Pull to refresh
112.22
Rating
TS Solution
Системный интегратор

Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert в Splunk — Часть 1

TS Solution corporate blog Information Security *System administration *IT Infrastructure *Server Administration *
Tutorial
Сколько времени проходит с момента возникновения какого-то важного события до реакционных действий? Зачастую очень много! Одним их факторов влияющих на время реакции служит несвоевременное информирование персонала, отвечающего за принятие решений.



Сегодня мы расскажем вам о том, как получать уведомления о возникновении важных инцидентов безопасности, критическом состоянии IT систем, существенных отклонениях от нормы различных показателей или о других интересных для вас событиях в режиме реального времени и в удобном формате, в частности по электронной почте.

Реализовывать алерты, или иначе говоря оповещения, будем в Splunk, продукте, специализирующемся на анализе машинных данных, о котором мы писали ранее.

Задача


Компания X хочет получать уведомления на почту о неудачных попытках аутентификации в Splunk, а также о тех случаях, когда брендмауэр идентифицирует события с высоким уровнем риска, относящихся к приложениям или сайтам. В сообщениях должны быть основные данные о событии в удобной для получателя записи.

Реализация


Контроль аутентификации


Формируем запрос, идентифицирующий интересующее нас событие, и представляем в виде таблицы со столбцами, которые должны оказаться в сообщении (о том как писать поисковые запросы в Splunk мы писали ранее здесь). Сохраняем: «Save As» — «Alert»



Настраиваем алерт: Устанавливаем тип оповещения – Real-time. Для срабатывания указываем условие, что количество событий в 1 минуту должно быть больше нуля. Добавляем действие при срабатывании алерта. В сообщениях можно использовать токены, которые получают доступ к информации о поиске, в том числе значения полей. Все токены можно найти по следующей ссылке.




Для отправки сообщений еще необходимо настроить почтовый сервер в Splunk и установить с какой почты будут отправляться сообщения. «Settings» — «Server settings» — «Email settings».



При появлении данного события получаем сообщение на почту



Аналогично выполняется настройка отправки оповещения о инцидентах, идентифицируемых брандмауэром.

Идентификация высокорискового события




Заключение


Таким образом, мы с помощью Splunk быстро и легко настроили оповещения, которые помогут своевременно реагировать на реализацию проблемных событий.

Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте.
Tags: splunkbig dataalertingemailмашинные данные
Hubs: TS Solution corporate blog Information Security System administration IT Infrastructure Server Administration
Total votes 13: ↑10 and ↓3 +7
Comments 3
Comments Comments 3

Top of the last 24 hours

Information

Founded
Location
Россия
Website
tssolution.ru
Employees
31–50 employees
Registered