Açık Kaynak SIEM Araçlarının Kurulumu: Splunk

Açık kaynak (Open Source) SIEM araçları günümüzde bilgi işlem daireleri tarafından sistemlerin güvenliğini sağlamak amacıyla tercih edilen güvenlik çözümlerindendir. Bu makalemizde ise en çok kullanılan açık kaynak SIEM ürünlerinden biri olan Splunk’ın kurulumunu anlatıyor olacağız.

Splunk Nedir?

IT yani bilgi teknolojileri altyapılarında bulunan domainler, uygulamalar, sensörler, cihazlar vb. tarafından oluşturulan verileri aramak, analiz etmek ve görselleştirmek için kullanılabilen açık kaynak SIEM(Security Information and Event Management) aracıdır. SIEM ve Log Yönetimi konusunda global olarak bilinen ve kullanılan bir üründür. Splunk’ın Enterprise (kurumsal) ve Free (ücretsiz) olmak üzere iki sürümü vardır. Free (ücretsiz) sürümü için günlük 500 MB’a kadar veri indekslenmesi mümkündür. Free (ücretsiz) dağıtımı küçük ölçekli yapılar için tavsiye edilen işlevsel bir üründür. SOC yani Güvenlik Operasyon Merkezi kurmak isteyen her yapıya uygun bir çözüm sunmaktadır.

Splunk’un Önemli Bazı Avantajları:

  • Veriler istenilen formatta Splunk’a aktarmak mümkündür. (csv, json vb.)
  • Yüksek hacimde üretilen veriler toplanarak analiz yapılabilir.
  • Uygulamalara ve cihazlara bağlanmak için API kullanır.
  • Kolayca anlaşılabilir ve aksiyon alınabilir veri raporlarına oluşturulabilir.
  • Yapay Zeka ve Makine Öğrenimine sahiptir.
  • SaaS (Software as a service) yapılarını destekler.
  • Incident Response ve Tehdit Analizi için geniş konfigürasyon seçeneklerine sahiptir.

Splunk’ın Kurulumu

Hız açısından daha verimli olması sebebiyle bu makaledeki kurulum CentOS 7 Minimal Distro üzerinde yapılacaktır.

splunk kurulum

CentOS 7 kurma işlemi tamamlandıktan sonra “root” kullanıcısı olarak giriş yapılır. IP adresi kontrolünden sonra Google’ın DNS sunucusuna (8.8.8.8) ping atılarak bağlantı durumu kontrol edilir.

splunk ping

Kurulan CentOS sisteme PuTTY kullanarak SSH(Secure Shell Protocol) aracılığı ile bağlanır. PuTTY, CentOS sisteminin CLI (Command Line Interface)’ine bağlanarak daha rahat işlem yapılmasını sağlayacaktır. Ancak bu opsiyonel bir durumdur. https://www.putty.org/ adresinden PuTTY indirilerek kurulumu yapılır.

putty ile splunk kurulumu

“yum install -y net-tools” komutu çalıştırılarak ifconfig komutları için paketler kurulur. Buradaki “-y” parametresi kurulum esnasında onay verilmesi gereken tüm paketleri önceden onaylaması içindir.

URL uzantılarından dosyayı sistemimize yüklemek için “yum install -y wget” komutu çalıştırılır. “wget” komutu Splunk’ı sisteme .rpm paketi olarak kurmak için kullanılır.

splunk nedir

“wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm ‘https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true‘ “ komutu çalıştırılarak Splunk sisteme kurulur.

splunk nasıl kurulur

“rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm” komutu ile Splunk için indirilen rpm paketleri yüklenir. “-i” parametresi kurmak istediğimiz .rpm paketini belirtmek için kullanılır.

Not:İndirilen Splunk .rpm paketlerinin aynı dizinde olduğuna dikkat edilmelidir.

splunk yükleme işlemi

“cd /opt/splunk/bin” komutu çalıştırılarak Splunk’ın kurulu olduğu dizine gidilir. “./splunk start –accept-license” komutu ile de, yüklenen Splunk uygulamasını başlatılır.

splunk nasıl çalıştırılır

Kurulum esnasında Splunk için istenen Administrator kullanıcı adı ve parola değerleri bu aşamada belirlenir.

splunk credentials

Splunk’un otomatik olarak başlatılması için “./splunk enable boot-start” komutunu çalıştırılır. Bu komut tamamen isteğe bağlı bir komut olsa da Splunk’ın düzenli çalışması için tavsiye edilir.

splunk otomatik çalıştırmak

splunk otomatize

8000. portu kullanarak çalışan Splunk’a firewall tarafından izin vermek için “firewall-cmd –zone=public –add-port=8000/tcp –permanent” komutu çalıştırılır.

“firewall-cmd –reload” komutu ile üzerinde ayarlama yaptığımız firewall komutu yeniden başlatılır.

splunk firewall

splunk enterprise arayüz

192.168.0.23:8000 adresine tarayıcı üzerinden bağlantı isteği atılır. Splunk için belirtilen kullanıcı adı ve parola girildikten sonra erişim sağlanır.