Descarga e instalación del SIEM (Sistema de Gestión de Eventos e Información de Seguridad) Splunk para Windows y Linux. Se trata de uno de los mejores SIEM del mercado. Es de pago, aunque tiene una versión trial de 60 días y, una vez caducada, continuará la versión free con características limitadas.
- Descarga e instalación de Splunk para Windows 10.
- Descarga e instalación del SIEM Splunk Enterprise para Linux.
Descarga e instalación de Splunk para Windows 10 y Windows Server
Descargaremos, como siempre desde la web oficial, el instalador del SIEM Splunk para Windows de 64 bits. Puede que requiera registro y, además, en nuestro caso, para la versión Splunk Enterprise 8.2.6 hemos tenido que indicar en el país del usuario «Unated States» para que nos dejara descargarlo:
Ejecutaremos el fichero msi descargado splunk-8.2.6-a6fe1ee8894b-x64-release.msi. Se iniciará el asistente de instalación de Splunk Enterprise en Window. Marcaremos «Check this box to accept the License Agreement» y pulsaremos en «Customize Options»:
Elegiremos la carpeta de instalación de Splunk:
A continuación podremos instalar Splunk en modo local (para el equipo actual) o bien en modo dominio (si disponemos de un dominio Active Directory de Windows, en este caso Splunk podrá recabar datos remotos mediate WMI). En nuestro caso elegiremos «Local System»:
Introduciremos usuario y contraseña para acceso a la consola web de Splunk:
Pulsaremos en «Install»:
Tras la instalación de Splunk Enterprise, nos lo indicará el asistente, permitiéndonos iniciar el navegador con la URL de Splunk:
Nos abrirá el navegador accediendo a la URL:
http://127.0.0.1:8000
Iniciaremos sesión con el usuario y la contraseña creados en la instalación:
Y ya tendremos acceso a la consola de gestión de Splunk, que de momento estará vacía de información:
Descarga e instalación del SIEM Splunk Enterprise para Linux
Para el caso de Linux Ubuntu Server 21 (y otras distribuciones), en la web oficial tendremos la opción de descargar el paquete en formato .deb, .rpm o bien .tgz. También existe una versión para Mac OSX. En nuestro caso descargaremos el paquete .deb para instalarlo en una distribución Linux Ubuntu:
Una vez descargado en un equipo con entorno gráfico (para acceder con navegador y registrar el usuario), transferiremos el fichero descargado al equipo con Linux, por ejemplo mediante Filezilla:
Nota: Splunk nos da la opción de copiar el enlace de descarga (con wget) una vez registrados, copiándolo podremos ejecutarlo en Linux para descargar el fichero. Esto es útil cuando no disponemos de acceso SSH desde otro equipo para hacer la transferencia:
El comando generado en nuestro caso para la descarga directa desde Linux sin modo gráfico:
1 |
wget -O splunk-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb "https://download.splunk.com/products/splunk/releases/8.2.6/linux/splunk-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb" |
Abrimos una consola SSH contra el equipo Linux y accedemos a la carpeta donde hemos transferido el fichero de instalación de Splunk:
1 |
cd /tmp |
Al tratarse de un paquete .deb, lo instalaremos con el comando:
1 |
sudo dpkg -i splunk-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb |
Una vez instalado Splunk, lo habilitaremos para que se ejecute en el inicio y realizaremos la configuración preliminar (aceptar los términos de licencia y crear un usuario administrador). Para ello ejecutaremos el comando:
1 |
sudo /opt/splunk/bin/splunk enable boot-start |
Que nos mostrará los términos de licencia:
Para aceptarlos introduciendo «y» y pulsando INTRO:
Nos solicitará un nombre de usuario administrador, que será el que se cree en la plataforma Splunk, por ejemplo admsp y nos pedirá la contraseña para este usuario:
Si todo es correcto, el asistente de carga en inicio nos indicará que ha creado los scripts necesarios para que Splunk cargue en el inicio del equipo:
Moving ‘/opt/splunk/share/splunk/search_mrsparkle/modules.new’ to ‘/opt/splunk/share/splunk/search_mrsparkle/modules’.
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.
Por último iniciaremos el servicio Splunk con el comando:
1 |
sudo service splunk start |
Si tenemos algún cortafuegos en el equipo Linux, tendremos que abrir el puerto 8000, que es el que usa Splunk para la conexión a la consola web.
A partir de ahora, desde cualquier equipo de la red, con un navegador, introduciremos la URL:
http://IP_Equipo_Splunk:8000
Y accederemos a la consola web de gestión de Splunk, nuestro sistema SIEM:
En el primer inicio de sesión nos advertirá de que si usamos el sistema de almacenamiento NMAPV1 tendremos que migrarlo a WiredTiger:
Si ejecutamos el siguiente comando en la consola de Linux, nos mostrará el storage engine que estamos usando:
1 2 |
cd /opt/splunk/bin sudo ./splunk show kvstore-status |
Que es el NMAPV1, por lo tanto, en algún momento, tendremos que migrar a WiredTiged.
Y al igual que en el caso de Windows, tendremos acceso a la consola de gestión de Splunk, de momento vacía hasta que empecemos a recolectar datos de los distintos sistemas de nuestra organización: