Açık kaynak (Open Source) SIEM araçları günümüzde bilgi işlem daireleri tarafından sistemlerin güvenliğini sağlamak amacıyla tercih edilen güvenlik çözümlerindendir. Bu makalemizde ise en çok kullanılan açık kaynak SIEM ürünlerinden biri olan Splunk’ın kurulumunu anlatıyor olacağız.
Splunk Nedir?
IT yani bilgi teknolojileri altyapılarında bulunan domainler, uygulamalar, sensörler, cihazlar vb. tarafından oluşturulan verileri aramak, analiz etmek ve görselleştirmek için kullanılabilen açık kaynak SIEM(Security Information and Event Management) aracıdır. SIEM ve Log Yönetimi konusunda global olarak bilinen ve kullanılan bir üründür. Splunk’ın Enterprise (kurumsal) ve Free (ücretsiz) olmak üzere iki sürümü vardır. Free (ücretsiz) sürümü için günlük 500 MB’a kadar veri indekslenmesi mümkündür. Free (ücretsiz) dağıtımı küçük ölçekli yapılar için tavsiye edilen işlevsel bir üründür. SOC yani Güvenlik Operasyon Merkezi kurmak isteyen her yapıya uygun bir çözüm sunmaktadır.
Splunk’un önemli bazı avantajları:
- Veriler istenilen formatta Splunk’a aktarmak mümkündür. (csv, json vb.)
- Yüksek hacimde üretilen veriler toplanarak analiz yapılabilir.
- Uygulamalara ve cihazlara bağlanmak için API kullanır.
- Kolayca anlaşılabilir ve aksiyon alınabilir veri raporlarına oluşturulabilir.
- Yapay Zeka ve Makine Öğrenimine sahiptir.
- SaaS (Software as a service) yapılarını destekler.
- Incident Response ve Tehdit Analizi için geniş konfigürasyon seçeneklerine sahiptir.
Splunk’ın kurulumu:
Hız açısından daha verimli olması sebebiyle bu makaledeki kurulum CentOS 7 Minimal Distro üzerinde yapılacaktır.
CentOS 7 kurma işlemi tamamlandıktan sonra “root” kullanıcısı olarak giriş yapılır. IP adresi kontrolünden sonra Google’ın DNS sunucusuna (8.8.8.8) ping atılarak bağlantı durumu kontrol edilir.
Kurulan CentOS sisteme PuTTY kullanarak SSH(Secure Shell Protocol) aracılığı ile bağlanır. PuTTY, CentOS sisteminin CLI (Command Line Interface)’ine bağlanarak daha rahat işlem yapılmasını sağlayacaktır. Ancak bu opsiyonel bir durumdur. https://www.putty.org/ adresinden PuTTY indirilerek kurulumu yapılır.
“yum install -y net-tools” komutu çalıştırılarak ifconfig komutları için paketler kurulur. Buradaki “-y” parametresi kurulum esnasında onay verilmesi gereken tüm paketleri önceden onaylaması içindir.
URL uzantılarından dosyayı sistemimize yüklemek için “yum install -y wget” komutu çalıştırılır. “wget” komutu Splunk’ı sisteme .rpm paketi olarak kurmak için kullanılır.
“wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm ‘https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true‘ “ komutu çalıştırılarak Splunk sisteme kurulur.
“rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm” komutu ile Splunk için indirilen rpm paketleri yüklenir. “-i” parametresi kurmak istediğimiz .rpm paketini belirtmek için kullanılır.
Not:İndirilen Splunk .rpm paketlerinin aynı dizinde olduğuna dikkat edilmelidir.
“cd /opt/splunk/bin” komutu çalıştırılarak Splunk’ın kurulu olduğu dizine gidilir. “./splunk start –accept-license” komutu ile de, yüklenen Splunk uygulamasını başlatılır.
Kurulum esnasında Splunk için istenen Administrator kullanıcı adı ve parola değerleri bu aşamada belirlenir.
Splunk’un otomatik olarak başlatılması için “./splunk enable boot-start” komutunu çalıştırılır. Bu komut tamamen isteğe bağlı bir komut olsa da Splunk’ın düzenli çalışması için tavsiye edilir.
8000. portu kullanarak çalışan Splunk’a firewall tarafından izin vermek için “firewall-cmd –zone=public –add-port=8000/tcp –permanent” komutu çalıştırılır.
“firewall-cmd –reload” komutu ile üzerinde ayarlama yaptığımız firewall komutu yeniden başlatılır.
192.168.0.23:8000 adresine tarayıcı üzerinden bağlantı isteği atılır. Splunk için belirtilen kullanıcı adı ve parola girildikten sonra erişim sağlanır.