Приветствую, уважаемый читатель!
Сегодня хочу продолжить
повествование о сканере уязвимостей Nessus и рассказать, как его можно подружить со Splunk. С точки зрения SIEM, Nessus представляет очень ценный источник
событий безопасности, т.к. с его помощью можно более уверенно говорить об
успешности или не успешности атаки.
Подключить Nessus к Splunk можно следующим образом:
1) Скачать «Splunk Add-on for Tenable» и установить его в Splunk (ссылка на скачивание - https://splunkbase.splunk.com/app/1710/).
2) Выбрать в настройках
приложения один из вариантов работы с Nessus.
Немного подробнее о
вариантах работы приложения с Nessus.
Есть 2 варианта работы: парсинг файлов с отчетами в формате .nessus (это исторический вариант
получения событий от Nessus)
и подключение к Nessus
используя
Rest
API.
Первый вариант долгое
время был основным для использования. Алгоритм работы следующий: выгружаем
автоматически или ручками отчеты из Nessus, кладем их в определённую директорию, python-скрипт их парсит, а Splunk из
индексирует.
Второй вариант появился
в 6-й версии Add-On для Nessus и сейчас, как я понимаю, является
наиболее правильным решением.
Разберем
первый вариант
После установки Add-on, в списке приложений Splunk появится
новое. Сами файлы приложения по умолчанию тут - /opt/splunk/etc/apps/Splunk_TA_nessus
После установки добавьте
в /opt/splunk/etc/apps/Splunk_TA_nessus/local/inputs.conf новый Data Input’s.
[script://./bin/nessus2splunk.py]
disabled = false
interval
= 20
index
= main
source
= nessus2splunk
sourcetype
= nessus2splunk
После перезагрузки Splunk все
отчеты Nessus,
которые вы поместите в директорию /opt/splunk/etc/apps/Splunk_TA_nessus/spool,
будут автоматически распарсены, а события помещены в sourcetype - nessus2splunk.
Дополнительно вы можете
задать произвольные директории для размещения отчетов Nessus. Для этого необходимо явно указать
параметры для скрипта-парсера, а в самом Splunk поставить
директорию с распарсеными файлами (/opt/pars_nes)
на мониторинг.
[script://./bin/nessus2splunk.py -s /opt/income_nes -t /opt/pars_nes]
disabled = false
interval = 20
index = main
source = nessus2splunk
sourcetype
= nessus2splunk
Второй
вариант подключения
Как уже говорилось, возможен
ещё один вариант подключения Nessus
через
Rest
API.
Для этого в настройка Splunk
Add-on
for
Tenable
перейдите
на вкладку «Inputs».
На данной вкладке будут
перечислены активные соединения с серверами Nessus или
Security
Center.
Для создания нового нажмите на «Create
New Input».
Для подключения
необходимо заполнить форму нового источника (на скрине ниже). В форме требуется
обязательно указать Access
Key и
Secret
Key для
доступа к Nessus
серверу.
Тут нам пригодится один из предыдущих постов, с точки зрения генерации Access Key
и
Secret
Key - http://unitybas.blogspot.ru/2016/10/nessus-rest-api.html.
Всем удачного
использования J
Комментариев нет:
Отправить комментарий