កម្មវិធី Blackberry CylancePROTECT សម្រាប់ Splunk

ព័ត៌មានផលិតផល៖ កម្មវិធី CylancePROTECT សម្រាប់ Splunk

កម្មវិធី CylancePROTECT សម្រាប់ Splunk គឺជាកម្មវិធីកម្មវិធីដែលរួមបញ្ចូលជាមួយ Splunk ដែលជាវេទិកាត្រួតពិនិត្យបណ្តាញ និងការវិភាគទិន្នន័យ។ កម្មវិធីនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បង្កើនសុវត្ថិភាពបណ្តាញរបស់ពួកគេដោយប្រើប្រាស់សមត្ថភាពរបស់ CylancePROTECT ដែលជាដំណោះស្រាយសុវត្ថិភាពតាមអ៊ីនធឺណិតដែលផ្តល់ដោយ Cylance ។

តម្រូវការ៖ កម្មវិធី CylancePROTECT សម្រាប់ Splunk

• បណ្តាញ Splunk

ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធកម្មវិធី CylancePROTECT សម្រាប់ Splunk

1. Review កម្មវិធី CylancePROTECT សម្រាប់តម្រូវការ Splunk ។
2. ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ពី Splunk web កម្មវិធីគ្រប់គ្រងកម្មវិធី។ ជាជម្រើស អ្នកអាចជ្រើសរើសដំឡើងវាដោយដៃ។
3. កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍។
4. កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។ ប្រសិនបើចង់បាន អ្នកអាចកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog តាមរយៈ SSL ។
5. ប្រសិនបើអ្នកចង់ទទួលបានរបាយការណ៍ទិន្នន័យគំរាមកំហែង សូមកំណត់រចនាសម្ព័ន្ធការរាយការណ៍ទិន្នន័យគំរាមកំហែង។

ការដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ពី Splunk web កម្មវិធីគ្រប់គ្រងកម្មវិធី

1. ចូលទៅ Splunkbase ដោយប្រើព័ត៌មានអត្តសញ្ញាណរបស់អ្នកនៅ login.splunk.com 
2. នៅក្នុងរបារស្វែងរកនៅលើរបារម៉ឺនុយ សូមស្វែងរក "កម្មវិធី CylancePROTECT សម្រាប់ Splunk" ។
3. នៅលើទំព័រផលិតផលសូមចុច "ទាញយក" ។
4. អាន និងទទួលយកលក្ខខណ្ឌដោយធីកប្រអប់ធីក ហើយចុច “យល់ព្រមក្នុងការទាញយក”។
5. អនុវត្តតាមការណែនាំជាក់លាក់ចំពោះប្រព័ន្ធប្រតិបត្តិការរបស់អ្នក ដើម្បីស្រាយកញ្ចប់ .spl ==.tar.gz ដោយដៃ។

តើកម្មវិធី CylancePROTECT សម្រាប់ Splunk គឺជាអ្វី?

CylancePROTECT កំណត់អត្តសញ្ញាណ និងទប់ស្កាត់មេរោគ និងការគំរាមកំហែងតាមអ៊ីនធឺណិត មុនពេលពួកវាអាចប៉ះពាល់ដល់ឧបករណ៍មួយ។ BlackBerry ប្រើបច្ចេកទេសរៀនម៉ាស៊ីនដើម្បីបង្ហាញការគំរាមកំហែងដោយគ្មានប្រយោជន៍ប្រកបដោយប្រសិទ្ធភាព ខណៈពេលដែលប្រើប្រាស់ធនធានប្រព័ន្ធតិចតួចបំផុត។ CylancePROTECT Desktop រស់នៅក្នុងកុងសូល Cylance ដែលជាកុងសូលគ្រប់គ្រងលើពពក ដែលអនុញ្ញាតឱ្យអ្នក view ព្រឹត្តិការណ៍ផ្សេងៗដែលទាក់ទងនឹងការគំរាមកំហែង គ្រប់គ្រងគោលការណ៍ឧបករណ៍ដើម្បីកំណត់រចនាសម្ព័ន្ធភ្នាក់ងារនៅលើចំណុចបញ្ចប់ និងគ្រប់គ្រងបញ្ជីសកលសម្រាប់ការដាក់ឱ្យនៅដាច់ដោយឡែក និងមានសុវត្ថិភាព fileស. សម្រាប់ព័ត៌មានបន្ថែមអំពី CylancePROTECT សូមមើល តើអ្វីជា

CylancePROTECT Desktop?
កម្មវិធី CylancePROTECT សម្រាប់ Splunk គឺជាកម្មវិធីជំនួយនៅក្នុងបរិស្ថាន Splunk របស់អ្នកដែលទាញទិន្នន័យពីសេវាកម្ម Cylance នៅក្នុងកុងសូល Cylance របស់អ្នក ដើម្បីប្រមូលផ្តុំផ្ទាំងគ្រប់គ្រងដែលបានកំណត់ជាមុន ប៉ុន្តែអាចប្ដូរតាមបំណងបាន ផ្ទាំងគ្រប់គ្រងដើម្បីតាមដាន តាមដាន និងវិភាគទិន្នន័យ និងសកម្មភាពគំរាមកំហែង។ អ្នកក៏អាចដំឡើងកម្មវិធីបន្ថែម CylancePROTECT សម្រាប់ Splunk Enterprise ដើម្បីបង្កើនប្រសិទ្ធភាព និងការប្រមូលទិន្នន័យរបស់កម្មវិធីបន្ថែមទៀត។ កម្មវិធីបន្ថែមនេះគួរតែត្រូវបានដំឡើងនៅលើ Splunk indexers និងអ្នកបញ្ជូនបន្តដែលមិនប្រើប្រាស់ទិន្នន័យពីរបាយការណ៍ទិន្នន័យគំរាមកំហែង។

តម្រូវការ៖ កម្មវិធី CylancePROTECT សម្រាប់ Splunk

ធាតុ                                                 តម្រូវការ

Splunk Splunk កំណែ 7.2 ឬថ្មីជាងនេះ។

ការតភ្ជាប់បណ្តាញនៅលើច្រក 443 ត្រូវតែត្រូវបានអនុញ្ញាតសម្រាប់កម្មវិធី CylancePROTECT សម្រាប់ Splunk ដើម្បីទទួលបានរបាយការណ៍ទិន្នន័យគំរាមកំហែងពី Cylance Endpoint Security ។ • ដើម្បីបញ្ជូនព្រឹត្តិការណ៍ syslog ពី Cylance Endpoint Security ទៅកាន់បរិស្ថាន Splunk របស់អ្នក អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធការកំណត់បណ្តាញនៅក្នុងកុងសូល Cylance និងច្បាប់បញ្ជូនបន្តឬជញ្ជាំងភ្លើងនៅក្នុងបរិស្ថាន Splunk របស់អ្នក។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលគេហទំព័រ មគ្គុទ្ទេសក៍ Cylance syslog.

ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធកម្មវិធី Cylance PROTECT សម្រាប់ Splunk

ជំហាន                     សកម្មភាព

Review កម្មវិធី CylancePROTECT សម្រាប់តម្រូវការ Splunk ។

ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ពី Splunk web កម្មវិធីគ្រប់គ្រងកម្មវិធី។ ប្រសិនបើអ្នកចង់ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ដោយដៃ សូមមើលដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ដោយដៃ។

កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍។

កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។

ជាជម្រើស ប្រសិនបើអ្នកចង់កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL សូមមើល ការកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL នៅក្នុង Splunk ។

ប្រសិនបើអ្នកចង់ឱ្យកម្មវិធី CylancePROTECT សម្រាប់ Splunk ទទួលបានរបាយការណ៍ទិន្នន័យគំរាមកំហែង សូមមើល កំណត់រចនាសម្ព័ន្ធការរាយការណ៍ទិន្នន័យគំរាមកំហែង។

ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ពី Splunk web កម្មវិធីគ្រប់គ្រងកម្មវិធី
មុនពេលអ្នកចាប់ផ្តើម: Review តម្រូវការសម្រាប់កម្មវិធី CylancePROTECT សម្រាប់ Splunk ។

