Isine ndhelikake
1 blackberry CylancePROTECT Aplikasi kanggo Splunk
2 Informasi Produk: Aplikasi CylancePROTECT kanggo Splunk
3 Apa Aplikasi CylancePROTECT kanggo Splunk?
4 Nginstal lan ngatur Aplikasi Cylance PROTECT kanggo Splunk
5 Konfigurasi respon adaptif
6 Jinis sumber data
7 Ngatasi masalah Aplikasi CylancePROTECT kanggo Splunk
8 Copot Splunk Aplikasi CylancePROTECT
9 Kabar hukum
10 Dokumen / Sumber Daya
10.1 Referensi
11 Kiriman sing gegandhengan

blackberry-logo

blackberry CylancePROTECT Aplikasi kanggo Splunk

blackberry-CylancePROTECT-Application-for-Splunk-product

Informasi Produk: Aplikasi CylancePROTECT kanggo Splunk

Aplikasi CylancePROTECT kanggo Splunk minangka aplikasi piranti lunak sing terintegrasi karo Splunk, platform pemantauan jaringan lan analisis data. Aplikasi iki ngidini pangguna nambah keamanan jaringan kanthi nggunakake kemampuan CylancePROTECT, solusi cybersecurity sing diwenehake dening Cylance.

Syarat: Aplikasi CylancePROTECT kanggo Splunk

  • Jaringan Splunk

Nginstal lan Konfigurasi Aplikasi CylancePROTECT kanggo Splunk

  1. Review Aplikasi CylancePROTECT kanggo syarat Splunk.
  2. Instal Aplikasi CylancePROTECT kanggo Splunk saka Splunk web manajer app. Utawa, sampeyan bisa milih nginstal kanthi manual.
  3. Ngatur indeks acara.
  4. Konfigurasi sambungan data syslog. Yen dikarepake, sampeyan bisa ngatur sambungan data syslog liwat SSL.
  5. Yen sampeyan pengin nampa laporan data ancaman, atur laporan data ancaman.

Nginstal Aplikasi CylancePROTECT kanggo Splunk saka Splunk web manajer app

  1. Mlebu menyang Splunkbase nggunakake Diverifikasi ing login.splunk.com 
  2. Ing garis telusuran ing garis menu, goleki "Aplikasi CylancePROTECT kanggo Splunk".
  3. Ing kaca produk, klik "Download".
  4. Waca lan tampa syarat lan kahanan kanthi mriksa kothak banjur klik "Setuju kanggo Ngundhuh".
  5. Tindakake pandhuan khusus kanggo sistem operasi kanggo mbukak paket .spl ==.tar.gz kanthi manual.

Apa Aplikasi CylancePROTECT kanggo Splunk?

CylancePROTECT ngenali lan mblokir malware lan ancaman cyber sadurunge bisa mengaruhi piranti. BlackBerry nggunakake teknik machine learning kanggo èfèktif nerjemahake ancaman tanpa guna nalika nggunakake jumlah minimal saka sumber daya sistem. CylancePROTECT Desktop manggon ing konsol Cylance, yaiku konsol manajemen basis awan sing ngidini sampeyan view macem-macem acara sing gegandhengan karo ancaman, ngatur kabijakan piranti kanggo ngatur agen ing titik pungkasan, lan ngatur dhaptar global kanggo karantina lan aman files. Kanggo informasi luwih lengkap babagan CylancePROTECT, ndeleng Apa

CylancePROTECT Desktop?
Aplikasi CylancePROTECT kanggo Splunk minangka plugin ing lingkungan Splunk sampeyan sing narik data saka layanan Cylance ing konsol Cylance kanggo nggabungake dashboard sing wis dikonfigurasi, nanging bisa disesuaikan, kanggo ngawasi, nglacak, lan nganalisa data lan kegiatan ancaman. Sampeyan uga bisa nginstal CylancePROTECT Add-on kanggo Splunk Enterprise kanggo nambah optimasi lan koleksi data aplikasi. Tambahan iki kudu diinstal ing indeks lan forwarder Splunk sing ora nganggo data saka laporan data ancaman.

Syarat: CylancePROTECTApplication kanggo Splunk

Item                                                 Syarat
Splunk Splunk versi 7.2 utawa mengko
Sambungan Jaringan liwat port 443 kudu diidini kanggo Aplikasi CylancePROTECT kanggo Splunk kanggo entuk laporan data ancaman saka Cylance Endpoint Security.

• Kanggo nerusake acara syslog saka Cylance Endpoint Security menyang lingkungan Splunk, sampeyan kudu ngatur setelan jaringan ing console Cylance lan penerus log utawa aturan firewall ing lingkungan Splunk. Kanggo informasi luwih lengkap, ndeleng ing Pandhuan syslog Cylance.

Nginstal lan ngatur Aplikasi Cylance PROTECT kanggo Splunk

Langkah                     Tumindak
Review Aplikasi CylancePROTECT kanggo syarat Splunk.
Instal Aplikasi CylancePROTECT kanggo Splunk saka Splunk web manajer app.
Yen sampeyan pengin nginstal Aplikasi CylancePROTECT kanggo Splunk kanthi manual, deleng Instal Aplikasi CylancePROTECT kanggo Splunk kanthi manual.
Ngatur indeks acara.
Konfigurasi sambungan data syslog.
Opsional, yen sampeyan pengin ngatur sambungan data syslog liwat SSL, ndeleng Konfigurasi sambungan data syslog liwat SSL ing Splunk.
Yen sampeyan pengin Aplikasi CylancePROTECT kanggo Splunk nampa laporan data ancaman, ndeleng Ngatur laporan data ancaman.

