter melhorias significativas na eficiência operacional, na capacidade de resposta a incidentes e na visibilidade da sua infraestrutura de TI.

O que é Splunk?

O Splunk é uma plataforma usada para coletar, analisar e visualizar grandes volumes de dados. A ferramenta permite que se correlacionem dados e obtenham insights em tempo real, facilitando a tomada de decisões e a identificação de problemas antes que se tornem críticos. Para obter mais informações sobre o Splunk, acesse: https://www.splunk.com/

Benefícios da implementação

O Splunk é amplamente utilizado por equipes de TI, segurança cibernética e operações para otimizar o desempenho e a segurança de sistemas. Algumas de suas funcionalidades são:

  • Coleta de dados: integra dados de diferentes fontes, como logs de servidores, dispositivos de rede, aplicativos, entre outros.

  • Análise: permite consultas complexas e visualizações interativas para entender e correlacionar melhor os dados.

  • Alertas e relatórios: oferece a capacidade de configurar alertas baseados em eventos e gerar relatórios personalizados.

  • Painéis: criação de painéis de controle (dashboards) que mostram métricas e KPIs relevantes.

Como configurar o add-on

Para implementar essa integração, siga o passo a passo abaixo:

  1. Faça download Axur Data Connector no marketplace do Splunk: https://splunkbase.splunk.com/app/7622

  2. Abra o add-on no Splunk e acesse a aba Inputs

  3. Clique no botão Create New Input

  4. Na caixa de seleção suspensa, escolher a opção de criar um input de tickets ou de credenciais, conforme imagem abaixo:

    A configuração de feeds de credenciais está disponível a partir da versão 1.0.4

  5. Preencha as informações da seguinte forma:

    1. Name: Defina um nome para o input. O nome deve conter apenas letras, números e/ou underlines. Espaços não são permitidos e essa é a única informação que não poderá ser editada posteriormente.

    2. Interval: Defina o intervalo de segundos em que esse feed deverá ser consultado pelo Splunk. O intervalo máximo que um feed pode ser consultado é a cada 30 segundos.

    3. Index: Por padrão, o Splunk sugere que você utilize o default, mas, você pode trocar para qualquer index de sua preferência. 

      Para uma melhor organização, se você tiver outras fontes de dados no Splunk além da Axur, recomendamos que você crie um Index exclusivo para todos os feeds do add-on da Axur. Para isso, vá em Settings > Indexes > New index.

    4. Integration Feed ID: O feed da sua integração deve ser criado diretamente na plataforma Axur, na página API & Integrações > Feeds.

      Após criá-lo, cole a URL no campo Integration Feed URL no Splunk, conforme mostrado na imagem abaixo.

      Para mais informações, acesse o artigo específico sobre Feeds na base de conhecimento.

  6. Dentro do add-on, acesse a aba Configuration > Add-on Settings. No campo de API Token, você deve inserir uma chave de API da plataforma Axur. Para gerar uma, acesse a aba Chaves de API na plataforma.

    1. Test Mode: Quando esse checkbox estiver selecionado, suas requisições estarão em modo de teste, ou seja, o ponteiro do feed não irá avançar. Isso é recomendável quando você quer testar se o feed está trazendo os eventos esperados. Após o teste, é importante que esse checkbox seja desabilitado, para que seu feed funcione como o esperado, sem trazer eventos repetidos.

Atenção! O feed irá retornar somente os dados aos quais o usuário detentor da chave de API possui acesso. Por exemplo, se o feed busca por Phishing e o usuário da chave aplicada no add-on não possui acesso a esse tipo de ticket, o feed não conseguirá consultar nenhum dado.

Atenção! Para habilitar a ingestão de dados, o complemento deve ser instalado no seu IDM ou Heavy Forwarder.

Pronto! Sua integração terminou de ser configurada 🙂.

Agora é só aguardar as primeiras consultas ocorrerem para os eventos começarem a aparecer no seu Splunk.

FAQ

Como confirmar que a integração está funcionando?

Para confirmar que a integração está funcionando, você pode verificar quando foi feita a última requisição ao seu feed, na página de API & Integrations, conforme imagem abaixo.

Outra possibilidade é criar um ticket de teste, que se enquadre nos parâmetros definidos no feed, e confirmar se o evento será recuperado pelo Splunk.

O que fazer quando o feed não está retornando dados no Splunk?

Dependendo da frequência de consulta configurada no Input do feed, é possível que não tenham novos resultados a serem apresentados. Acessando a página de API & Integrações > Feeds, você verá a lista de feeds criados pela sua empresa, bem como seus status.

  • Verde: Quando o feed obteve ao menos uma requisição nas últimas 24h.

  • Amarelo: Quando o feed não obteve nenhuma requisição nas últimas 24h.

  • Vazio: Quando o feed nunca obteve requisições.

Se o status estiver verde, é muito provável que as configurações estejam certas e só não estejam chegando eventos que correspondam aos parâmetros do feed ou às permissões do usuário que está fazendo as requisições (ex.: usuário está tentando recuperar tickets de Phishing sendo que não possui autorização para esse tipo de ticket).

Se estiver amarelo ou vazio, pode ser que alguma configuração incorreta tenha sido feita no Splunk. Recomendamos que você revise o passo a passo.

Instalei o add-on e o Splunk está retornando um erro genérico. O que fazer?

Após a instalação do Axur Data Connector no Splunk, pode ser necessário reiniciar os serviços para aplicar as configurações corretamente. Siga os passos abaixo para reiniciar o Splunk e resolver o problema:

  1. Abra os Serviços no Windows:

    • Pressione Win + R, digite services.msc e pressione Enter.

  2. Localize o serviço do Splunk:

    • Procure por Splunkd Service na lista de serviços exibidos.

  3. Reinicie o serviço:

    • Clique com o botão direito no Splunkd Service e selecione a opção Reiniciar.

    • Aguarde o serviço ser reiniciado (isso pode levar alguns segundos).

  4. Teste novamente:

    • Acesse o Splunk novamente e tente prosseguir com as configurações do add-on.

Atualizei o add-on e minha integração parou de funcionar. O que devo fazer?

Se você atualizou o Axur Data Connector para a versão 2.0.0 e seu feed parou de funcionar, esse comportamento é esperado. Essa versão introduziu uma mudança incompatível (breaking change): agora a integração exige a URL do Feed, em vez do ID do Feed.

Para corrigir o problema:

  1. Edite a entrada existente no Splunk

  2. Substitua o ID do Feed pela URL completa do Feed

  3. Salve a configuração e aguarde o próximo ciclo de execução

Observação:

Certifique-se de que você tem permissões de administrador na máquina para realizar essas alterações.

Se o problema persistir, consulte os logs do Splunk para identificar mensagens de erro específicas ou entre em contato com o suporte técnico.

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Artigos relacionados
Feeds
Integração IBM QRadar
Integração com Elastic Security
Axur Feed + n8n: transforme as detecções da Axur em ações automatizadas
Axur Feed + MISP: Importe IOCs para a Plataforma de Threat Intelligence MISP
Respondeu à sua pergunta?