1. នៅក្នុង Splunk នៅក្នុងរបារម៉ឺនុយផ្ដេកចុច Splunk> សហគ្រាស។
2. នៅក្នុងផ្ទាំងកម្មវិធីបញ្ឈរ ចុច + ស្វែងរកកម្មវិធីបន្ថែម។
3. នៅក្នុងទំព័ររកមើលកម្មវិធីច្រើនទៀត សូមស្វែងរកកម្មវិធី CylancePROTECT សម្រាប់ Splunk ។
4. ចុចដំឡើង។
5. វាយបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ Splunk.com របស់អ្នក។
6. ដើម្បីបញ្ជាក់ថាអ្នកបានអានលក្ខខណ្ឌនៃកម្មវិធីហើយ សូមចុចប្រអប់ធីក។
7. ចុចចូលហើយដំឡើង។
   បន្ទាប់ពីអ្នកបញ្ចប់៖ កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍។

ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ដោយដៃ
មុនពេលអ្នកចាប់ផ្តើម: Review កម្មវិធី CylancePROTECT សម្រាប់តម្រូវការ Splunk ។

1. ដើម្បីចូល Splunkbase សូមចូលទៅកាន់ login.splunk.com ហើយវាយបញ្ចូលព័ត៌មានសម្ងាត់របស់អ្នក។
2. នៅលើរបារម៉ឺនុយ នៅក្នុងរបារស្វែងរក ស្វែងរកកម្មវិធី CylancePROTECT សម្រាប់ Splunk ។
3. នៅលើទំព័រផលិតផលសូមចុចទាញយក។
4. ដើម្បីទទួលស្គាល់ថាអ្នកបានអានលក្ខខណ្ឌ សូមចុចប្រអប់ធីក។
5. ចុចយល់ព្រមដើម្បីទាញយក។
6. ដើម្បីស្រាយកញ្ចប់ .spl ==.tar.gz ដោយដៃ សូមធ្វើតាមការណែនាំសម្រាប់ OS របស់អ្នក៖

បន្ទាប់ពីអ្នកបញ្ចប់៖ កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍។

OS កញ្ចប់                                       ជំហាន

កញ្ចប់លីនុច                                   a. ចម្លងកញ្ចប់ Splunk ខាងក្រោមទៅ $SPLUNK_HOME/etc/apps៖ cylance_protect-.spl ថត cylance_protect ត្រូវបានបង្កើតនៅក្នុង $SPLUNK_HOME/etc/apps។ b. ផ្ទៀងផ្ទាត់ថាកម្មវិធីនោះ។ files និង folders ត្រូវបានកំណត់ទៅម្ចាស់ និងសិទ្ធិអនុញ្ញាតត្រឹមត្រូវ។ $SPLUNK_HOME មានទីតាំងនៅក្នុងថត /opt/splunk ។

កញ្ចប់វីនដូ                             a. ចម្លងកញ្ចប់ Splunk ខាងក្រោមទៅ $SPLUNK_HOME\etc\apps៖ cylance_protect-.spl b. ស្រាយកញ្ចប់ cylance_protect-ថតឯកសារ .spl zip ។ ថត cylance_protect ត្រូវបានបង្កើតនៅក្នុង $SPLUNK_HOME\etc\apps។ $SPLUNK_HOME មានទីតាំងនៅ C:\program files\splunk ។

កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍
ទិន្នន័យដែល Splunk ដំណើរការគឺស្ថិតនៅក្នុងសន្ទស្សន៍។ Splunk មិនបង្កើតលិបិក្រមតាមលំនាំដើមទេ ដូច្នេះអ្នកត្រូវតែរៀបចំសន្ទស្សន៍ព្រឹត្តិការណ៍បន្ទាប់ពីអ្នកដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ។ សន្ទស្សន៍ព្រឹត្តិការណ៍អាចផ្ទុកទិន្នន័យគ្រប់ប្រភេទ។
មុនពេលអ្នកចាប់ផ្តើម៖

• ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ពី Splunk web កម្មវិធីគ្រប់គ្រងកម្មវិធី
• ប្រសិនបើអ្នកចង់ដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ដោយដៃ សូមមើលដំឡើងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ដោយដៃ។

1. នៅក្នុង Splunk នៅលើរបារម៉ឺនុយ ចុចការកំណត់ > សន្ទស្សន៍ > សន្ទស្សន៍ថ្មី។
2. នៅក្នុងប្រអប់ លិបិក្រមថ្មី បំពេញក្នុងវាល។
   យើងណែនាំអ្នកឱ្យប្រើ cylance_protect ជាឈ្មោះលិបិក្រម។ ប្រសិនបើអ្នកប្រើឈ្មោះលិបិក្រមផ្ទាល់ខ្លួននោះ eventtype=cylance_index ត្រូវតែត្រូវបានកែប្រែ ដើម្បីទទួលយកឈ្មោះលិបិក្រមផ្ទាល់ខ្លួន។
3. ចុចរក្សាទុក។
4. នៅលើរបារម៉ឺនុយ ចុចការកំណត់ > ប្រភេទព្រឹត្តិការណ៍ ដើម្បីបញ្ជាក់ថាខ្សែអក្សរស្វែងរកលេចឡើងជា index=protect OR index=Cylance_protect។
5. នៅក្នុងការកំណត់ សូមចុច ស្វែងរកកម្រិតខ្ពស់ > ស្វែងរកម៉ាក្រូ ហើយបញ្ជាក់ថាខ្សែអក្សរស្វែងរកលេចឡើងជា index=protect OR index=Cylance_protect។
   នៅពេលអ្នកធ្វើឱ្យប្រសើរឡើងនូវបរិស្ថាន Splunk របស់អ្នក គួរតែមានសន្ទស្សន៍ដែលមានស្រាប់ និងការកំណត់ដែលមានស្រាប់ files ក្នុងស្រុកគួរតែមានភាពត្រឹមត្រូវ file ឈ្មោះ។ ក្នុងករណីខ្លះក្នុងស្រុក files ដែលប្រហែលជាត្រូវបានបង្កើតឡើង
   សម្រាប់ការដំឡើងពីមុន (ឧទាហរណ៍ampឡេ files ដែលមាន default.xml) នឹងបដិសេធម៉ឺនុយដែលបានបន្ថែមនៅក្នុងការចេញផ្សាយថ្មី។ ដើម្បីកែវា ទាំងលុបមូលដ្ឋាន file ឬចាប់ផ្តើមក្បាលស្វែងរក Splunk ឡើងវិញដោយប្រើពាក្យបញ្ជា $SPLUNK_HOME/bin/splunk ចាប់ផ្តើមឡើងវិញ។

បន្ទាប់ពីអ្នកបញ្ចប់៖ កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។

កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog
កម្មវិធី CylancePROTECT សម្រាប់ Splunk អាចប្រើប្រាស់ទិន្នន័យ syslog ពេលវេលាពិតពីកុងសូល Cylance ។ ដើម្បីផ្ញើព្រឹត្តិការណ៍ទាំងនេះទៅ Splunk ការបញ្ជូនបន្ត syslog ចាំបាច់ត្រូវបើក ​​និងកំណត់រចនាសម្ព័ន្ធនៅក្នុង Splunk និងនៅក្នុងកុងសូល Cylance ។ សម្រាប់ព័ត៌មានបន្ថែមអំពីរបៀបកំណត់រចនាសម្ព័ន្ធការបញ្ជូនបន្ត សូមមើល កំណត់រចនាសម្ព័ន្ធ Splunk indexing និងការបញ្ជូនបន្តដើម្បីប្រើវិញ្ញាបនបត្រ TLS ។
មុនពេលអ្នកចាប់ផ្តើម៖ កំណត់រចនាសម្ព័ន្ធសន្ទស្សន៍ព្រឹត្តិការណ៍។