Instal Aplikasi CylancePROTECT kanggo Splunk saka Splunk web manajer app
Sadurunge miwiti: Review syarat kanggo Aplikasi CylancePROTECT kanggo Splunk.

  1. Ing Splunk, ing garis menu horisontal, klik Splunk> perusahaan.
  2. Ing panel Aplikasi vertikal, klik + Temokake Aplikasi Liyane.
  3. Ing kaca Telusur Aplikasi Liyane, goleki Aplikasi CylancePROTECT kanggo Splunk.
  4. Klik Instal.
  5. Ketik jeneng pangguna lan sandhi Splunk.com sampeyan.
  6. Kanggo konfirmasi manawa sampeyan wis maca syarat lan kahanan aplikasi, klik kothak centhang.
  7. Klik Login lan Instal.
    Sawise rampung: Ngatur indeks acara.

Instal Aplikasi CylancePROTECT kanggo Splunk kanthi manual
Sadurunge miwiti: Review Aplikasi CylancePROTECT kanggo syarat Splunk.

  1. Kanggo mlebu menyang Splunkbase, navigasi menyang login.splunk.com lan ketik kredensial sampeyan.
  2. Ing garis menu, ing garis telusuran, goleki CylancePROTECT App kanggo Splunk.
  3. Ing kaca produk, klik Download.
  4. Kanggo ngakoni yen sampeyan wis maca syarat lan kahanan, klik kothak centhang.
  5. Klik Agree to Download.
  6. Kanggo mbukak paket .spl ==.tar.gz kanthi manual, tindakake pandhuan kanggo OS sampeyan:

Sawise rampung: Ngatur indeks acara.

OS paket                                       Langkah-langkah
Paket Linux                                   a. Salin paket Splunk ing ngisor iki menyang $SPLUNK_HOME/etc/apps: cylance_protect-.spl

Folder cylance_protect digawe ing $SPLUNK_HOME/etc/apps.

b. Priksa manawa app files lan folder diutus kanggo pemilik cocok lan ijin.

$SPLUNK_HOME dumunung ing folder /opt/splunk.
Paket Windows                             a. Salin paket Splunk ing ngisor iki menyang $SPLUNK_HOME\etc\apps:

cylance_protect-.spl

b. Mbukak bungkus cylance_protect-.spl folder zip.

Folder cylance_protect digawe ing $SPLUNK_HOME\etc\apps.

$SPLUNK_HOME dumunung ing C:\program files\splunk.

Ngatur indeks acara
Data sing diproses Splunk manggon ing indeks. Splunk ora nggawe indeks minangka standar, dadi sampeyan kudu nyiyapake indeks acara sawise sampeyan nginstal Aplikasi CylancePROTECT kanggo Splunk. Indeks acara bisa ngemot jinis data apa wae.
Sadurunge miwiti:

  • Instal Aplikasi CylancePROTECT kanggo Splunk saka Splunk web manajer app
  • Yen sampeyan pengin nginstal Aplikasi CylancePROTECT kanggo Splunk kanthi manual, deleng Instal Aplikasi CylancePROTECT kanggo Splunk kanthi manual.
  1. Ing Splunk, ing garis menu, klik Setelan > Indeks > Indeks Anyar.
  2. Ing kothak dialog Indeks Anyar, isi kolom kasebut.
    Disaranake sampeyan nggunakake cylance_protect minangka jeneng indeks. Yen sampeyan nggunakake jeneng indeks khusus, eventtype = cylance_index kudu diowahi kanggo nampa jeneng indeks khusus.
  3. Klik Simpen.
  4. Ing garis menu, klik Setelan > Jinis Acara kanggo konfirmasi yen senar telusuran katon minangka indeks = nglindhungi UTAWA indeks = Cylance_protect.
  5. Ing Setelan, klik Panelusuran Lanjut > Telusuri Makro lan konfirmasi yen senar telusuran katon minangka index=protect UTAWA index=Cylance_protect.
    Nalika sampeyan nganyarke lingkungan Splunk, kudu ana indeks, lan konfigurasi ana files ing lokal kudu ngemot bener file jeneng. Ing sawetara kasus, lokal files sing uga wis digawe
    kanggo instalasi sadurunge (kanggo example, files sing ngemot default.xml) bakal ngilangi menu sing ditambahake ing rilis anyar. Kanggo mbenerake iki, mbusak lokal file utawa miwiti maneh sirah telusuran Splunk nggunakake perintah $ SPLUNK_HOME / bin / splunk restart.

Sawise rampung: Konfigurasi sambungan data syslog.

Konfigurasi sambungan data syslog
Aplikasi CylancePROTECT kanggo Splunk bisa nggunakake data syslog wektu nyata saka konsol Cylance. Kanggo ngirim acara kasebut menyang Splunk, penerusan syslog kudu diaktifake lan dikonfigurasi ing Splunk lan ing konsol Cylance. Kanggo informasi luwih lengkap babagan carane ngatur nerusake, ndeleng Ngatur indeksasi Splunk lan nerusake kanggo nggunakake sertifikat TLS.
Sadurunge miwiti: Ngatur indeks acara.

  1. Ing Splunk, ing garis menu Splunk, klik Setelan > Input Data > TCP.
    Kanggo konfigurasi multi-tenant, saben tenant mbutuhake stanza dhewe ing inputs.conf, lan saben tenant mbutuhake port dhewe. Kanggo example, yen ana loro tenant, CompanyOne lan CompanyTwo, inputs.conf file kudu ngetutake model ing ngisor iki:
    [tcp-ssl: // 6514] dipatèni = jinis sumber palsu = sumber syslog_protect = CompanyOne
    indeks = cylance_protect
    [tcp-ssl: // 6515] dipatèni = jinis sumber palsu = sumber syslog_protect = CompanyTwo
    indeks = cylance_protect
  2. Ing baris Port 6515, ing kolom Status, klik Aktifake.
  3. Ing konsol Cylance, ing garis menu, klik Setelan > Aplikasi.
  4. Pilih kothak centhang Syslog/SIEM.
  5. Pilih jinis acara sing dikarepake.
  6. Ing dhaptar gulung mudhun SIEM, klik Splunk.
  7. Ing dhaptar gulung mudhun Protokol, klik TCP.
  8. Ing lapangan IP/Domain, ketik alamat IP utawa FQDN saka forwarder utawa lingkungan Splunk.
  9.  Ing lapangan Port, ketik nomer port lingkungan Splunk.
    Klik Simpen.

Sawise rampung: Opsional, kanggo ndhelik sambungan data syslog karo SSL, ndeleng Konfigurasi sambungan data syslog liwat SSL ing Splunk.

Konfigurasi sambungan data syslog liwat SSL ing Splunk
Bagean iki nyakup konfigurasi sambungan data syslog liwat SSL antarane console Cylance lan lingkungan Splunk. Konfigurasi sambungan liwat SSL encrypts komunikasi antarane console Cylance lan lingkungan Splunk, nyediakake lapisan tambahan saka keamanan kanggo data dikirim dening loro sistem. Sampeyan bisa ngatur Syslog liwat SSL ing Splunk kanthi ngasilake sertifikat sampeyan dhewe.

Konfigurasi sambungan data syslog liwat SSL kanggo Linux Splunk
Sadurunge miwiti: Konfigurasi sambungan data syslog.

  1. Ing konsol Cylance, klik Setelan > Aplikasi banjur pilih kothak TLS/SSL.
  2. Saka baris printah server Splunk, nggunakake script ing ngisor iki, generate sertifikat.
    mkdir /opt/splunk/etc/certs
    ekspor OPENSSL_CONF=/opt/splunk/openssl/openssl.cnf
    /opt/splunk/bin/genRootCA.sh -d /opt/splunk/etc/certs
    /opt/splunk/bin/genSignedServerCert.sh -d /opt/splunk/etc/certs -n splunk -c splunk -p
  3. Ing $SPLUNK_HOME/etc/apps/cylance_protect/local/inputs.conf file, ngowahi rong bagean ing ngisor iki nggunakake atribut ing ngisor iki:
    [tcp-ssl: // 6514] dipatèni = palsu
    sourcetype = syslog_protect index = cylance_protect sumber =
    [SSL] serverCert = /opt/splunk/etc/certs/splunk.pem
    sslSandhi =
    ndhuwur>
    requireClientCert = palsu
  4.  Nggunakake skrip ing ngisor iki, miwiti maneh Splunk lan verifikasi port sing mbukak.
  5. SPLUNK_HOME/bin/splunk restart splunkd netstat -an | grep: 6514
    Sawise rampung: Yen sampeyan pengin Aplikasi CylancePROTECT kanggo Splunk nampa laporan data ancaman, ndeleng Ngatur laporan data ancaman.

Ngatur sambungan data syslog liwat SSL kanggo Windows Splunk
Sadurunge miwiti: Konfigurasi sambungan data syslog.

  1. Ing konsol Cylance, klik Setelan > Aplikasi banjur pilih kothak TLS/SSL.
  2. Saka baris printah server Splunk, nggunakake script ing ngisor iki, generate sertifikat. mkdir c:\progra~1\Splunk\etc\certs
    C:\progra~1\Splunk\bin\splunk.exe cmd cmd.exe /cc:\progra~1\Splunk\bin
    \genRootCA.bat -dc:\progra~1\Splunk\etc\certs
    C:\progra~1\Splunk\bin\splunk.exe cmd python c:\progra~1\Splunk\bin
    \genSignedServerCert.py -dc:\progra~1\Splunk\etc\certs -n splunk -c splunk -p
  3.  Ing C:\Program Files\Splunk\etc\apps\cylance_protect\local\inputs.conf file, ngowahi rong bagean ing ngisor iki nggunakake atribut ing ngisor iki:
    [tcp-ssl: // 6514] dipatèni = palsu
    jinis sumber =
    indeks =
    sumber =
    [SSL] sslSandhi =
    ndhuwur>
    requireClientCert = palsu
    serverCert = c:\progra~1\Splunk\etc\certs\splunk.pem
  4. Nggunakake skrip ing ngisor iki, miwiti maneh Splunk lan verifikasi port sing mbukak. c:\progra~1\Splunk\bin\splunk.exe restart netstat -an | golek: 6514

Sawise rampung: Yen sampeyan pengin Aplikasi CylancePROTECT kanggo Splunk nampa laporan data ancaman, deleng Konfigurasi laporan data ancaman

Konfigurasi laporan data ancaman
Yen sampeyan ora bisa nggunakake data syslog, utawa yen sampeyan pengin duwe kompatibilitas mundur karo versi sadurungé saka aplikasi iki, sampeyan bisa ngatur laporan data ancaman (TDR) kanggo nampa data laporan saben dina saka Cylance Endpoint Security. Aplikasi CylancePROTECT kanggo Splunk bisa ngolah data saka laporan Piranti, Acara, Indikator, lan Ancaman.
Sadurunge miwiti: Konfigurasi sambungan data syslog.

