16 de mar de 2019

Implantar e executar o Splunk Enterprise dentro de um contêiner Docker + conectar-se a openvas

Mais uma vez, 

olá, meu caro!!

O post não começa aqui 


Como vocês perceberam os assuntos do blog estão muito diversificados e isso é legal, quanto mais tecnologias conhecermos melhor, sem via de dúvidas. No post de hoje eu decidi abordar esse assunto de "Splunk+Docker+Openvas" pois no post anterior eu mencionei a respeito dele. Durante minhas buscas eu não consegui identificar este assunto agrupado em um só lugar e em português, lendo documentações e relatos em fóruns e após implantar está arquitetura algumas vezes, 
eu me senti preparado para compartilhar e facilitar a vida dos interessados. Ao final do post eu sempre recomendo leitura, não deixe de ler! 





Por que utilizar Splunk no docker? 


Com a aplicação rodando em micro serviço torna muito fácil a escalação de clusters, replicação do ambiente, obtemos tbm uma redução de recursos e custos de hardware. Após a configuração inicial os clusters podem ser criados sob demanda.


Etapas: 

  1. Obter o docker 
  2. Obter a imagem do splunk 
  3. Rodar a imagem do splunk 
  4. Instalar componente do GSM  no splunk 
  5. Configurar índices
  6. Configurar alertas do splunk 
  7. Disparar alerta do GSM para o splunk

1. Obter o docker 


Caso você não tenha o docker instalado comece por aqui, faça o download e instalação do docker em seu sistema, os links oficiais para download estão logo abaixo:

Website oficial

Community Edition

As instalções estão disponíveis para: 
  • Windows
  • Mac
  • Linux
  • AWS & Azure

Instalação do docker

2. Obtendo a imagem do splunk 

Uma imagem do Docker é uma coleção de binários e configurações a serem usadas ao iniciar um contêiner

Existem imagens oficiais do Splunk Docker

Faça o download da imagem conforme oweb comando abaixo:

#docker pull splunk/splunk:latest

Obtendo a imagem do splunk


Para utilizar a image contida no github declare o comando abaixo:

#git clone https://github.com/splunk/docker-splunk


3. Rodar a imagem do splunk 


Execute o comando abaixo para rodar a imagem do splunk. Repare que a porta 7680 ficará exposta, isto justamente por que precisaremos dela para escutar as conexões advindas do openvas.

docker run -d -p 8000:8000 -p 7680:7680 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/splunk:latest
Onde está <password> você deve declarar um novo password para acessar o splunk pela primeira vez. O usuário é admin, após o primeiro acesso as credenciais podem ser alteradas.


Status Contêiner

 #docker ps 
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS                   PORTS                                                                                                             NAMES
283ce7035651        splunk/splunk:latest   "/sbin/entrypoint...."   6 minutes ago       Up 6 minutes (healthy)   0.0.0.0:7680->7680/tcp, 4001/tcp, 8065/tcp, 8088-8089/tcp, 8191/tcp, 9887/tcp, 9997/tcp, 0.0.0.0:8000->8000/tcp   tender_ramanujan



Gerenciamento de portas do docker - Contêineres do Docker são executados em uma rede virtual isolada

A saída do comando acima exibirá uma hash de números e letras que representam o ID do contêiner que é a sua aplicação splunk. Execute o comando abaixo para verificar o status do contâiner.

#docker ps -a -f id=<contêiner_id>




Quando o status do contêiner estiver como healthy, significa que ele já está disponível e você poderá acessá-lo com o comando abaixo através de seu navegador.

#localhost:8000



4. Instalar componente do GSM no splunk 

A integração do Splunk requer a instalação do aplicativo Greenbone-Splunk no servidor splunk. O download e instalação do aplicativo são explicados na seção Aplicação Splunk.

Depois que o aplicativo é instalado no servidor splunk, o GSM pode ser instruído a enviar os resultados para o servidor splunk. Esta seção cobrirá a configuração do GSM.


A Greenbone Networks oferece um pequeno aplicativo para integração com o Splunk. O aplicativo está atualmente disponível em https://download.greenbone.net/tools/Greenbone-Splunk-App-1.0.1.tar.gz.


Para instalar o aplicativo no seu servidor splunk. Navegue até Splunk-> App-> ManagerApps > Install app from file  I



Gerenciamento de aplicativos



Upload de aplicativo


Aplicativo instalada com sucesso


Verifique a porta do Greenbone-Splunk-App após a instalação. Você pode acessar a porta na GUI Web através de Settings-> Data inputs-> TCP.



A porta do aplicativo é necessária para a configuração no GSM.


5. Configurar índices


Para configurar o índice acesse settings > indexes > New Index




Criando um novo índice para receber os dados do openvas

Para configurar o índice para receber os dados do openvas acesse settings> data input > 7680 > more settings > index



Adicionando o índice aos dados de entrada do openvas

6. Configurar alertas do splunk 

Para configurar o GSM, navegue até Configuration > Alerts. Crie um novo alerta clicando no ícone novo.
Role para baixo até a opção Enviar para o host. Preencha o endereço IP do servidor splunk e a porta do aplicativo Greenbone. Esta porta TCP é 7680 por padrão. Escolha o formato XML.


Configurações para o novo alerta


Para testar o alerta criado navegue até a aba actions ainda em alerts e clique sobre Test Alert



Validando a conexão do alerta criado




Alerta validado com sucesso


7. Disparar alerta do GSM para o splunk

Este alerta agora pode ser adicionado às tarefas apropriadas. Navegue para Scans > Tasks e crie uma nova Task usando o alerta. O alerta pode até ser adicionado a tarefas já existentes, o alerta não modifica o comportamento da análise.

Resumo e download





Para fins de teste, relatórios existentes podem ser processados pelo alerta. Navegue para Scans > Reports. Escolha qualquer relatório existente e mude para a visualização Resumo e Download. Aqui você pode processar o relatório usando qualquer alerta configurado.


Resumo e download do relatório


Acessando as informações no Splunk

Para acessar as informações no Splunk, alterne para o painel do Greenbone. O painel do Greenbone na interface da Web do Splunk exibirá as vulnerabilidades encontradas nos últimos sete dias.





Você criar visualizações novas e adicionar aos seus dashboards conforme necessário. Abaixo um painel criado por mim para testes no ambiente interno. 






E é isso, até o próximo!



Leitura recomendada:

Nenhum comentário:

Postar um comentário