1. នៅក្នុង Splunk នៅលើរបារម៉ឺនុយ Splunk ចុចការកំណត់ > ទិន្នន័យបញ្ចូល > TCP ។
   សម្រាប់ការកំណត់រចនាសម្ព័ន្ធពហុភតិកៈ អ្នកជួលម្នាក់ៗនឹងទាមទារឃ្លាផ្ទាល់ខ្លួនរបស់វានៅក្នុង inputs.conf ហើយអ្នកជួលម្នាក់ៗទាមទារច្រកផ្ទាល់ខ្លួនរបស់វា។ សម្រាប់អតីតampដូច្នេះប្រសិនបើមានអ្នកជួលពីរនាក់គឺ CompanyOne និង CompanyTwo នោះ inputs.conf file គួរធ្វើតាមគំរូខាងក្រោម៖
   [tcp-ssl://6514] disabled = false sourcetype = syslog_protect source = CompanyOne
   index = cylance_protect
   [tcp-ssl://6515] disabled = false sourcetype = syslog_protect source = CompanyTwo
   index = cylance_protect
2. នៅក្នុងជួរច្រក 6515 ក្នុងជួរឈរស្ថានភាពចុច បើក។
3. នៅក្នុងកុងសូល Cylance នៅលើរបារម៉ឺនុយ ចុចការកំណត់ > កម្មវិធី។
4. ជ្រើសរើសប្រអប់ធីក Syslog/SIEM ។
5. ជ្រើសរើសប្រភេទព្រឹត្តិការណ៍ដែលចង់បាន។
6. នៅក្នុងបញ្ជីទម្លាក់ចុះ SIEM សូមចុច Splunk ។
7. នៅក្នុងបញ្ជីទម្លាក់ចុះពិធីការ សូមចុច TCP ។
8. នៅក្នុងវាល IP/Domain សូមវាយអាសយដ្ឋាន IP ឬ FQDN របស់អ្នកបញ្ជូនបន្ត ឬបរិស្ថាន Splunk ។
9.  នៅក្នុងវាលច្រក វាយលេខច្រកនៃបរិស្ថាន Splunk របស់អ្នក។
   ចុចរក្សាទុក។

បន្ទាប់ពីអ្នកបញ្ចប់៖ ជាជម្រើស ដើម្បីអ៊ិនគ្រីបការតភ្ជាប់ទិន្នន័យ syslog ជាមួយ SSL សូមមើល ការកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL នៅក្នុង Splunk ។

កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL នៅក្នុង Splunk
ផ្នែកនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធនៃការតភ្ជាប់ទិន្នន័យ syslog លើ SSL រវាងកុងសូល Cylance និងបរិស្ថាន Splunk របស់អ្នក។ ការកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់លើ SSL អ៊ិនគ្រីបទំនាក់ទំនងរវាងកុងសូល Cylance និងបរិស្ថាន Splunk របស់អ្នក ដោយផ្តល់នូវស្រទាប់សុវត្ថិភាពបន្ថែមដល់ទិន្នន័យដែលបានផ្ញើដោយប្រព័ន្ធទាំងពីរ។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធ Syslog លើ SSL នៅក្នុង Splunk ដោយបង្កើតវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នក។

កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL សម្រាប់ Linux Splunk
មុនពេលអ្នកចាប់ផ្តើម៖ កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។

1. នៅក្នុងកុងសូល Cylance ចុចការកំណត់ > កម្មវិធី ហើយជ្រើសរើសប្រអប់ TLS/SSL។
2. ពីបន្ទាត់ពាក្យបញ្ជាម៉ាស៊ីនមេ Splunk ដោយប្រើស្គ្រីបខាងក្រោម បង្កើតវិញ្ញាបនបត្រ។
   mkdir /opt/splunk/etc/certs
   នាំចេញ OPENSSL_CONF=/opt/splunk/openssl/openssl.cnf
   /opt/splunk/bin/genRootCA.sh -d /opt/splunk/etc/certs
   /opt/splunk/bin/genSignedServerCert.sh -d /opt/splunk/etc/certs -n splunk -c splunk -p
3. នៅក្នុង $SPLUNK_HOME/etc/apps/cylance_protect/local/inputs.conf fileកែប្រែផ្នែកទាំងពីរខាងក្រោមដោយប្រើគុណលក្ខណៈដូចខាងក្រោម៖
   [tcp-ssl://6514] disabled = មិនពិត
   sourcetype = syslog_protect index = cylance_protect source =
   [SSL] serverCert = /opt/splunk/etc/certs/splunk.pem
   sslPassword =
   ខាងលើ >
   requireClientCert = មិនពិត
4.  ដោយប្រើស្គ្រីបខាងក្រោម ចាប់ផ្តើម Splunk ឡើងវិញ ហើយផ្ទៀងផ្ទាត់ច្រកដែលបើក។
5. SPLUNK_HOME/bin/splunk ចាប់ផ្តើមឡើងវិញ splunkd netstat -an | grep: 6514
   បន្ទាប់ពីអ្នកបញ្ចប់៖ ប្រសិនបើអ្នកចង់ឱ្យកម្មវិធី CylancePROTECT សម្រាប់ Splunk ទទួលបានរបាយការណ៍ទិន្នន័យគំរាមកំហែង សូមមើល កំណត់រចនាសម្ព័ន្ធការរាយការណ៍ទិន្នន័យគំរាមកំហែង។

កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog លើ SSL សម្រាប់ Windows Splunk
មុនពេលអ្នកចាប់ផ្តើម៖ កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។

1. នៅក្នុងកុងសូល Cylance ចុចការកំណត់ > កម្មវិធី ហើយជ្រើសរើសប្រអប់ TLS/SSL។
2. ពីបន្ទាត់ពាក្យបញ្ជាម៉ាស៊ីនមេ Splunk ដោយប្រើស្គ្រីបខាងក្រោម បង្កើតវិញ្ញាបនបត្រ។ mkdir c:\progra~1\Splunk\etc\certs
   C:\progra~1\Splunk\bin\splunk.exe cmd cmd.exe /cc:\progra~1\Splunk\bin
   \genRootCA.bat -dc:\progra~1\Splunk\etc\certs
   C:\progra~1\Splunk\bin\splunk.exe cmd python c:\progra~1\Splunk\bin
   \genSignedServerCert.py -dc:\progra~1\Splunk\etc\certs -n splunk -c splunk -p
3.  នៅក្នុងកម្មវិធី C:\ Files\Splunk\etc\apps\cylance_protect\local\inputs.conf fileកែប្រែផ្នែកទាំងពីរខាងក្រោមដោយប្រើគុណលក្ខណៈដូចខាងក្រោម៖
   [tcp-ssl://6514] disabled = មិនពិត
   ប្រភេទប្រភព =
   សន្ទស្សន៍ =
   ប្រភព =
   [SSL] sslPassword =
   ខាងលើ >
   requireClientCert = មិនពិត
   serverCert = c:\progra~1\Splunk\etc\certs\splunk.pem
4. ដោយប្រើស្គ្រីបខាងក្រោម ចាប់ផ្តើម Splunk ឡើងវិញ ហើយផ្ទៀងផ្ទាត់ច្រកដែលបើក។ c:\progra~1\Splunk\bin\splunk.exe ចាប់ផ្តើម netstat -an | ស្វែងរក៖ ៦៥១៤

បន្ទាប់ពីអ្នកបញ្ចប់៖ ប្រសិនបើអ្នកចង់ឱ្យកម្មវិធី CylancePROTECT សម្រាប់ Splunk ទទួលបានរបាយការណ៍ទិន្នន័យគំរាមកំហែង សូមមើល កំណត់រចនាសម្ព័ន្ធការរាយការណ៍ទិន្នន័យគំរាមកំហែង

កំណត់រចនាសម្ព័ន្ធការរាយការណ៍ទិន្នន័យគំរាមកំហែង
ប្រសិនបើអ្នកមិនអាចប្រើប្រាស់ទិន្នន័យ syslog ឬប្រសិនបើអ្នកចង់មានភាពឆបគ្នាថយក្រោយជាមួយកំណែមុននៃកម្មវិធីនេះ អ្នកអាចកំណត់រចនាសម្ព័ន្ធរបាយការណ៍ទិន្នន័យគំរាមកំហែង (TDR) ដើម្បីទទួលបានទិន្នន័យរបាយការណ៍ប្រចាំថ្ងៃពី Cylance Endpoint Security។ កម្មវិធី CylancePROTECT សម្រាប់ទិន្នន័យដំណើរការ Splunkcan ពីរបាយការណ៍ឧបករណ៍ ព្រឹត្តិការណ៍ សូចនាករ និងការគំរាមកំហែង។
មុនពេលអ្នកចាប់ផ្តើម៖ កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ទិន្នន័យ syslog ។