  1. Ing Aplikasi CylancePROTECT kanggo Splunk, ing garis menu, klik Pitulung > ConfigureTDR.
  2. Ing bagean Tambah Tenant, nemtokake ing ngisor iki:
    1. Jeneng Tenant: Ketik jeneng perusahaan sampeyan.
    2. URL: Ketik undhangan URL.
    3. Token: Ketik token instalasi.
      Kanggo nemokake nilai kolom, ing konsol Cylance, klik Setelan > Aplikasi.
  3. Klik Tambah.
    Yen administrator mbusak utawa nggawe maneh token, sampeyan kudu nganyari kaca ConfigureTDR nganggo token anyar.
  4. Wiwiti maneh Splunk. Sawise sampeyan miwiti maneh Splunk, sampeyan bakal weruh laporan data ancaman ing lingkungan Splunk.

Sawise rampung: Ing instalasi Splunk siji-umpamane utawa ing forwarder abot, rampungake langkah-langkah ing ngisor iki kanggo ngaktifake input data:

  1. Ing Splunk, ing garis menu Splunk, klik Setelan > Input data.
  2. Ing bagean Input Lokal, klik skrip.
  3. Ing kolom Status, klik Aktifake saben skrip.
    Kanggo nemokake nilai kolom, ing konsol Cylance, klik Setelan > Aplikasi.

Konfigurasi respon adaptif

Aplikasi CylancePROTECT kanggo Splunk minangka bagéan saka program respon adaptif Splunk. Integrasi iki ngidini sampeyan neliti aktivitas ala lan nanggapi kanthi nyata-nyata ancaman cyber sing dideteksi dening Cylance Endpoint Security ing lingkungan Splunk organisasi sampeyan. Kanggo nggunakake respon adaptif, sampeyan kudu nyiyapake konektor API ing console Cylance lan lingkungan Splunk.

  1. Mlebu menyang konsol Cylance minangka administrator.
  2. Ing garis menu, klik Setelan > Integrasi.
  3. Klik Tambah Aplikasi.
  4. Ing lapangan Jeneng Aplikasi, ketik Splunk API Connector.
  5. Ing baris Dhaptar Global, pilih kothak centhang Waca, Tulis, lan Busak.
  6. Klik Simpen. Rekam ID Aplikasi, Rahasia Aplikasi, lan ID Tenant.
  7. Ing server Splunk, ing sirah telusuran Splunk sing dikarepake, sunting konfigurasi api.py file ditemokake ing
    SPLUNK_HOME/etc/apps/cylance_protect/bin/api.py.
  8. Ing baris printah 9-12, tambahake ID Aplikasi, Rahasia Aplikasi, lan ID Tenant sing direkam.
  9. Ing Aplikasi CylancePROTECT kanggo Splunk, klik Alat > Konektor API.
  10. Ing dhaptar gulung mudhun, pilih fungsi. Kanggo dhaptar fungsi lan paramèteré, deleng denah Panggunaan ing kaca Konektor API.
  11. Ing lapangan Parameter, ketik file hash.
  12. Klik Kirim.
  13. Review asil respon HTTP ing ngisor kaca Konektor API. Kanggo mriksa asil respon HTTP saka console Cylance. Deleng grafik Respons HTTP kanggo dhaptar tanggapan HTTP lan maknane. Yen panggilan API gagal sawise nyunting konfigurasi api.py file, ing *.pyc files bisa uga kudu dibusak saka direktori $SPLUNK_HOME/etc/apps/cylance_protect/bin/.

Sawise rampung: Sampeyan bisa matesi akses menyang konektor API. Yen peran SOC IR ana ing Splunk sampeyan

  1. Ing Splunk, klik Setelan > Peran > Tambah Anyar.
  2. Ing kolom Jeneng Peran, ketik CylanceAPI.
  3. Klik Simpen.
  4. Kanggo nyetel ijin kanggo peran, klik Setelan > Kabeh Konfigurasi.
  5. Ing kolom filter, goleki api_connector.
  6. Ing kolom Sharing, klik Idin lan konfirmasi ing ngisor iki:
    1. Kanggo peran Saben uwong, priksa manawa Waca lan Tulis ora dipilih.
    2. Kanggo peran CylanceAPI, priksa manawa Waca dipilih.

Jinis sumber data

acara Syslog
Jinis sumber basis syslog kanggo Aplikasi CylancePROTECT kanggo Splunk nyedhiyakake informasi wektu nyata babagan ancaman, piranti, klasifikasi ancaman, perlindungan memori, kontrol aplikasi, lan log audit.

