Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk

в 5:53, , рубрики: alerting, big data, email, splunk, Блог компании TS Solution, информационная безопасность, машинные данные, Серверное администрирование, системное администрирование

Сколько времени проходит с момента возникновения какого-то важного события до реакционных действий? Зачастую очень много! Одним их факторов влияющих на время реакции служит несвоевременное информирование персонала, отвечающего за принятие решений.

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 1

Сегодня мы расскажем вам о том, как получать уведомления о возникновении важных инцидентов безопасности, критическом состоянии IT систем, существенных отклонениях от нормы различных показателей или о других интересных для вас событиях в режиме реального времени и в удобном формате, в частности по электронной почте.

Реализовывать алерты, или иначе говоря оповещения, будем в Splunk, продукте, специализирующемся на анализе машинных данных, о котором мы писали ранее.

Задача

Компания X хочет получать уведомления на почту о неудачных попытках аутентификации в Splunk, а также о тех случаях, когда брендмауэр идентифицирует события с высоким уровнем риска, относящихся к приложениям или сайтам. В сообщениях должны быть основные данные о событии в удобной для получателя записи.

Реализация

Контроль аутентификации

Формируем запрос, идентифицирующий интересующее нас событие, и представляем в виде таблицы со столбцами, которые должны оказаться в сообщении (о том как писать поисковые запросы в Splunk мы писали ранее здесь). Сохраняем: «Save As» — «Alert»

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 2

Настраиваем алерт: Устанавливаем тип оповещения – Real-time. Для срабатывания указываем условие, что количество событий в 1 минуту должно быть больше нуля. Добавляем действие при срабатывании алерта. В сообщениях можно использовать токены, которые получают доступ к информации о поиске, в том числе значения полей. Все токены можно найти по следующей ссылке.

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 3
Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 4

Для отправки сообщений еще необходимо настроить почтовый сервер в Splunk и установить с какой почты будут отправляться сообщения. «Settings» — «Server settings» — «Email settings».

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 5

При появлении данного события получаем сообщение на почту

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 6

Аналогично выполняется настройка отправки оповещения о инцидентах, идентифицируемых брандмауэром.

Идентификация высокорискового события

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 7
Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 8
Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert на Splunk - 9

Заключение

Таким образом, мы с помощью Splunk быстро и легко настроили оповещения, которые помогут своевременно реагировать на реализацию проблемных событий.

Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте.

Автор: JuliaKoroleva

Источник

Поделиться

* - обязательные к заполнению поля