1. នៅក្នុងកម្មវិធី CylancePROTECT សម្រាប់ Splunk នៅលើរបារម៉ឺនុយ ចុច ជំនួយ > កំណត់រចនាសម្ព័ន្ធTDR។
2. នៅក្នុងផ្នែកបន្ថែមអ្នកជួល សូមបញ្ជាក់ដូចខាងក្រោម៖
   1. ឈ្មោះអ្នកជួល៖ បញ្ចូលឈ្មោះក្រុមហ៊ុនរបស់អ្នក។
   2. URL៖ បញ្ចូលការអញ្ជើញ URL.
   3. ថូខឹន៖ បញ្ចូលនិមិត្តសញ្ញាដំឡើង។
      ដើម្បីស្វែងរកតម្លៃនៃវាលនេះ នៅក្នុងកុងសូល Cylance ចុចការកំណត់ > កម្មវិធី។
3. ចុចបន្ថែម។
   ប្រសិនបើអ្នកគ្រប់គ្រងលុប ឬបង្កើតនិមិត្តសញ្ញាឡើងវិញ អ្នកត្រូវតែអាប់ដេតទំព័រ ConfigureTDR ជាមួយនឹងសញ្ញាសម្ងាត់ថ្មី។
4. ចាប់ផ្តើម Splunk ឡើងវិញ។ បន្ទាប់ពីអ្នកចាប់ផ្តើម Splunk ឡើងវិញ អ្នកនឹងឃើញរបាយការណ៍ទិន្នន័យគំរាមកំហែងនៅក្នុងបរិស្ថាន Splunk របស់អ្នក។

បន្ទាប់ពីអ្នកបញ្ចប់៖ នៅក្នុងការដំឡើង Splunk តែមួយ ឬនៅលើអ្នកបញ្ជូនបន្តធ្ងន់ សូមបំពេញជំហានខាងក្រោមដើម្បីបើកការបញ្ចូលទិន្នន័យ៖

1. នៅក្នុង Splunk នៅលើរបារម៉ឺនុយ Splunk ចុច ការកំណត់ > ការបញ្ចូលទិន្នន័យ។
2. នៅក្នុងផ្នែក ធាតុបញ្ចូលក្នុងមូលដ្ឋាន ចុចស្គ្រីប។
3. នៅក្នុងជួរឈរស្ថានភាព ចុចអនុញ្ញាតសម្រាប់ស្គ្រីបនីមួយៗ។
   ដើម្បីស្វែងរកតម្លៃនៃវាលនេះ នៅក្នុងកុងសូល Cylance ចុចការកំណត់ > កម្មវិធី។

កំណត់រចនាសម្ព័ន្ធការឆ្លើយតបអាដាប់ធ័រ

កម្មវិធី CylancePROTECT សម្រាប់ Splunk គឺជាផ្នែកមួយនៃកម្មវិធីឆ្លើយតបការសម្របខ្លួនរបស់ Splunk ។ ការរួមបញ្ចូលនេះអនុញ្ញាតឱ្យអ្នកស៊ើបអង្កេតសកម្មភាពព្យាបាទ និងឆ្លើយតបក្នុងពេលជាក់ស្តែងចំពោះការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលបានរកឃើញដោយ Cylance Endpoint Security នៅក្នុងបរិស្ថាន Splunk របស់ស្ថាប័នរបស់អ្នក។ ដើម្បីប្រើការឆ្លើយតបសម្របខ្លួន អ្នកនឹងត្រូវដំឡើងឧបករណ៍ភ្ជាប់ API នៅក្នុងកុងសូល Cylance និងបរិស្ថាន Splunk របស់អ្នក។

1. ចូលទៅកុងសូល Cylance ជាអ្នកគ្រប់គ្រង។
2. នៅលើរបារម៉ឺនុយចុច ការកំណត់> ការរួមបញ្ចូល។
3. ចុចបន្ថែមកម្មវិធី។
4. នៅក្នុងវាល ឈ្មោះកម្មវិធី វាយ Splunk API Connector ។
5. នៅក្នុងជួរបញ្ជីសកល ជ្រើសរើសប្រអប់ធីក អាន សរសេរ និងលុប។
6. ចុចរក្សាទុក។ កត់ត្រាលេខសម្គាល់កម្មវិធី អាថ៌កំបាំងកម្មវិធី និងលេខសម្គាល់អ្នកជួល។
7. នៅក្នុងម៉ាស៊ីនមេ Splunk នៅលើក្បាលស្វែងរក Splunk ដែលអ្នកចង់បាន កែសម្រួលការកំណត់រចនាសម្ព័ន្ធ api.py file បានរកឃើញនៅក្នុង
   SPLUNK_HOME/etc/apps/cylance_protect/bin/api.py ។
8. នៅក្នុងបន្ទាត់ពាក្យបញ្ជា 9-12 បន្ថែមលេខសម្គាល់កម្មវិធី អាថ៌កំបាំងកម្មវិធី និងលេខសម្គាល់អ្នកជួលដែលអ្នកបានកត់ត្រា។
9. នៅក្នុងកម្មវិធី CylancePROTECT សម្រាប់ Splunk ចុច ឧបករណ៍ > API Connector ។
10. នៅក្នុងបញ្ជីទម្លាក់ចុះ សូមជ្រើសរើសមុខងារមួយ។ សម្រាប់បញ្ជីមុខងារ និងប៉ារ៉ាម៉ែត្ររបស់វា សូមមើលតារាងការប្រើប្រាស់នៅលើទំព័រឧបករណ៍ភ្ជាប់ API ។
11. នៅក្នុងវាល ប៉ារ៉ាម៉ែត្រ វាយពាក្យ file ហាស។
12. ចុច Submit ។
13. Review លទ្ធផលឆ្លើយតប HTTP នៅខាងក្រោមទំព័រឧបករណ៍ភ្ជាប់ API ។ ដើម្បីពិនិត្យមើលលទ្ធផលឆ្លើយតប HTTP ពីកុងសូល Cylance ។ សូមមើលតារាងការឆ្លើយតប HTTP សម្រាប់បញ្ជីនៃការឆ្លើយតប HTTP និងអត្ថន័យរបស់វា។ ប្រសិនបើការហៅ API បរាជ័យបន្ទាប់ពីកែសម្រួលការកំណត់រចនាសម្ព័ន្ធ api.py file, នេះ *.pyc files ប្រហែលជាត្រូវលុបចេញពីថត $SPLUNK_HOME/etc/apps/cylance_protect/bin/។

បន្ទាប់ពីអ្នកបញ្ចប់៖ អ្នកអាចដាក់កម្រិតការចូលប្រើឧបករណ៍ភ្ជាប់ API ។ ប្រសិនបើ SOC នៃតួនាទី IR មាននៅក្នុង Splunk របស់អ្នក។

1. នៅក្នុង Splunk ចុច Settings > Roles > Add New។
2. នៅក្នុងវាល ឈ្មោះតួនាទី វាយ CylanceAPI ។
3. ចុចរក្សាទុក។
4. ដើម្បីកំណត់ការអនុញ្ញាតសម្រាប់តួនាទី សូមចុចការកំណត់ > ការកំណត់រចនាសម្ព័ន្ធទាំងអស់។
5. នៅក្នុងវាលតម្រង សូមស្វែងរក api_connector ។
6. នៅ​ក្នុង​ជួរ​ឈរ​ការ​ចែក​រំលែក ចុច​ការ​អនុញ្ញាត ហើយ​បញ្ជាក់​ដូច​ខាង​ក្រោម៖
   1. សម្រាប់តួនាទីអ្នកគ្រប់គ្នា សូមប្រាកដថា អាន និងសរសេរ មិនត្រូវបានជ្រើសរើស។
   2. សម្រាប់តួនាទី CylanceAPI សូមប្រាកដថា Read ត្រូវបានជ្រើសរើស។

ប្រភេទប្រភពទិន្នន័យ

ព្រឹត្តិការណ៍ Syslog
ប្រភេទប្រភពដែលមានមូលដ្ឋានលើ syslog សម្រាប់កម្មវិធី CylancePROTECT សម្រាប់ Splunk ផ្តល់ព័ត៌មានពេលវេលាពិតប្រាកដលើការគំរាមកំហែង ឧបករណ៍ ចំណាត់ថ្នាក់ការគំរាមកំហែង ការការពារអង្គចងចាំ ការគ្រប់គ្រងកម្មវិធី និងកំណត់ហេតុសវនកម្ម។