Tipe sumber Katrangan
Aplikasi kontrol Syslog bakal nglaporake acara apa wae sing dideteksi ing piranti, kalebu upaya sing ditolak kanggo nggawe utawa ngowahi aplikasi, utawa nglakokake files saka jaringan utawa lokasi njaba.
Audit log Syslog bakal nglaporake kabeh tumindak pangguna sing ditindakake ing konsol Cylance dening pangurus, manajer zona, lan pangguna.
Piranti Syslog bakal nglaporake piranti sing wis didaftar, diowahi, utawa dibusak.
piranti kontrol Syslog bakal nglaporake acara kontrol piranti kaya jinis piranti, ID vendor, lan ID produk.
Memori pangayoman Syslog bakal nglaporake proses lan eksploitasi sing ala sing dideteksi lan/utawa diblokir dening skrip iki.
Skripsi kontrol Syslog bakal nglaporake kabeh skrip sing mlaku utawa nyoba mbukak.
Ancaman Syslog bakal nglaporake ancaman sing mentas ditemokake ing lingkungan sampeyan uga owah-owahan sing diamati kanggo ancaman sing ana.
Ancaman klasifikasi Syslog bakal nglaporake ancaman utawa owah-owahan sing mentas diklasifikasikake menyang klasifikasi ancaman sing ana.

Laporan data ancaman
Jinis sumber adhedhasar laporan data ancaman kanggo Aplikasi CylancePROTECT kanggo Splunk diekstrak saka laporan data ancaman CylancePROTECT, sing nampilake ancaman lan piranti ing lingkungan sampeyan.

Skripsi Katrangan
Ancaman Skrip Ancaman nglaporake kabeh ancaman sing dideteksi ing lingkungan sampeyan, bebarengan karo informasi sing relevan kayata file jeneng, file hash, file status, lan Cylance Score.
Piranti Skrip Piranti nglaporake kabeh piranti CylancePROTECT Desktop sing kadhaptar ing organisasi sampeyan, bebarengan karo informasi kayata sistem operasi saben piranti, versi agen, lan alamat MAC.
Indikator Skrip indikator nglapurake saben ancaman kanthi hash SHA256 sing unik lan kabeh indikator ancaman sing ana gandhengane file.
Kanggo informasi luwih lengkap babagan indikator ancaman, waca KB 66181.
Skripsi                                              Katrangan
Acara                                              Skrip Acara bakal nglaporake kabeh acara ancaman sing kedadeyan ing organisasi sampeyan sajrone 30 dina pungkasan. Informasi iki kalebu file hash, jeneng piranti, ing file path, tanggal lan wektu ditemokake, status ancaman, lan Cylance Score.

Ngatasi masalah Aplikasi CylancePROTECT kanggo Splunk

Bagean iki rincian masalah sing bisa sampeyan temokake karo Aplikasi CylancePROTECT kanggo Splunk lan tumindak sing bisa ditindakake kanggo ngrampungake.

Ngatur carane Aplikasi CylancePROTECT kanggo Splunk ngasilake log files
Yen ana masalah, kayata nalika tes pasca-instal ora ngasilake output sing bisa diamati, sampeyan kudu mriksa splunkd.log lan Cylance.log. files ing direktori $SPLUNK_HOME/var/logs/ Splunk.
Kanggo ngasilake data log sing rinci, tindakake ing ngisor iki:

  1. Ing config.py file, ing direktori bin, ganti level log menyang salah siji saka ing ngisor iki:
    1. DEBUG
    2. INFO
    3. WARNING
    4. ERROR
    5. KRITIKAL
    6. FATAL
  2.  Ing config.py file, ganti parameter ing ngisor iki kanggo ngatur log file generasi:
    1. Filejeneng: standar file jenenge cylance.log.
    2. Ukuran: Ukuran log maksimum standar yaiku 1,000,000 bita. Nalika ing files ngluwihi ukuran iki, log anyar file digawe.
    3. Rotasi: Iki nomer log files sing bisa digawe sadurunge sing paling tuwa ditimpa.

Ngatasi masalah konsumsi syslog
Yen data ora diisi ing dashboard syslog, tindakake ing ngisor iki:

  • Yen organisasi sampeyan nggunakake lingkungan Splunk sing disebarake, priksa manawa konsumsi syslog dikonfigurasi ing forwarder lan lingkungan Splunk mlaku ing versi 7.2 utawa luwih anyar.
  • Verifikasi yen versi paling anyar saka Aplikasi CylancePROTECT kanggo Splunk wis diinstal ing kepala telusuran Splunk lan versi sing cocog saka tambahan teknologi wis diinstal ing indeks lan forwarder.
  • Verifikasi yen jeneng indeks iku salah siji cylance_protect utawa nglindhungi kanggo cocog inputs.conf file.
  • Priksa manawa jinis sumber sing mlebu nemtokake ing inputs.conf yaiku syslog_protect.
  • Konfirmasi yen eventtype.conf file, kang populates dashboards, wis ora diganti.
  • Verifikasi yen macro cylance_index, sing nggoleki data Cylance, durung diowahi.
  • Ing homepage Splunk, ing garis menu vertikal, klik Telusuri & Pelaporan. Setel prasetel wektu menyang Kabeh Wektu (nyata-wektu), banjur mbukak printah theeventtype=cylance_index sourcetype=syslog*.
Asil Tindakan kanggo mutusake masalah
Ora ana data sing bali.
  • Klik Test Sambungan ing konsol Cylance. Sampeyan kudu ndeleng a Tes Sambungan Sukses pesen.
  • Priksa manawa port mbukak kanggo nampa data syslog. Kanggo example, kanggo port 651, sampeyan kudu nggunakake netstat - printah |grep 6514.
  •  Konfirmasi manawa ora ana firewall jaringan utawa host sing ngalangi lalu lintas. Sampeyan bisa uga kudu ngatur firewall lapisan 7 kanggo nampa lalu lintas TLS/SSL.
  • Gunakake packet sniffer kanggo verifikasi manawa syslog kasil disambungake lan data kasebut liwat jaringan sampeyan.
  • Yen lingkungan Splunk nggunakake daemon syslog kanggo nulis data menyang a file pisanan, mesthekake yen data wis ditulis menyang file kaya sing dikarepake.
Data bali nanging ora bisa dibaca. Priksa manawa konfigurasi TLS konsisten ing konsol Cylance lan ing Splunk. Kanggo exampNanging, kothak mriksa TLS / SSL dipilih ing console Cylance lan tcp-ssl digunakake ing inputs.conf Splunk file.
Data mung bali saka jinis sumber syslog_protect. Verifikasi yen app wis diinstal ing forwarder lan telusuran sirah supaya props.conf lan transforms.conf ditrapake lan bener ngganti jeneng sourcetype=syslog_protect kanggo jeneng jinis sumber liyane, adhedhasar isi acara.

Ngatasi masalah nglaporake data ancaman
Yen data ora diisi ing dashboard laporan, tindakake ing ngisor iki:

  • Yen organisasi sampeyan nggunakake lingkungan Splunk sing disebarake, priksa manawa konsumsi laporan data ancaman wis dikonfigurasi ing forwarder abot sing mbukak Aplikasi CylancePROTECT kanggo Splunk (ora mung teknologi tambahan) lan lingkungan Splunk mlaku ing versi 7.2 utawa luwih anyar. .
  • Verifikasi manawa versi paling anyar saka aplikasi kasebut wis diinstal ing kepala telusuran Splunk lan manawa versi tambahan teknologi sing cocog wis diinstal ing indeksasi.
  • Konfirmasi yen jeneng indeks iku salah siji cylance_protect utawa nglindhungi kanggo cocog inputs.conf file.
  • Konfirmasi yen eventtypes.conf file, kang populates dashboards, wis ora diganti.
  • Verifikasi yen macro cylance_index, sing nggoleki data Cylance, durung diowahi.
  • Ing homepage Splunk, ing garis menu vertikal, klik Telusuri & Pelaporan. Setel prasetel wektu menyang Kabeh Wektu (nyata-wektu), banjur goleki printah theeventtype=cylance_index sourcetype=syslog*.
    Saka baris printah, mriksa cylance_protect / direktori lokal kanggo ngarsane CSV lan SHA files (kanggo example, -event.csv utawa -indikator.sha).
Asil                                         Tindakan kanggo mutusake masalah
CSV lan SHA files saiki. Priksa $SPLUNK_HOME/etc/apps/cylance_protect/defaults/ inputs.conf file kanggo jeneng indeks sing digunakake input skrip.

Priksa manawa indeks kasebut ana. Gunakake jeneng indeks kanggo nggoleki ing garis telusuran Splunk.
Asil                                         Tindakan kanggo mutusake masalah
CSV lan SHA files ora Verifikasi sing lingkungan Splunk ora konco proxy utawa firewall saiki. sing bisa ngalangi sambungan. Yen proxy utawa firewall diblokir

sambungan, ngatur kanggo ngidini sambungan kanggo console Cylance.

Jalanake skrip cy_test.py saka baris printah.

Copot Splunk Aplikasi CylancePROTECT

  1. Nindakake samubarang ing ngisor iki:
    tugas Langkah-langkah
    Linux: Copot aplikasi lan ninggalake data sing gegandhengan utuh. Jalanake printah ing ngisor iki: ./splunk mbusak app [jeneng app]
    Linux: Mbusak aplikasi lan data sing gegandhengan.
    • Kanggo mbusak data, jalanake printah ing ngisor iki: ./splunk mbusak indeks
    • Kanggo mbusak aplikasi kasebut, jalanake printah ing ngisor iki: ./splunk remove app [jeneng app].
    Windows: Copot aplikasi lan ninggalake data sing gegandhengan utuh. Jalanake printah ing ngisor iki: splunk mbusak app [jeneng app]
    Windows: Mbusak aplikasi lan data sing gegandhengan.
    • Kanggo mbusak data, jalanake printah ing ngisor iki: ./splunk mbusak indeks
    • Kanggo mbusak app, jalanake printah ing ngisor iki: splunk mbusak app [jeneng app]
    Mateni Aplikasi CylancePROTECT kanggo Splunk. Jalanake printah ing ngisor iki: ./splunk mateni app [Cylance_protect] – auth:
    Aktifake maneh CylancePROTECT Aplikasi Splunk. Jalanake printah ing ngisor iki: ./splunk enable app [Cylance_protect] – auth:
  2.  Wiwiti maneh Splunk.

