Descarga e instalación del SIEM (Sistema de Gestión de Eventos e Información de Seguridad) Splunk para Windows y Linux. Se trata de uno de los mejores SIEM del mercado. Es de pago, aunque tiene una versión trial de 60 días y, una vez caducada, continuará la versión free con características limitadas.

Descarga e instalación de Splunk para Windows 10 y Windows Server

Descargaremos, como siempre desde la web oficial, el instalador del SIEM Splunk para Windows de 64 bits. Puede que requiera registro y, además, en nuestro caso, para la versión Splunk Enterprise 8.2.6 hemos tenido que indicar en el país del usuario «Unated States» para que nos dejara descargarlo:

Descarga e instalación de Splunk en Windows 10

Ejecutaremos el fichero msi descargado splunk-8.2.6-a6fe1ee8894b-x64-release.msi. Se iniciará el asistente de instalación de Splunk Enterprise en Window. Marcaremos «Check this box to accept the License Agreement» y pulsaremos en «Customize Options»:

Descarga e instalación de Splunk para Windows 10

Elegiremos la carpeta de instalación de Splunk:

Descarga e instalación de Splunk para Windows 10

A continuación podremos instalar Splunk en modo local (para el equipo actual) o bien en modo dominio (si disponemos de un dominio Active Directory de Windows, en este caso Splunk podrá recabar datos remotos mediate WMI). En nuestro caso elegiremos «Local System»:

Descarga e instalación de Splunk para Windows 10

Introduciremos usuario y contraseña para acceso a la consola web de Splunk:

Descarga e instalación de Splunk para Windows 10

Pulsaremos en «Install»:

Descarga e instalación de Splunk para Windows 10

Tras la instalación de Splunk Enterprise, nos lo indicará el asistente, permitiéndonos iniciar el navegador con la URL de Splunk:

Descarga e instalación de Splunk para Windows 10

Nos abrirá el navegador accediendo a la URL:

http://127.0.0.1:8000

Iniciaremos sesión con el usuario y la contraseña creados en la instalación:

Descarga e instalación de Splunk para Windows 10

Y ya tendremos acceso a la consola de gestión de Splunk, que de momento estará vacía de información:

Descarga e instalación de Splunk para Windows 10

Descarga e instalación del SIEM Splunk Enterprise para Linux

Para el caso de Linux Ubuntu Server 21 (y otras distribuciones), en la web oficial tendremos la opción de descargar el paquete en formato .deb, .rpm o bien .tgz. También existe una versión para Mac OSX. En nuestro caso descargaremos el paquete .deb para instalarlo en una distribución Linux Ubuntu:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Una vez descargado en un equipo con entorno gráfico (para acceder con navegador y registrar el usuario), transferiremos el fichero descargado al equipo con Linux, por ejemplo mediante Filezilla:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Nota: Splunk nos da la opción de copiar el enlace de descarga (con wget) una vez registrados, copiándolo podremos ejecutarlo en Linux para descargar el fichero. Esto es útil cuando no disponemos de acceso SSH desde otro equipo para hacer la transferencia:

Descarga e instalación del SIEM Splunk Enterprise para Linux

El comando generado en nuestro caso para la descarga directa desde Linux sin modo gráfico:

Abrimos una consola SSH contra el equipo Linux y accedemos a la carpeta donde hemos transferido el fichero de instalación de Splunk:

Al tratarse de un paquete .deb, lo instalaremos con el comando:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Una vez instalado Splunk, lo habilitaremos para que se ejecute en el inicio y realizaremos la configuración preliminar (aceptar los términos de licencia y crear un usuario administrador). Para ello ejecutaremos el comando:

Que nos mostrará los términos de licencia:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Para aceptarlos introduciendo «y» y pulsando INTRO:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Nos solicitará un nombre de usuario administrador, que será el que se cree en la plataforma Splunk, por ejemplo admsp y nos pedirá la contraseña para este usuario:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Si todo es correcto, el asistente de carga en inicio nos indicará que ha creado los scripts necesarios para que Splunk cargue en el inicio del equipo:

Moving ‘/opt/splunk/share/splunk/search_mrsparkle/modules.new’ to ‘/opt/splunk/share/splunk/search_mrsparkle/modules’.
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

Por último iniciaremos el servicio Splunk con el comando:

Si tenemos algún cortafuegos en el equipo Linux, tendremos que abrir el puerto 8000, que es el que usa Splunk para la conexión a la consola web.

A partir de ahora, desde cualquier equipo de la red, con un navegador, introduciremos la URL:

http://IP_Equipo_Splunk:8000

Y accederemos a la consola web de gestión de Splunk, nuestro sistema SIEM:

Descarga e instalación del SIEM Splunk Enterprise para Linux

En el primer inicio de sesión nos advertirá de que si usamos el sistema de almacenamiento NMAPV1 tendremos que migrarlo a WiredTiger:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Si ejecutamos el siguiente comando en la consola de Linux, nos mostrará el storage engine que estamos usando:

Descarga e instalación del SIEM Splunk Enterprise para Linux

Que es el NMAPV1, por lo tanto, en algún momento, tendremos que migrar a WiredTiged.

Y al igual que en el caso de Windows, tendremos acceso a la consola de gestión de Splunk, de momento vacía hasta que empecemos a recolectar datos de los distintos sistemas de nuestra organización:

Descarga e instalación del SIEM Splunk Enterprise para Linux