ប្រភេទប្រភព	ការពិពណ៌នា
ការដាក់ពាក្យ គ្រប់គ្រង	Syslog នឹងរាយការណ៍ពីព្រឹត្តិការណ៍ណាមួយដែលបានរកឃើញនៅលើឧបករណ៍ រួមទាំងការព្យាយាមបដិសេធក្នុងការបង្កើត ឬកែប្រែកម្មវិធី ឬដើម្បីប្រតិបត្តិ files ពីបណ្តាញឬទីតាំងខាងក្រៅ។
សវនកម្ម កំណត់ហេតុ	Syslog នឹងរាយការណ៍ពីសកម្មភាពរបស់អ្នកប្រើទាំងអស់ដែលបានអនុវត្តនៅលើកុងសូល Cylance ដោយអ្នកគ្រប់គ្រង អ្នកគ្រប់គ្រងតំបន់ និងអ្នកប្រើប្រាស់។
ឧបករណ៍	Syslog នឹងរាយការណ៍អំពីឧបករណ៍ដែលបានចុះឈ្មោះ កែប្រែ ឬដកចេញ។
ឧបករណ៍ គ្រប់គ្រង	Syslog នឹងរាយការណ៍អំពីព្រឹត្តិការណ៍គ្រប់គ្រងឧបករណ៍ដូចជាប្រភេទឧបករណ៍ លេខសម្គាល់អ្នកលក់ និងលេខសម្គាល់ផលិតផល។
ការចងចាំ ការការពារ	Syslog នឹងរាយការណ៍អំពីដំណើរការព្យាបាទ និងការកេងប្រវ័ញ្ចណាមួយដែលត្រូវបានរកឃើញ និង/ឬត្រូវបានរារាំងដោយស្គ្រីបនេះ។
ស្គ្រីប គ្រប់គ្រង	Syslog នឹងរាយការណ៍អំពីស្គ្រីបទាំងអស់ដែលបានដំណើរការ ឬព្យាយាមដំណើរការ។
ការគំរាមកំហែង	Syslog នឹងរាយការណ៍ពីការគម្រាមកំហែងដែលបានរកឃើញថ្មីៗនៅក្នុងបរិយាកាសរបស់អ្នក ក៏ដូចជាការផ្លាស់ប្តូរណាមួយដែលត្រូវបានសង្កេតឃើញសម្រាប់ការគំរាមកំហែងដែលមានស្រាប់។
ការគំរាមកំហែង ការចាត់ថ្នាក់	Syslog នឹងរាយការណ៍ពីការគំរាមកំហែងដែលបានចាត់ថ្នាក់ថ្មី ឬការផ្លាស់ប្តូរចំពោះចំណាត់ថ្នាក់ការគំរាមកំហែងដែលមានស្រាប់។

របាយការណ៍ទិន្នន័យគំរាមកំហែង
ប្រភេទប្រភពដែលមានមូលដ្ឋានលើរបាយការណ៍ទិន្នន័យគំរាមកំហែងសម្រាប់កម្មវិធី CylancePROTECT សម្រាប់ Splunk ត្រូវបានស្រង់ចេញពីរបាយការណ៍ទិន្នន័យគំរាមកំហែង CylancePROTECT ដែលរាយបញ្ជីការគំរាមកំហែង និងឧបករណ៍នៅក្នុងបរិស្ថានរបស់អ្នក។

ស្គ្រីប	ការពិពណ៌នា
ការគំរាមកំហែង	ស្គ្រីបការគំរាមកំហែងរាយការណ៍ការគំរាមកំហែងទាំងអស់ដែលត្រូវបានរកឃើញនៅក្នុងបរិយាកាសរបស់អ្នក រួមជាមួយនឹងព័ត៌មានពាក់ព័ន្ធដូចជា file ឈ្មោះ file ហាស់, file ស្ថានភាព និង Cylance Score ។
ឧបករណ៍	ស្គ្រីបឧបករណ៍រាយការណ៍រាល់ឧបករណ៍ដែលបានចុះឈ្មោះ CylancePROTECT Desktop នៅក្នុងស្ថាប័នរបស់អ្នក រួមជាមួយនឹងព័ត៌មានដូចជាប្រព័ន្ធប្រតិបត្តិការរបស់ឧបករណ៍នីមួយៗ កំណែភ្នាក់ងារ និងអាសយដ្ឋាន MAC ។
សូចនាករ	ស្គ្រីបសូចនាកររាយការណ៍ការគំរាមកំហែងនីមួយៗជាមួយនឹងសញ្ញា SHA256 តែមួយគត់ និងសូចនាករគំរាមកំហែងដែលពាក់ព័ន្ធទាំងអស់ដែលកំណត់លក្ខណៈ file. សម្រាប់ព័ត៌មានបន្ថែមអំពីសូចនាករគំរាមកំហែង សូមមើល គ។ ស ៣១២៨០៣១.

ស្គ្រីប                                              ការពិពណ៌នា

ព្រឹត្តិការណ៍                                              ស្គ្រីបព្រឹត្តិការណ៍នឹងរាយការណ៍ព្រឹត្តិការណ៍គំរាមកំហែងទាំងអស់ដែលបានកើតឡើងនៅក្នុងស្ថាប័នរបស់អ្នកក្នុងរយៈពេល 30 ថ្ងៃចុងក្រោយ។ ព័ត៌មាននេះរួមបញ្ចូល file hash, ឈ្មោះឧបករណ៍, នេះ។ file ផ្លូវ កាលបរិច្ឆេទ និងពេលវេលាដែលវាត្រូវបានរកឃើញ ស្ថានភាពគំរាមកំហែង និងពិន្ទុ Cylance ។

ការដោះស្រាយបញ្ហាកម្មវិធី CylancePROTECT សម្រាប់ Splunk

ផ្នែកនេះរៀបរាប់លម្អិតអំពីបញ្ហាដែលអ្នកអាចជួបប្រទះជាមួយនឹងកម្មវិធី CylancePROTECT សម្រាប់ Splunk និងសកម្មភាពដែលអ្នកអាចធ្វើដើម្បីដោះស្រាយពួកគេ។

ប្ដូរតាមបំណងពីរបៀបដែលកម្មវិធី CylancePROTECT សម្រាប់ Splunk បង្កើតកំណត់ហេតុ files
ប្រសិនបើបញ្ហាកើតឡើង ដូចជានៅពេលដែលការធ្វើតេស្តក្រោយការដំឡើងមិនមានលទ្ធផលដែលអាចសង្កេតបាន អ្នកនឹងត្រូវពិនិត្យមើល splunkd.log និង Cylance.log files នៅក្នុងថត $SPLUNK_HOME/var/ logs/ Splunk ។
ដើម្បីបង្កើតទិន្នន័យកំណត់ហេតុលម្អិត សូមធ្វើដូចខាងក្រោម៖

1. នៅក្នុង config.py fileនៅក្នុងថត bin ផ្លាស់ប្តូរកម្រិតកំណត់ហេតុទៅមួយក្នុងចំណោមខាងក្រោម៖
   1. បំបាត់កំហុស
   2. ព័ត៌មាន
   3. ព្រមាន
   4. កំហុស
   5. សំខាន់
   6. វាសនា
2.  នៅក្នុង config.py fileផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រខាងក្រោមណាមួយដើម្បីប្ដូរកំណត់ហេតុតាមបំណង file ជំនាន់៖
   1. Fileឈ្មោះ៖ លំនាំដើម file ឈ្មោះគឺ cylance.log ។
   2. ទំហំ៖ ទំហំកំណត់ហេតុអតិបរមាលំនាំដើមគឺ 1,000,000 បៃ។ នៅពេល​ដែល files លើសពីទំហំនេះ កំណត់ហេតុថ្មី។ file ត្រូវបានបង្កើតឡើង។
   3. ការបង្វិល៖ នេះគឺជាចំនួនកំណត់ហេតុ files ដែលអាចត្រូវបានបង្កើតមុនពេលចាស់បំផុតត្រូវបានសរសេរជាន់លើ។

ដោះស្រាយបញ្ហាការប្រើប្រាស់ syslog
ប្រសិនបើទិន្នន័យមិនផ្ទុកនៅក្នុងផ្ទាំងគ្រប់គ្រង syslog សូមធ្វើដូចខាងក្រោម៖

• ប្រសិនបើស្ថាប័នរបស់អ្នកប្រើបរិស្ថាន Splunk ដែលបានចែកចាយ សូមផ្ទៀងផ្ទាត់ថាការប្រើប្រាស់ syslog ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើអ្នកបញ្ជូនបន្ត ហើយថាបរិស្ថាន Splunk កំពុងដំណើរការនៅលើកំណែ 7.2 ឬក្រោយនេះ។
• ផ្ទៀងផ្ទាត់ថាកំណែចុងក្រោយបំផុតនៃកម្មវិធី CylancePROTECT សម្រាប់ Splunk ត្រូវបានដំឡើងនៅលើក្បាលស្វែងរក Splunk ហើយថាកំណែដែលត្រូវគ្នានៃកម្មវិធីបន្ថែមបច្ចេកវិជ្ជាត្រូវបានដំឡើងនៅលើអ្នកបង្កើតលិបិក្រម និងអ្នកបញ្ជូនបន្ត។
• ផ្ទៀងផ្ទាត់ថាឈ្មោះសន្ទស្សន៍គឺ cylance_protect ឬការពារដើម្បីផ្គូផ្គង inputs.conf file.
• ផ្ទៀងផ្ទាត់ថាប្រភេទប្រភពចូលកំណត់ក្នុង inputs.conf គឺ syslog_protect។
• បញ្ជាក់​ថា eventtype.conf fileដែលបង្ហាញផ្ទាំងគ្រប់គ្រង មិនត្រូវបានផ្លាស់ប្តូរទេ។
• ផ្ទៀងផ្ទាត់ថា macro cylance_index ដែលស្វែងរកទិន្នន័យ Cylance មិនត្រូវបានផ្លាស់ប្តូរទេ។
• នៅលើទំព័រដើម Splunk ក្នុងរបារម៉ឺនុយបញ្ឈរចុច ស្វែងរក និងរាយការណ៍។ កំណត់ពេលវេលាកំណត់ជាមុនទៅគ្រប់ពេលវេលា (ពេលវេលាពិត) បន្ទាប់មកដំណើរការ theeventtype=cylance_index sourcetype=syslog* command។

លទ្ធផល	សកម្មភាពដើម្បីដោះស្រាយ
គ្មានទិន្នន័យត្រូវបានប្រគល់មកវិញទេ។	ចុច ការភ្ជាប់សាកល្បង នៅក្នុងកុងសូល Cylance ។ អ្នកគួរតែមើល ក សាកល្បងការតភ្ជាប់បានជោគជ័យ សារ។ ផ្ទៀងផ្ទាត់ថាច្រកបើកដើម្បីទទួលទិន្នន័យ syslog ។ សម្រាប់អតីតample សម្រាប់ច្រក 651 អ្នកគួរតែប្រើ netstat - ពាក្យបញ្ជា |grep 6514 ។  បញ្ជាក់​ថា​គ្មាន​បណ្តាញ ឬ​ជញ្ជាំង​ភ្លើង​ម៉ាស៊ីន​ណា​មួយ​កំពុង​រារាំង​ចរាចរណ៍។ អ្នកប្រហែលជាត្រូវកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងស្រទាប់ 7 ដើម្បីទទួលបានចរាចរ TLS/SSL ។ ប្រើ packet sniffer ដើម្បីផ្ទៀងផ្ទាត់ថា syslog ត្រូវបានភ្ជាប់ដោយជោគជ័យ ហើយទិន្នន័យនោះកំពុងឆ្លងកាត់បណ្តាញរបស់អ្នក។ ប្រសិនបើបរិស្ថាន Splunk ប្រើដេមិន syslog ដើម្បីសរសេរទិន្នន័យទៅ a file ជាដំបូងត្រូវប្រាកដថាទិន្នន័យកំពុងត្រូវបានសរសេរទៅ file ដូចដែលបានរំពឹងទុក។
ទិន្នន័យត្រូវបានបញ្ជូនមកវិញ ប៉ុន្តែមិនអាចយល់បាន។	ផ្ទៀងផ្ទាត់ថាការកំណត់រចនាសម្ព័ន្ធ TLS គឺស្របនៅក្នុងកុងសូល Cylance និងនៅក្នុង Splunk ។ សម្រាប់អតីតampដូច្នេះ ប្រអប់ធីក TLS/SSL ត្រូវបានជ្រើសរើសនៅក្នុងកុងសូល Cylance ហើយ tcp-ssl ត្រូវបានប្រើនៅក្នុង Splunk inputs.conf file.
ទិន្នន័យត្រូវបានបញ្ជូនមកវិញតែពីប្រភេទប្រភព syslog_protect ប៉ុណ្ណោះ។	ផ្ទៀងផ្ទាត់ថាកម្មវិធីត្រូវបានដំឡើងនៅលើអ្នកបញ្ជូនបន្ត និងក្បាលស្វែងរក ដូច្នេះ props.conf និង transforms.conf មានប្រសិទ្ធភាព ហើយប្តូរឈ្មោះ sourcetype=syslog_protect ទៅឈ្មោះប្រភេទប្រភពផ្សេងទៀត ដោយផ្អែកលើខ្លឹមសារនៃព្រឹត្តិការណ៍។

ដោះស្រាយបញ្ហាការរាយការណ៍ទិន្នន័យគំរាមកំហែង
ប្រសិនបើទិន្នន័យមិនផ្ទុកនៅក្នុងផ្ទាំងគ្រប់គ្រងរបាយការណ៍ សូមធ្វើដូចខាងក្រោម៖

• ប្រសិនបើស្ថាប័នរបស់អ្នកប្រើបរិស្ថាន Splunk ដែលបានចែកចាយ សូមផ្ទៀងផ្ទាត់ថាការប្រើប្រាស់របាយការណ៍ការគំរាមកំហែងត្រូវបានកំណត់រចនាសម្ព័ន្ធលើអ្នកបញ្ជូនបន្តដ៏ធ្ងន់ដែលកំពុងដំណើរការកម្មវិធី CylancePROTECT សម្រាប់ Splunk (មិនត្រឹមតែកម្មវិធីបន្ថែមលើបច្ចេកវិទ្យា) ហើយថាបរិស្ថាន Splunk កំពុងដំណើរការនៅលើកំណែ 7.2 ឬខ្ពស់ជាងនេះ។ .
• ផ្ទៀងផ្ទាត់ថាកំណែចុងក្រោយបំផុតនៃកម្មវិធីត្រូវបានដំឡើងនៅលើក្បាលស្វែងរក Splunk ហើយថាកំណែដែលត្រូវគ្នានៃកម្មវិធីបន្ថែមបច្ចេកវិជ្ជាត្រូវបានដំឡើងនៅលើអ្នកធ្វើលិបិក្រម។
• បញ្ជាក់ថាឈ្មោះលិបិក្រមគឺ cylance_protect ឬការពារដើម្បីផ្គូផ្គង inputs.conf file.
• បញ្ជាក់​ថា eventtypes.conf fileដែលបង្ហាញផ្ទាំងគ្រប់គ្រង មិនត្រូវបានផ្លាស់ប្តូរទេ។
• ផ្ទៀងផ្ទាត់ថា macro cylance_index ដែលស្វែងរកទិន្នន័យ Cylance មិនត្រូវបានផ្លាស់ប្តូរទេ។
• នៅលើទំព័រដើម Splunk នៅលើរបារម៉ឺនុយបញ្ឈរចុច ស្វែងរក និងរាយការណ៍។ កំណត់ពេលវេលាកំណត់ជាមុនទៅគ្រប់ពេលវេលា (ពេលវេលាពិត) បន្ទាប់មកស្វែងរក theeventtype=cylance_index sourcetype=syslog* command។
  ពីបន្ទាត់ពាក្យបញ្ជា សូមពិនិត្យមើល cylance_protect/local directory សម្រាប់វត្តមានរបស់ CSV និង SHA files (សម្រាប់ឧampឡេ -event.csv ឬ -indicators.sha) ។

លទ្ធផល                                         សកម្មភាពដើម្បីដោះស្រាយ

CSV និង SHA files មានវត្តមាន។ ពិនិត្យ $SPLUNK_HOME/etc/apps/cylance_protect/defaults/ inputs.conf file សម្រាប់ឈ្មោះលិបិក្រមដែលការបញ្ចូលស្គ្រីបកំពុងប្រើ។ ផ្ទៀងផ្ទាត់ថាសន្ទស្សន៍មាន។ ប្រើឈ្មោះលិបិក្រមដើម្បីស្វែងរកនៅលើរបារស្វែងរក Splunk ។

លទ្ធផល                                         សកម្មភាពដើម្បីដោះស្រាយ

CSV និង SHA files មិនផ្ទៀងផ្ទាត់ថាបរិស្ថាន Splunk របស់អ្នកមិននៅពីក្រោយប្រូកស៊ី ឬជញ្ជាំងភ្លើងទេ។ ដែលអាចរារាំងការតភ្ជាប់។ ប្រសិនបើប្រូកស៊ី ឬជញ្ជាំងភ្លើងកំពុងរារាំង ការតភ្ជាប់ កំណត់រចនាសម្ព័ន្ធវាដើម្បីអនុញ្ញាតឱ្យភ្ជាប់ទៅកុងសូល Cylance ។ ដំណើរការស្គ្រីប cy_test.py ពីបន្ទាត់ពាក្យបញ្ជា។

លុបកម្មវិធី CylancePROTECT Splunk

1. ធ្វើ​អ្វី​មួយ​ដូច​ខាង​ក្រោម៖
   

   កិច្ចការ	ជំហាន
   លីនុច៖ លុបកម្មវិធីចេញ ហើយទុកទិន្នន័យដែលពាក់ព័ន្ធនៅដដែល។	ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk remove app [ឈ្មោះកម្មវិធី]
   លីនុច៖ លុបកម្មវិធី និងទិន្នន័យដែលពាក់ព័ន្ធ។	ដើម្បីលុបទិន្នន័យ ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk remove index ដើម្បីលុបកម្មវិធីចេញ សូមដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk remove app [ឈ្មោះកម្មវិធី].
   វីនដូ៖ លុបកម្មវិធីចេញ ហើយទុកទិន្នន័យដែលពាក់ព័ន្ធនៅដដែល។	ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ splunk remove app [ឈ្មោះកម្មវិធី]
   វីនដូ៖ លុបកម្មវិធី និងទិន្នន័យដែលពាក់ព័ន្ធ។	ដើម្បីលុបទិន្នន័យ ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk remove index ដើម្បីលុបកម្មវិធីចេញ សូមដំណើរការពាក្យបញ្ជាខាងក្រោម៖ splunk remove app [ឈ្មោះកម្មវិធី]
   អសកម្មកម្មវិធី CylancePROTECT សម្រាប់ Splunk ។	ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk បិទកម្មវិធី [Cylance_protect] – auth:
   បើកដំណើរការកម្មវិធី Splunk CylancePROTECT ឡើងវិញ។	ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ ./splunk បើកកម្មវិធី [Cylance_protect] – auth:

2.  ចាប់ផ្តើម Splunk ឡើងវិញ។

សេចក្តីជូនដំណឹងផ្លូវច្បាប់

© 2023 BlackBerry Limited ពាណិជ្ជសញ្ញា រួមទាំង ប៉ុន្តែមិនកំណត់ចំពោះ BLACKBERRY, BBM, BES, EMBLEM Design, ATHOC, CYLANCE និង SECUSMART គឺជាពាណិជ្ជសញ្ញា ឬពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ BlackBerry Limited ដែលជាក្រុមហ៊ុនបុត្រសម្ព័ន្ធ និង/ឬសាខារបស់ខ្លួន ប្រើប្រាស់ក្រោមអាជ្ញាប័ណ្ណ និងសិទ្ធិផ្តាច់មុខចំពោះពាណិជ្ជសញ្ញាទាំងនោះគឺ បម្រុងទុកយ៉ាងច្បាស់លាស់។ ពាណិជ្ជសញ្ញាផ្សេងទៀតទាំងអស់គឺជាកម្មសិទ្ធិរបស់ម្ចាស់រៀងៗខ្លួន។
ប៉ាតង់ តាមដែលអាចអនុវត្តបាន ត្រូវបានកំណត់នៅ៖ www.blackberry.com/patents.
ឯកសារនេះរួមទាំងឯកសារទាំងអស់ដែលបានបញ្ចូលដោយឯកសារយោងនៅទីនេះ ដូចជាឯកសារដែលបានផ្តល់ ឬធ្វើឱ្យមាននៅលើ BlackBerry webគេហទំព័រដែលផ្តល់ ឬធ្វើឱ្យអាចចូលប្រើបាន “AS IS” និង “AS AVAILABLE” និងដោយគ្មានលក្ខខណ្ឌ ការយល់ព្រម ការធានា ការតំណាង ឬការធានាគ្រប់ប្រភេទដោយ BlackBerry Limited និងក្រុមហ៊ុនដែលពាក់ព័ន្ធ (“BlackBerry”) និង BlackBerry សន្មត់ថាមិនទទួលខុសត្រូវចំពោះការវាយអក្សរណាមួយឡើយ។ បច្ចេកទេស ឬភាពមិនត្រឹមត្រូវ កំហុស ឬការខកខានក្នុងឯកសារនេះ។ ដើម្បីការពារព័ត៌មានដែលមានកម្មសិទ្ធិ និងសម្ងាត់របស់ BlackBerry និង/ឬអាថ៌កំបាំងពាណិជ្ជកម្ម ឯកសារនេះអាចពិពណ៌នាអំពីទិដ្ឋភាពមួយចំនួននៃបច្ចេកវិទ្យា BlackBerry ក្នុងន័យទូទៅ។ BlackBerry រក្សាសិទ្ធិក្នុងការផ្លាស់ប្តូរព័ត៌មានដែលមាននៅក្នុងឯកសារនេះជាទៀងទាត់។ ទោះយ៉ាងណាក៏ដោយ BlackBerry មិនធ្វើការប្តេជ្ញាចិត្តក្នុងការផ្តល់នូវការផ្លាស់ប្តូរ ការអាប់ដេត ការធ្វើឱ្យប្រសើរ ឬការបន្ថែមផ្សេងទៀតចំពោះឯកសារនេះដល់អ្នកក្នុងលក្ខណៈទាន់ពេលវេលា ឬទាល់តែសោះ។
ឯកសារនេះអាចមានឯកសារយោងទៅកាន់ប្រភពភាគីទីបីនៃព័ត៌មាន ផ្នែករឹង ឬសូហ្វវែរ ផលិតផល ឬសេវាកម្ម រួមទាំងសមាសធាតុ និងខ្លឹមសារ ដូចជាខ្លឹមសារដែលត្រូវបានការពារដោយកម្មសិទ្ធិបញ្ញា និង/ឬភាគីទីបី webគេហទំព័រ (រួម "ផលិតផល និងសេវាកម្មភាគីទីបី") ។ BlackBerry មិនគ្រប់គ្រង និងមិនទទួលខុសត្រូវចំពោះផលិតផល និងសេវាកម្មរបស់ភាគីទីបីណាមួយ រួមទាំង ដោយគ្មានដែនកំណត់លើខ្លឹមសារ ភាពត្រឹមត្រូវ ការអនុលោមតាមកម្មសិទ្ធិបញ្ញា ភាពឆបគ្នា ការអនុវត្ត ភាពជឿជាក់ ភាពស្របច្បាប់ ភាពសមរម្យ តំណភ្ជាប់ ឬទិដ្ឋភាពផ្សេងទៀតនៃផលិតផលភាគីទីបី និង សេវាកម្ម។ ការដាក់បញ្ចូលឯកសារយោងទៅលើផលិតផល និងសេវាកម្មរបស់ភាគីទីបីនៅក្នុងឯកសារនេះមិនបញ្ជាក់ពីការយល់ព្រមដោយក្រុមហ៊ុន BlackBerry នៃផលិតផល និងសេវាកម្មរបស់ភាគីទីបី ឬភាគីទីបីតាមមធ្យោបាយណាមួយឡើយ។

