配置PxGrid in Splunk以获得快速威胁与ISE密封

在此视频中,我们将在Splunk上配置PxGrid。一旦完成,您将能够使用ISE从Splunk隔离端点。这需要更多的设置,即通常的PxGrid配置,因此我将包括我在此帖子中使用的命令,因此可以将其复制和粘贴为此的Linux部分。您是否在ISE环境中使用了用于PxGrid或自签名的CA签名证书,这种配置应该适用于两者。

我的同事约翰eppich的大歌声为这个视频的工作流部分帮助了我。他是写下所有官方PxGrid指南的人,是一个很棒的家伙。

串联ISE证书:

cat circtionservicesendpointssubca-ise_.ceericateServicesRootCa-Ise_.ceServiceServicesNodeca-Ise_.cer SecurityDemo-AD1-CA_.CER> CA1.cer


创建Mac.p12文件:

openssl pkcs12 -export -out mac.p12 -inkey splunk_10.1.100.20.key -in splunk_10.1.100.20.CER -CHAIN -CAFILE CA1.CER


更改密钥库类型:

keytool -importkeystore -srckeystore mac.jks -destkeystore mac.jks -deststoreype pkcs12


创建“Mac”java密钥库:

keytool -importkeystore -srckeystore mac.p12 -destkeystore mac.jks -srcstoretype pkcs12


更改组合证书格式:

openssl x509 -outform der -in ca1.cer -out ca1.der


创建新的Caroot1.jks密钥库并将新的组合证书导入其中:

keytool -import -alias caroot -keystore caroot1.jks -file ca1.der


将PxGrid客户端证书导入Mac.jks密钥库:

keytool -import -alias splunk -keystore mac.jks -file splunk_10.1.100.20.CER


将新组合Cert导入Mac.jks密钥库:

keytool -import -alias caroot -keystore mac.jks -file ca1.cer


将ISE证书服务根CA Cert导入Caroot1.jks密钥库:

keytool -import -alias cert1 -keystore caroot1.jks -file cistrictservicesrootca-ise_.cer


将Active Directory Root Cert导入Caroot1.jks密钥库:

keytool -import -alias cert2 -keystore caroot1.jks -file securitydemo-ad1-ca_.cer


将两个文件移动到适当的Splunk ISE应用程序目录:

mv ./mac.jks /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/mac.jks.

mv ./caroot1.jks /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/caroot1.jks.


使用Buildin脚本测试带有PxGrid的密钥库:

java -jar /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/lib/pxgrid_search.jar 10.1.100.21 slushunktest /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/mac.jks iseisc00l / opt /splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/caroot1.jks iseisc00l 192.168.1.10 quarantine_ip

以上格式是:

java -jar /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/lib/pxgrid_search.jar. ISE. -IP地址选择-a-test-name /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/mac.jks. 密钥库密码 /opt/splunk/etc/apps/splunk_ta_cisco-ise/bin/certs/caroot1.jks. 密钥库密码选择 - 任何IP地址 Quarantine_ip.