Kabar hukum

©2023 BlackBerry Limited. Merek dagang, kalebu nanging ora winates ing BLACKBERRY, BBM, BES, EMBLEM Design, ATHOC, CYLANCE lan SECUSMART minangka merek dagang utawa merek dagang kadhaptar BlackBerry Limited, anak perusahaan lan/utawa afiliasi, digunakake miturut lisensi, lan hak eksklusif kanggo merek dagang kasebut yaiku tinulis dilindhungi undhang-undhang. Kabeh merek dagang liyane minangka properti saka sing nduweni.
Paten, kaya sing ditrapake, diidentifikasi ing: www.blackberry.com/patents.
Dokumentasi iki kalebu kabeh dokumentasi sing digabung karo referensi ing kene kayata dokumentasi sing kasedhiya utawa kasedhiya ing BlackBerry websitus sing disedhiyakake utawa digawe bisa diakses "AS IS" lan "AS AVAILABLE" lan tanpa syarat, endorsement, jaminan, perwakilan, utawa babar pisan apa wae dening BlackBerry Limited lan perusahaan afiliasi ("BlackBerry") lan BlackBerry ora tanggung jawab kanggo tipografi, teknis, utawa ora akurat, kesalahan, utawa ngilangi liyane ing dokumentasi iki. Kanggo nglindhungi informasi lan/utawa rahasia dagang BlackBerry, dokumentasi iki bisa njlèntrèhaké sawetara aspèk teknologi BlackBerry ing istilah umum. BlackBerry nduweni hak kanggo ngganti informasi sing ana ing dokumentasi iki kanthi periodik; Nanging, BlackBerry ora duwe komitmen kanggo menehi owah-owahan, nganyari, tambahan, utawa tambahan liyane kanggo dokumentasi iki kanggo sampeyan ing wektu sing tepat utawa kabeh.
Dokumentasi iki bisa uga ngemot referensi menyang sumber informasi pihak katelu, hardware utawa piranti lunak, produk utawa layanan kalebu komponen lan konten kayata konten sing dilindhungi hak cipta lan/utawa pihak katelu. websitus (bebarengan "Produk lan Layanan Pihak Katelu"). BlackBerry ora ngontrol, lan ora tanggung jawab, apa wae Produk lan Layanan Pihak Katelu kalebu, tanpa watesan isi, akurasi, kepatuhan hak cipta, kompatibilitas, kinerja, kapercayan, legalitas, kesopanan, pranala, utawa aspek liyane saka Produk Pihak Katelu lan Layanan. Gawan referensi kanggo Produk lan Layanan Pihak Katelu ing dokumentasi iki ora ateges endorsement dening BlackBerry kanggo Produk lan Layanan Pihak Katelu utawa pihak katelu ing sembarang cara.

KEJADIAN LANGSUNG KHUSUS DILARANG OLEH HUKUM sing ditrapake ing Yurisdiksi Panjenengan, KABEH KETENTUAN, SYARAT, JAMINAN, REPRESENTASI, UTAWA JAMINAN SEBARANG JENIS, TERJADI UTAWA TERSIRAT, KANGGO TANPA Watesan, Watesan, Watesan, Watesan, Apa wae UNTUK TUJUAN UTAWA PANGGUNAAN KHUSUS, MERCHANTABILITY, KWALITAS MERCHANTABLE, NON-PELANGGARAN, KWALITAS PUAS, UTAWA JUDUL, UTAWA njedhul saka STATUTE UTAWA CUSTOM UTAWA KURSUS DEALING UTAWA PENGGUNAAN PERDAGANGAN, DIGUNAKAN DENGAN DOOR. UTAWA NON-PERFORMANCE SOFTWARE, HARDWARE, SERVICE, UTAWA PRODUK lan LAYANAN PIHAK KETIGA sing dirujuk ing kene, ora kalebu. Sampeyan uga bisa uga duwe hak liyane sing beda-beda miturut NEGARA UTAWA PROVINSI. Sawetara yurisdiksi bisa
Ora ngidini pangecualian UTAWA watesan saka JAMINAN lan kahanan. SAMPAH sing diidini dening hukum, JAMINAN UTAWA KETENTUAN TERSIRAT sing ana hubungane karo DOKUMENTASI nganti ora bisa dikecualake kaya sing wis ditemtokake ing ndhuwur, nanging bisa diwatesi, kanthi iki diwatesi nganti sangang puluh (90) dina wiwit tanggal klarifikasi sampeyan. Utawa ITEM sing dadi subyek KLAIM.

SUMBER MAKSIMUM sing diidinake dening hukum sing ditrapake ing yurisdiksi sampeyan, BLACKBERRY ORA TANGGUNG JAWAB ATAS JENIS KERUSAKAN sing ana hubungane karo DOKUMENTASI INI UTAWA PENGGUNAAN, UTAWA KINERJA UTAWA TANPA KINERJA SOFTWARE, SERVIS, HARDWARE. PRODUK lan LAYANAN sing dirujuk ing kene kalebu TANPA watesan apa wae ing ngisor iki: LANGSUNG, KONSEKUENSIAL, EXEMPLARY, INSIDENTAL, LANGSUNG, KHUSUS, PUNITIF, UTAWA AGGRAVASI, RUSAK, LANGSUNG, LANGSUNG, LANGSUNG, LANGSUNG. GANGGUAN BISNIS, Mundhut informasi bisnis, mundhut kesempatan bisnis, utawa korupsi utawa ilang data, gagal ngirim utawa nampa data, masalah sing digandhengake karo produk, ilang saka panggunaan produk BlackBerry utawa LAYANAN UTAWA BAGIAN UTAWA LAYANAN AIRTIME, BIAYA BARANG GANTI, BIAYA PENUTUP, FASILITAS UTAWA LAYANAN, BIAYA MODAL, UTAWA KERUGIAN PECUNIARY LAIN, APA ORA RUSAK.

