红帽全球峰会第 13 章 与 Splunk 集成
如果使用 Splunk,您可以将警报从 Red Hat Advanced Cluster Security for Kubernetes 转发到 Splunk,并在 Splunk 内查看漏洞和合规性相关数据。
根据您的用例,您可以使用以下方法将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成:
在 Splunk 中使用 HTTP 事件收集器
- 使用 event collector 选项转发警报和审计日志数据
使用 StackRox Kubernetes 安全平台附加组件
使用附加组件将漏洞检测和合规性数据拉取到 Splunk
注意只有在使用 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.51.0 或更高版本时才提供 StackRox Kubernetes 安全平台附加组件。
您可以使用这些集成选项之一或两个集成选项,将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成。
13.1. 使用 HTTP 事件收集器
您可以使用 HTTP 事件收集器将警报从 Red Hat Advanced Cluster Security for Kubernetes 转发到 Splunk。
使用 HTTP 事件收集器将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成,请按照以下步骤操作:
- 在 Splunk 中添加新的 HTTP 事件收集器,并获取令牌值。
- 使用令牌值在 Red Hat Advanced Cluster Security for Kubernetes 中设置通知。
- 识别您要发送通知的策略,并更新这些策略的通知设置。
13.1.1. 在 Splunk 中添加 HTTP 事件收集器
为您的 Splunk 实例添加新的 HTTP 事件收集器,并获取令牌。
流程
-
在 Splunk 仪表板中,导航到 Settings
Add Data。 - 单击 Monitor。
- 在 Add Data 页面上,单击 HTTP Event Collector。
- 为事件收集器输入 Name,然后点 Next >。
- 接受默认的 Input Settings 并点 Review >。
- 检查事件收集器属性,并点击 Submit >。
- 复制事件收集器的 Token Value。您需要此令牌值来配置在 Red Hat Advanced Cluster Security for Kubernetes 中与 Splunk 的集成。
13.1.1.1. 启用 HTTP 事件收集器
您必须启用 HTTP 事件收集器令牌,然后才能接收事件。
流程
-
在 Splunk 仪表板中,导航到 Settings
Data inputs。 - 点 HTTP Event Collector。
- 点 Global Settings。
- 在打开的对话框中,单击 Enabled,然后单击 Save。
使用令牌值在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的 Splunk 集成。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 向下滚动到 Notifier Integrations 部分,然后选择 Splunk。
-
点 New Integration (
添加图标)。 - 输入 Integration Name 的名称。
-
在 HTTP 事件收集器 URL 字段中输入 Splunk URL。如果对于 HTTPS 不是
443,对于 HTTP 不是80,则需要指定一个端口号。您还必须在 URL 末尾添加 URL 路径/services/collector/event。例如:https://<splunk-server-path>:8088/services/collector/event。 在 HTTP Event Collector Token 字段中输入您的令牌。
注意如果您使用 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.57 或更新版本,可以为 Alert 事件和 Source Type 指定 Audit 事件。
-
选择 Test (
checkmark图标)以发送测试信息以验证与 Splunk 集成是否有效。 -
选择 Create (
保存图标)以创建配置。
13.1.3. 配置策略通知
为系统策略启用警报通知。
流程
-
在 RHACS 门户网站中,导航到 Platform Configuration
Policies。 - 选择您要为其发送警报的一个或多个策略。
- 在 Bulk 操作 下,选择 Enable notification。
在 Enable notification 窗口中,选择 Splunk notifier。
注意如果您还没有配置任何其他集成,系统会显示一条没有配置通知程序的消息。
- 单击 Enable。
- Red Hat Advanced Cluster Security for Kubernetes 会根据需要发送通知。要接收通知,您必须首先为策略分配一个通知程序。
- 通知仅针对给定警报发送一次。如果您为策略分配了通知程序,则不会收到通知,除非有违反情况生成新的警报。
Red Hat Advanced Cluster Security for Kubernetes 为以下场景创建新警报:
- 第一次部署时会发生策略违反情况。
- 当您解决部署中的前一个运行时警报后,会发生运行时策略违反情况。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}