如何安裝和設定多雲安全

Infosec App for Splunk 是您的入門安全套件。它的目的是應對最常見的安全使用情境，包括持續監控和安全調查。這個最新的 Infosec Multicloud App for Splunk 應用套件是由我們的現場團隊所開發，以幫助使用雲端環境的客戶。除了跨雲供應商的安全狀態概觀外，該應用套件中還有一個計費儀表板，可以高層次檢視您在各家雲端供應商中的成本。本文詳細說明了安裝和設定 Infosec Multicloud App for Splunk 應用套件所需的步驟。

安全狀態儀表板提供了跨多雲環境的警示概觀

持續監控可提供雲端環境中對物件所做變動的可見性

計費儀表板提供按雲端服務廠商 (CSP) 的完整成本明細，包括可進一步查看各服務和地區，並可以使用查閱來按部門區分，以補充原始的 CSP 資料

如何安裝和設定 Infosec Multicloud App for Splunk
安裝和設定 Infosec Multicloud App for Splunk 與 Infosec App 的步驟相似。只要從 Splunkbase 下載即可。該應用套件可以安裝在獨立的 Splunk 伺服器、搜尋頭 (Search Head) 或搜尋頭叢集上。在分散式環境中，此應用套件應只安裝在搜尋頭，而不是索引伺服器上。在 Splunk Cloud 環境中，您可以使用 Splunk Web UI 部署將這個應用套件部署您的環境，無須外部協助或技術支援。為確保應用套件可以正確填充資料，我們需要達成一些前提，包括資料來源、Splunk 附加元件和資料模型加速。

最低要求是，您應該有來自一個或多個雲端服務提供商 (例如 Amazon Web Services、Azure、GCP 等) 的資料流入 Splunk。您必須使用各種 Splunk 附加元件擷取資料，以確保雲端資料符合通用資訊模型 (CIM) 標準。您可以使用 Splunk Data Manager 來匯入資料，但由於它不提供 CIM 映射功能，因此仍需要安裝之前提到的各種附加元件。如果您的資料不符合 CIM 標準，則將無法將其填入個個面板。由於面板在搜尋中使用了各種資料模型，建議您擷取填充這些資料模型的資料 (以下列出這些資料模型)。請檢視 Splunk 附加元件文件，以更加了解哪些輸入會填充哪些資料模型。例如，檢視「Splunk Add-on for AWS 的來源類型」頁面，找出哪些 AWS 特定的來源類型會對應到哪個資料模型。

在開始使用 Infosec Multicloud 之前，必須安裝以下免費的 Splunk 附加元件：

• Splunk 通用資料模型 (CIM)
• Punchcard 視覺效果
• Force Directed 視覺效果
• Sankey 圖表視覺效果
• Treemap - 自訂視覺效果

最後，您必須加速以下的資料模型：

• 警示
• 驗證
• 變更
• 入侵偵測
• 網路工作階段
• 網路流量
• 端點
• 網頁

Infosec Multicloud 內的一些面板在搜尋時會使用 infosec-cloud-indexes 巨集。該巨集的預設值為：index="*"。建議您修改此巨集，以更適用於您的 Splunk 設定。

如何安裝/設定計費儀表板
Splunk Multicloud 計費儀表板的資料是來自於您擷取到 Splunk 的各種雲端服務提供商的計費資料。若要填充計費儀表板，您需要使用 Splunk 的最佳作法來匯入您的雲端資料：使用 Splunk 附加元件！

匯入計費資料：AWS
對於 AWS 的計費資料，建議使用 Splunk Add-on for Amazon Web Services。這個 AWS 的 Splunk 附加元件會從 S3 貯體透過 CloudWatch 收集計費指標和計費報告。您需要在 Billing and Cost Management 控制台的偏好選像部分中啟用接收計費警示，以便 AWS 能夠在 CloudWatch 中產生計費指標。在這個附加元件中，您需要在「Configurations」標籤頁中設定您的帳戶，然後切換到「Inputs」標籤頁並設定計費輸入。

匯入計費資料：Azure
若要匯入 Azure 計費資料，建議使用 Splunk Add-on for Microsoft Azure。您需要根據 Microsoft 文件，設定 Azure AD 中的 Active Directory 應用程式，以便導出計費資料。然後，您就可以設定您的帳戶憑證，然後開始新增輸入。計費儀表板會使用 Azure 計費和消費輸入的資料。

匯入計費資料：GCP
若要匯入 GCP 計費資料，建議使用 Splunk Add-on for Google Cloud Platform。您需要為每個專案建立一個 Google Cloud 服務帳戶，以從 Google Cloud 計費中收集資料。然後，您需要在附加元件中設定 Google Cloud BigQuery 計費輸入，並提供相關的資訊。

計費儀表板使用查閱表來新增部門相關資訊。如需使用這個查閱表，必須先填寫Department_Lookup.csv。您需要用各部門及其對應的 account_id 來填充這個查閱表。在「按部門成本」面板中會使用這些資訊。

立即開始使用 Infosec Multicloud App for Splunk 應用套件。如果您是 Splunk 的新手，可以探索安全產品導覽，並進行免費試用以深入了解更多內容。
________________________________________
其他資源
• Splunk Add-on for AWS 的來源類型
• Splunk Add-on for Amazon Kinesis Firehose 的來源類型
• Splunk Add-on for Microsoft Cloud Services 的來源類型
• Splunk Add-on for Microsoft Office 365 的來源類型
• Splunk Add-on for Google Cloud Platform 的來源類型
• Splunk Add-on for Google Workspace 的來源類型