WIS DIPIKIR UTAWA SING ORA DIPENGARUHI, LAN SING BLACKBERRY WIS DIPIKIR MUNGKIN KEMUNGKINAN KERUSAKAN KAYA.
SUMBER MAKSIMUM sing diidinake dening hukum sing ditrapake ing yurisdiksi sampeyan, BLACKBERRY ora bakal duwe kewajiban, tugas, utawa tanggung jawab liyane ing kontrak, tort, utawa liyane kanggo sampeyan, kalebu tanggung jawab kanggo kelalaian utawa keterbatasan.
Watesan, Pengecualian, lan Penafian ing kene bakal ditrapake: (A) TANPA SIFAT ALAM PANJENENGAN, PANJENENGAN, UTAWA TINDAKAN SAIKI, Klebu nanging ora diwatesi kanggo nglanggar kontrak, kelalaian, TORT, TANGGUNG JAWAB LAIN. Lan kudu slamet A NANGGALKE UTAWA NANGGANG UTAWA GAGAL TUJUAN PENTING AGREEMENT INI UTAWA ANY REMEDY KANDUNGAN KINI; LAN (B) MANGGO BLACKBERRY LAN PERUSAHAAN AFFILIASI, PENEMBUSE, ASSIGNS, AGEN, SUPPLIER (kalebu panyedhiya LAYANAN AIRTIME), DISTRIBUTOR RESMI BLACKBERRY (uga kalebu panyedhiya layanan AIRTIME, EMPRESERVICE) lan KONTRAKTOR INDEPENDENT.
Saliyane watesan lan pangecualian sing kasebut ing ndhuwur, ora ana DIREKTUR, PEKERJA, AGEN, DISTRIBUTOR, SUPPLIER, KONTRAKTOR INDEPENDENT BLACKBERRY UTAWA AFFILIASI BLACKBERRY DUWE TANGGUNG JAWAB KERJA.

Sadurunge langganan, nginstal, utawa nggunakake Produk lan Layanan Pihak Katelu, sampeyan duwe tanggung jawab kanggo mesthekake yen panyedhiya layanan airtime sampeyan wis setuju ndhukung kabeh fitur kasebut. Sawetara panyedhiya layanan wektu udhara bisa uga ora nawakake fungsi browsing Internet kanthi langganan Layanan Internet BlackBerry®. Priksa karo panyedhiya layanan kanggo kasedhiyan, pengaturan roaming, rencana layanan lan fitur. Instalasi utawa nggunakake Produk lan Layanan Pihak Katelu karo produk lan layanan BlackBerry mbutuhake siji utawa luwih paten, merek dagang, hak cipta, utawa lisensi liyane supaya ora nglanggar utawa nglanggar hak pihak katelu. Sampeyan mung tanggung jawab kanggo nemtokake manawa nggunakake Produk lan Layanan Pihak Katelu lan yen ana lisensi pihak katelu sing dibutuhake. Yen dibutuhake, sampeyan tanggung jawab kanggo entuk. Sampeyan ora kudu nginstal utawa nggunakake Produk lan Layanan Pihak Katelu nganti kabeh lisensi sing dibutuhake wis dipikolehi. Sembarang Produk lan Layanan Pihak Katelu sing disedhiyakake karo produk lan layanan BlackBerry diwenehake minangka penak kanggo sampeyan lan diwenehake "AS IS" tanpa syarat, endorsemen, jaminan, perwakilan, utawa jaminan apa wae saka BlackBerry lan BlackBerry. ora nganggep tanggung jawab apa wae, ing hubungane. Panggunaan Produk lan Layanan Pihak Katelu bakal diatur lan tundhuk karo sampeyan sarujuk karo syarat-syarat lisensi sing kapisah lan perjanjian liyane sing ditrapake karo pihak katelu, kajaba sing ditrapake kanthi tegas dening lisensi utawa persetujuan liyane karo BlackBerry.
Katentuan panggunaan produk utawa layanan BlackBerry apa wae diatur ing lisensi kapisah utawa persetujuan liyane karo BlackBerry sing ditrapake. Ora ana sing ana ing DOKUMENTASI INI sing duwe maksud kanggo ngganteni perjanjian tertulis utawa jaminan sing diwenehake dening BLACKBERRY kanggo bagean saka produk utawa layanan BLACKBERRY liyane saka DOKUMENTASI INI.
BlackBerry Enterprise Software nggabungake piranti lunak pihak katelu tartamtu. Informasi lisensi lan hak cipta sing ana gandhengane karo piranti lunak iki kasedhiya ing http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.

BlackBerry Limited
2200 Universitas Avenue Timur
Waterloo, Ontario
Kanada N2K 0A7
BlackBerry UK Limited
Lantai Dasar, Gedung The Pearce, Jalan Barat,
Maidenhead, Berkshire SL6 1RL
Inggris
Diterbitake ing Kanada

Dokumen / Sumber Daya

blackberry CylancePROTECT Aplikasi kanggo Splunk [pdf] Pandhuan pangguna
Aplikasi CylancePROTECT kanggo Splunk, Aplikasi kanggo Splunk, kanggo Splunk

Referensi

Kiriman sing gegandhengan

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *