Splunk 网络App和Add-on整理总结
Splunk功能性 App和插件
思科
Cisco Networks App for Splunk Enterprise
包含了仪表盘、数据模型和分析来自于Cisco IOS, IOS XE, IOS XR and NX-OS数据的处理逻辑。
插件:https://splunkbase.splunk.com/app/1467/
App:https://splunkbase.splunk.com/app/1352/
支持的设备:
- Cisco Catalyst series switches (2960, 3650, 3750, 4500, 6500, 6800, 7600 etc.)
- Cisco ASR - Aggregation Services Routers (900, 1000, 5000, 9000 etc.)
- Cisco ISR - Integrated Services Routers (800, 1900, 2900, 3900, 4451 etc.)
- Cisco Nexus Data Center switches (1000V, 2000, 3000, 4000, 5000, 6000, 7000, 9000 etc.)
- Cisco Carrier Routing System
- Other Cisco IOS based devices (Metro Ethernet, Industrial Ethernet, Blade Switches, Connected Grid etc.)
- Cisco WLC - WLAN Controller
F5
F5 Networks - Analytics 设计用来配合F5 Analytics iApp使用,可以完全的呈现and provide full visibility for LTM, GTM, AFM, ASM, APM, SWG, and iHealth。
支持 Big-IP 版本: 11.4.0, 11.4.1, 11.5.0, 11.5.1, 11.5.2, 11.5.3, 11.5.4, 11.6.0, 11.6.1, 12.0.0, 12.1.0, 12.1.1, 13.0.0
Palo Auto
介绍
App:https://splunkbase.splunk.com/app/491
Add-on: https://splunkbase.splunk.com/app/2757
Palo Alto Networks和Splunk合作提供高级安全报告和分析工具。此次合作为Palo Alto Networks下一代防火墙系列,高级端点安全和威胁情报云提供了运营报告,可配置仪表板视图和自适应响应。
适用于Splunk的Palo Alto Networks应用利用Palo Alto Networks安全平台提供的数据可视性以及Splunk广泛的调查和可视化功能提供高级安全报告和分析功能。这个应用程序使安全分析师,管理员和架构师能够从实时和历史的角度,跨所有网络和安全基础架构关联应用程序和用户活动。复杂的事件分析表明,以前消耗数天的手动和容易出错的数据挖掘现在可以实现自动化,不仅节省了人力,而且还使关键的企业安全资源专注于关键的,时间敏感的调查。
支持的Palo Auto的产品:
- Firewall and Panorama
- Traps Endpoint Protection
- Aperture SaaS Application Security
- AutoFocus Threat Intelligence
- MineMeld Threat Intelligence Orchestrator
- WildFire Malware Analysis
界面
BlueCoat
BlueCoat ProxySG
App:https://splunkbase.splunk.com/app/2758
Blue Coat ProxySG的Splunk附件允许Splunk软件管理员从W3C ELFF格式的Blue Coat ProxySG日志文件中收集bluecoat博客数据。 在Splunk平台索引事件之后,您可以使用附件中包含的预制面板来分析数据。 此附件提供了与其他Splunk应用程序(例如Splunk Enterprise Security和Splunk App for PCI Compliance)配合使用的输入和CIM兼容知识。
防火墙通用
场景1
统计防火墙拒绝的信息,将源地址转换为经纬度、城市信息,并按照城市统计丢弃的包的数量
host="*.*.*.*" msg=*dropped* | iplocation prefix=iploc_ allfields=true src | fields iploc_* | table iploc_* | geostats latfield=iploc_lat longfield=iploc_lon count by iploc_City
结果集如下:
可视化效果如下: