Sophos Endpoint [Lab][19] Tích hợp với Splunk

Tích hợp với Splunk​

I. Mở đầu​

Trong một hệ thống giám sát an ninh mạng hiện đại (SOC), việc tập trung dữ liệu từ nhiều nguồn khác nhau về một hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) là yêu cầu thiết yếu. Splunk là một trong những nền tảng SIEM hàng đầu, và việc tích hợp Sophos Central với Splunk giúp quản trị viên có thể phân tích log, tương quan dữ liệu và phản ứng nhanh chóng với các sự cố bảo mật từ một giao diện duy nhất.

II. Lý thuyết​

Sophos cung cấp ứng dụng Sophos Central Add-on for Splunk để đơn giản hóa quá trình thu thập dữ liệu.
Các loại dữ liệu có thể đẩy sang Splunk:

1. Events (Sự kiện): Các hoạt động diễn ra trên Endpoint (Quét virus, cập nhật phần mềm, hành vi ứng dụng).
2. Alerts (Cảnh báo): Các thông báo quan trọng cần xử lý ngay (Phát hiện mã độc, Ransomware, các thay đổi chính sách trái phép).

Yêu cầu kỹ thuật:

• Quyền quản trị cao nhất (Super Admin) trên Sophos Central.
• Cài đặt Splunk Enterprise hoặc Splunk Cloud.
• Bản quyền Sophos Endpoint/Server có hỗ trợ tính năng API.

III. Mô hình mạng​

Mình sẽ tận dụng mô hình của bài lab trước
Thêm Linux Splunk để kéo Log từ Sophos về quản lý tại đây

IV. Hướng dẫn cấu hình​

Quy trình tích hợp bao gồm 3 giai đoạn chính:

Giai đoạn 1: Tạo API Credentials trên Sophos Central​

Cần tạo mã định danh cho Splunk có thể yêu cầu tới Sophos Central
Đăng nhập vào Sophos Central Admin.
Truy cập Global Settings > API Credentials Management.

Nhấn nút Add Credential ở góc trên bên phải.

Đặt tên cho thông tin đăng nhập
Mục Role chọn Service Principal Super Admin (để đảm bảo Splunk có đủ quyền đọc dữ liệu).


Lưu ý:
Copy Client ID và Client Secret dể lưu lại. Sau khi thoát ra Client Secret sẽ không hiển thị lại nữa.
Nhấn Add.

Giai đoạn 2: Cài đặt Sophos Central Add-on trên Splunk​

Trên máy Linux Splunk (đã cài Splunk)

Truy cập đường dẫn sau để tải Sophos Central Add-on từ Splunkbase

Nếu chưa có tài khoản bạn cần tạo để tải
Sau khi tải xong

Để cài vào splunk thực hiện các bước

• Nhấn vào biểu tượng bánh răng Manage

• Chọn Install app from file và tải file vừa tải từ Splunkbase lên.

Sau khi xong khởi chạy lại Splunk bằng lệnh Restart
Kiểm tra lại phần App đã cài

Giai đoạn 3: Cấu hình kết nối dữ liệu trong Splunk​

Nhấn vào tên để mở ứng dụng Sophos Central Add-on for Splunk vừa cài đặt

Vào tab Configuration > mục Account. Nhấp Add để nhập thông tin Client ID và Client Secret đã lấy ở Giai đoạn 1.


Save

Sau đấy chuyển sang lại tab Inputs. Nhấn Create New Input.

Thiết lập các thông số:

• Name: Đặt tên cho nguồn dữ liệu.
• Interval: Tần suất Splunk lấy dữ liệu từ Sophos (Mặc định là 900 giây).
• Index: Chọn Index lưu trữ dữ liệu trong Splunk (Ví dụ: main hoặc một index riêng cho Sophos).

Mình sẽ tạo 1 cái cho Alert và 1 cái cho Event


Add

V. Kiểm tra kết quả​

Vào App > Search & Reporting

Vào Data Summary

Có thể thấy đãy lấy được 2 log event mới về

Nhấn vào để xem


Check trên Sophos Central

Thông tin tài khoản đã được sử dụng

V. Tổng kết​

Tích hợp Sophos Central với Splunk mang lại khả năng giám sát tập trung và chuyên sâu hơn cho doanh nghiệp. Cần chú ý các điểm sau để duy trì kết nối ổn định:

• Bảo mật API Key: Tuyệt đối không chia sẻ Client Secret cho người không có thẩm quyền.
• Quản lý Băng thông: Việc lấy dữ liệu liên tục có thể tốn tài nguyên mạng và dung lượng lưu trữ trên Splunk, cần điều chỉnh tham số Interval phù hợp.
• Cập nhật Add-on: Luôn kiểm tra và cập nhật phiên bản mới nhất của Sophos Add-on trên Splunkbase để tương thích với các API mới nhất của hãng.