Приветствую, уважаемый читатель!
Хотелось начать пост как-то пафосно – "Мир вокруг нас меняется, нужно меняться вместе с ним!" :) Но, решил упростить - пора настроить оповещения о событиях безопасности в меcсенджер Telegram, т.к. когда в день листаешь 10 каналов с новостями, почему бы не листать канал с оповещениями?
Алгоритм ниже.
1. Создаём бота с телеге и чат для оповещений.
Информации в сети много, вот тут, например:
https://tjournal.ru/dev/117909-instrukciya-sozdaem-bota-v-telegram-sami
Спойлер. Нам нужны bot id (кто будет слать оповещений) и chat id (куда слать оповещения).
$bot_token = "5087XXXXXXXX:AAGq-8k_VgdDM42t0XXXXXXXXXXXXR8Sl2SJQ"
$chat_token = "-725XXXXX79"
2. Ставим приложение Telegram Alert Action для Splunk и настраиваем новый алерт для кого-нибудь поиска.
Для Alert по расписанию подойдет тип – Cron Schedule и корректный Time Range. На примере ниже, раз в 15 минут запускается поиск по Крону, и Спланк на 15 минут назад смотрит события. При нахождении хотя бы 1 события в телегу улетит поле из SPL-запроса – text, которое можно собрать, используя оператор SPL Eval.
| where Result like "could not authenticate."
| stats count,values(UserName) as name
| eval text = name + " - not auth (" + count + " count)"
| table text
Добрый день.
ОтветитьУдалитьSplunk ушел из РФ. Это на free версии будет работать?