Our Space Appliances, 17. 8. 2022

Razvili smo Splunk vtičnik in aplikacijo za Apple unified logging

V podjetju Our Space Appliances d.o.o. se zavedamo, da imajo sodobne organizacije različne potrebe po programski in strojni opremi. V zadnjih letih opažamo trend vsepogostejše uporabe Applovih delovnih postaj in prenosnikov v poslovnem svetu. To za mnoge predstavlja izziv, saj spremjanje delovanja teh naprav in centralizirano beleženje varnostnih dogodkov ni podporto s strani mnogih ponudnikov varnostnih rešitev.

 

Kot ponudniki implementatorji SIEM rešitev podjetja Splunk smo sprejeli ta izziv. Splunk je z različico 9 omogočil zajem podatkov iz naprav, ki tečejo na opracijskem sistemu MacOS. Kmalu po izzidu smo zavihali rokave in izdelali Splunk vtičnik (Add-on) in aplikacij ki omogočata normalizacijo podatkov. Normalizacija je potrebna za  skladnost s splunkovim skupnim modelom informacij (CIM - common information model), ki omogoča prikaz teh podatkov v napredni rešitvi za upravljanje varnostnih informacij in dogodkov (SIEM) Splunk Enterprise Security.

 

Splunk-aul

 

 

Idejni avtor vtičnika in aplikacije ja Žiga Humar, vodja oddelka za informacijsko-varnostne rešitve. Pri izdelavi pa so sodelovali tudi ostali člani oddelka. Ob izdaji je z nami delil naslednjo misel:

Naše stranke so že pred leti izrazile željo, da bi v svojem Splunk SIEMu lahko spremljale tudi varnostne dogodke iz MacOS naprav. To vrsto let ni bilo mogoče, saj je Apple spremenil način beleženja iz tekstovnih datotek v Apple Unified Logging (AUL). Splunk je z različico 9 izdal agenta, ki zna zajemati podatke iz AUL. Ker pa kompatibilnosti s CIM še ni bilo, smo jo izdelali mi, hkrati pa pripravili še preprosto aplikacijo, ki omogoča vizualizacijo varnostnih podatkov na preglednih ploščah. Tako končno vidimo tudi, če se kaj čudnega dogaja na naših Mac-ih.

 

Pri razvoju vtičnika in aplikacije smo si pomagali z vsebino, ki jo je objavila Sarah Edwards, ki je v koronskih časih napisala vodič "Analysis of Apple Unified Logs". Njene objave so nas usmerjale tako na nivoju zajema (katere podatke zajeti) kot tudi na kasnejšem nivoju, kako te podatke interpretirati, da postanejo merodajne informacije.

 

 

Vtičnik in aplikacija sta dostopna na portalu Splunkbase za vse registrirane uporabnike.

Vtičnik: Add-on for Apple Unified Logging
Aplikacija: App for Apple Unified Logging

Zadnje novice: