Installer Splunk sur Ubuntu 22.04

By / 12 September 2023 / Non classé

Splunk est une plateforme de gestion de données et d’analyse qui joue un rôle essentiel dans le domaine de la cybersécurité, au sein des Centres des Opérations de Sécurité (SOC) et en tant que solution SIEM (Security Information and Event Management).

Qu'est-ce que SPLUNK ?

Votre Allié en Cybersécurité et en Gestion des Données
Splunk est une puissante plateforme de gestion de données qui permet aux organisations de collecter, d’indexer, d’analyser et de visualiser des volumes massifs de données provenant de diverses sources, notamment des journaux de sécurité, des événements système, des dispositifs réseau, des applications et bien d’autres. Cette capacité en fait un atout clé pour la cybersécurité et la gestion des opérations de sécurité.

Utilisation dans la Cybersécurité

  1. Détection des Menaces : Splunk est un outil de prédilection pour la détection des menaces. Il collecte et analyse en temps réel les données de sécurité, ce qui permet aux équipes de sécurité de surveiller les activités suspectes, de détecter les indicateurs de compromission (IoC) et de réagir rapidement aux menaces potentielles.

  2. Réponse aux Incidents : En cas d’incident de sécurité, Splunk est l’outil de choix pour les enquêtes. Les analystes peuvent rechercher, corréler et analyser les données pour comprendre comment l’incident s’est produit, quelles données ont été touchées et comment réagir de manière appropriée.

  3. Tableaux de Bord et Visualisations : Splunk permet de créer des tableaux de bord personnalisés et des visualisations graphiques pour surveiller l’état de la sécurité, afficher des tendances, et générer des rapports en temps réel.

Utilisation dans un SOC

(Centre des Opérations de Sécurité)

Un SOC est le cœur de la défense de la cybersécurité d’une organisation. Splunk est un pilier essentiel au sein d’un SOC, aidant à :

    • Centraliser la Surveillance : En collectant des données de sécurité à partir de multiples sources, Splunk offre une vue consolidée des activités de sécurité.

    • Détection et Réponse aux Menaces : Splunk aide les analystes du SOC à détecter les menaces, à répondre aux incidents et à effectuer des enquêtes approfondies.

    • Corrélation des Données : En corrélant les données de sécurité, Splunk peut identifier des schémas et des indicateurs de compromission.

Utilisation en tant que SIEM

(Security Information and Event Management)

Splunk est également une solution SIEM puissante qui offre une surveillance et une gestion complètes des informations de sécurité. Elle permet :

  • Gestion des Journaux : Splunk gère et indexe les journaux de sécurité, permettant une recherche et une analyse rapides.

  • Analyse des Menaces : Splunk analyse les données pour détecter les menaces, surveille les comportements suspects et génère des alertes en temps réel.

Téléchargement et installation de Splunk

Pour installer Splunk sur Ubuntu, vous pouvez suivre les étapes suivantes :

  • Téléchargez la dernière version de Splunk pour Linux (.deb) depuis le site web de Splunk https://www.splunk.com/en_us/download/splunk-enterprise.html

Si nous n’avons pas d’interface graphique sur le serveur Ubuntu, nous téléchargeons le fichier Splunk avec “wget” qui permet de télécharger des fichiers depuis Internet. 

sudo apt update
wget -O splunk-9.1.1-64e843ea36b1-linux-2.6-amd64.deb "https://download.splunk.com/products/splunk/releases/9.1.1/linux/splunk-9.1.1-64e843ea36b1-linux-2.6-amd64.deb"
  • Ensuite, utiliser la commande “dpkg” pour installer le paquet Splunk téléchargé:
sudo dpkg -i splunk-9.1.1-64e843ea36b1-linux-2.6 -amd64.deb

Démarrage de Splunk

Pour vérifier si Splunk a été installé avec succès utiliser la commande suivant qui permet d’afficher le contenu du répertoire /opt sur votre système Linux, qui est souvent utilisé pour stocker des logiciels tiers ou des applications qui ne font pas partie de la distribution de base du système. 
ls /opt
Une fois l’installation terminée avec succès, démarrer Splunk à l’aide de la commande suivante : 
sudo /opt/splunk/bin/splunk start

Acceptez ensuite la licence, créez un nom d’utilisateur et un mot de passe administrateur.

Ceci lancera le processus Splunk. Vous pouvez acceder à l’interface Web de Splunk en entrant http://localhost:8000 dans la barre d’adresse.

Configuration de Splunk pour écouter sur l'adresse IP publique

Si vous souhaitez que Splunk soit accessible à partir de l’adresse IP de votre serveur (par exemple, 192.xx.xx.xxx), vous devrez effectuer quelques étapes supplémentaires pour configurer Splunk en conséquence.

  • Éditez le fichier de configuration de Splunk < server.conf > en utilisant un éditeur de texte.
sudo nano /opt/splunk/etc/system/local/server.conf
  • Puis, ajoutez ou modifiez la ligne bindIp dans le fichier server.conf pour qu’elle pointe vers l’adresse IP de votre serveur. Par exemple :
[general]
bindIp = 192.XX.XX.XXX

Enregistrez les modifications et fermez l’éditeur de texte.

  • Redémarrez Splunk pour appliquer la nouvelle configuration :
sudo /opt/splunk/bin/splunk restart
  • Ensuite, configurer du pare-feu pour autoriser les connexions entrantes sur le port 8000 
sudo ufw allow 8000/tcp
  • Enfin, accédez à Splunk depuis un navigateur
http://192.xx.xx.xxx:800000/
  • Vous devriez maintenant pouvoir accéder à l’interface Web de Splunk depuis n’importe quel ordinateur connecté à Internet en utilisant l’adresse IP publique de votre serveur

Articles Similaires

Leave a Comment

Your email address will not be published. Required fields are marked *