លើកលែងតែវិសាលភាពដែលបានហាមឃាត់ជាពិសេសដោយច្បាប់ដែលអាចអនុវត្តបានក្នុងដែនសមត្ថកិច្ចរបស់អ្នករាល់លក្ខខណ្ឌការយល់ព្រមការគាំទ្រឬការធានា, រួមទាំងការធានា, ការធានាឬការធានានៃភាពធន់ សម្រាប់គោលបំណងពិសេស ឬប្រើប្រាស់ ពាណិជ្ជកម្ម គុណភាពដែលអាចទិញបាន ការមិនរំលោភបំពាន គុណភាពដែលពេញចិត្ត ឬចំណងជើង ឬកើតឡើងពីលក្ខន្តិកៈ ឬទំនៀមទម្លាប់ ឬវគ្គសិក្សានៃការគ្រប់គ្រង ការគ្រប់គ្រង ប្រតិបត្តិការ ឬការប្រើប្រាស់ ឬការមិនដំណើរការនៃកម្មវិធី ហាតវែរ សេវាកម្ម ឬផលិតផល និងសេវាកម្មភាគីទីបីណាមួយដែលបានយោងនៅទីនេះ មិនត្រូវបានរាប់បញ្ចូលនៅទីនេះ។ អ្នក​ក៏​អាច​មាន​សិទ្ធិ​ផ្សេង​ទៀត​ដែល​ខុស​គ្នា​តាម​រដ្ឋ ឬ​ខេត្ត។ យុត្តាធិការមួយចំនួនអាច
មិនអនុញ្ញាតឱ្យមានការលើកលែង ឬដែនកំណត់នៃការធានា និងលក្ខខណ្ឌជាក់ស្តែង។ ក្នុងវិសាលភាពដែលអនុញ្ញាតដោយច្បាប់ ការធានាឬលក្ខខណ្ឌណាមួយដែលទាក់ទងនឹងឯកសារក្នុងកម្រិតដែលពួកគេមិនអាចដកចេញបានដូចដែលបានកំណត់ខាងលើ ប៉ុន្តែអាចកំណត់បាន ត្រូវបានកំណត់ត្រឹមកាលបរិច្ឆេទ 90 ថ្ងៃដំបូងប៉ុណ្ណោះ ឬវត្ថុដែលជាកម្មវត្ថុនៃការទាមទារ។

ក្នុងកម្រិតអតិបរមាដែលអនុញ្ញាតដោយច្បាប់ជាធរមាននៅក្នុងយុត្តាធិការរបស់អ្នក ទោះក្នុងករណីណាក៏ដោយ BLACKBERRY នឹងមិនទទួលខុសត្រូវចំពោះការខូចខាតគ្រប់ប្រភេទដែលទាក់ទងនឹងឯកសារនេះ ឬការប្រើប្រាស់របស់វា ឬដំណើរការដូចនោះឡើយ។ សេវាកម្ម ឬភាគីទីបីណាមួយ។ ផលិតផល និងសេវាកម្មដែលយោងនៅទីនេះ រួមទាំងដោយគ្មានដែនកំណត់ ការខូចខាតខាងក្រោម៖ ដោយផ្ទាល់, ផលវិបាក, គំរូ, ចៃដន្យ, ដោយអចេតនា, ពិសេស, ទោសទណ្ឌ, ឬការធ្វើឱ្យខូចខាតកាន់តែធ្ងន់ធ្ងរ , បរាជ័យក្នុងការដឹងពីការសន្សំណាមួយដែលរំពឹងទុក, ការរំខានអាជីវកម្ម, ការបាត់បង់ព័ត៌មានអាជីវកម្ម ការបាត់បង់ឱកាសអាជីវកម្ម ឬអំពើពុករលួយ ឬការបាត់បង់ទិន្នន័យ ការខកខានក្នុងការបញ្ជូន ឬទទួលទិន្នន័យណាមួយ បញ្ហាដែលទាក់ទងនឹងកម្មវិធីណាមួយដែលប្រើប្រាស់ក្នុងដំណើរការផលិត ឬការភ្ជាប់ទំនាក់ទំនង។ , ការបាត់បង់ការប្រើប្រាស់ផលិតផល BLACKBERRY ឬ សេវាកម្ម ឬផ្នែកណាមួយរបស់វា ឬសេវាតាមអាកាសណាមួយ ថ្លៃដើមនៃទំនិញជំនួស ថ្លៃដើម ថ្លៃសេវា ឬថ្លៃសេវា ថ្លៃដើមទុន ឬការបាត់បង់ប្រាក់បៀវត្សរ៍ស្រដៀងគ្នាផ្សេងទៀត មិនថាមានឬអត់

ត្រូវបានគេមើលឃើញទុកជាមុន ឬមិនបានមើលឃើញទុកជាមុន ហើយទោះបីជា BLACKBERRY ត្រូវបានគេណែនាំពីលទ្ធភាពនៃការខូចខាតបែបនេះក៏ដោយ។
ក្នុងកម្រិតអតិបរមាដែលអនុញ្ញាតដោយច្បាប់ជាធរមាននៅក្នុងយុត្តាធិការរបស់អ្នក BLACKBERRY នឹងមិនមានកាតព្វកិច្ច កាតព្វកិច្ច ឬទំនួលខុសត្រូវផ្សេងទៀត អ្វីក៏ដោយនៅក្នុងកិច្ចសន្យា ការទារុណកម្ម ឬសិទ្ធិស្របច្បាប់របស់អ្នកផ្សេងទៀត ទំនួលខុសត្រូវតឹងរឹង។
ដែនកំណត់ ការលើកលែង និងការបដិសេធនឹងត្រូវអនុវត្ត៖ (ក) ដោយមិនគិតពីធម្មជាតិនៃសកម្មភាព ទាមទារ ឬសកម្មភាពដោយអ្នក រួមទាំង ប៉ុន្តែមិនកំណត់ចំពោះការបំពាន ការតភ្ជាប់ ការតភ្ជាប់ ទំនួលខុសត្រូវ ឬទ្រឹស្ដីច្បាប់ណាមួយ ហើយនឹងអាចរួចផុតពីការរំលោភបំពាន ឬការរំលោភបំពានជាមូលដ្ឋាន ឬការបរាជ័យនៃគោលបំណងសំខាន់នៃកិច្ចព្រមព្រៀងនេះ ឬដំណោះស្រាយណាមួយដែលមាននៅទីនេះ។ និង (ខ) ទៅកាន់ BLACKBERRY និងក្រុមហ៊ុនដែលជាប់ពាក់ព័ន្ធរបស់ខ្លួន អ្នកបន្តបន្ទាប់របស់ពួកគេ ចាត់តាំង ភ្នាក់ងារ អ្នកផ្គត់ផ្គង់ (រួមទាំងអ្នកផ្តល់សេវាតាមយន្តហោះ) អ្នកចែកចាយ BLACKBERRY ដែលមានការអនុញ្ញាត (ក៏រួមបញ្ចូលផងដែរ) នាយកប្រតិបត្តិ និយោជិត និងអ្នកម៉ៅការឯករាជ្យ។
បន្ថែមពីលើដែនកំណត់ និងការលើកលែងដែលបានកំណត់ខាងលើ អគ្គនាយក និយោជិត ភ្នាក់ងារ អ្នកចែកចាយ អ្នកផ្គត់ផ្គង់ អ្នកម៉ៅការឯករាជ្យនៃក្រុមហ៊ុន BLACKBERRY ឬផ្នែកពាក់ព័ន្ធណាមួយផ្សេងទៀត កើតឡើងពី ឬទាក់ទងនឹងឯកសារ។

មុនពេលជាវ ដំឡើង ឬប្រើប្រាស់ផលិតផល និងសេវាកម្មភាគីទីបីណាមួយ វាជាទំនួលខុសត្រូវរបស់អ្នកក្នុងការធានាថាអ្នកផ្តល់សេវាម៉ោងផ្សាយរបស់អ្នកបានយល់ព្រមដើម្បីគាំទ្រមុខងារទាំងអស់របស់ពួកគេ។ អ្នកផ្តល់សេវាម៉ោងផ្សាយមួយចំនួនប្រហែលជាមិនផ្តល់មុខងាររុករកអ៊ីនធឺណិតជាមួយនឹងការជាវសេវាអ៊ីនធឺណិត BlackBerry® ទេ។ ពិនិត្យមើលជាមួយអ្នកផ្តល់សេវារបស់អ្នកសម្រាប់ភាពអាចរកបាន ការរៀបចំរ៉ូមីង ផែនការសេវាកម្ម និងលក្ខណៈពិសេស។ ការដំឡើង ឬការប្រើប្រាស់ផលិតផល និងសេវាកម្មរបស់ភាគីទីបីជាមួយនឹងផលិតផល និងសេវាកម្មរបស់ BlackBerry អាចតម្រូវឱ្យមានប៉ាតង់ ពាណិជ្ជសញ្ញា កម្មសិទ្ធិបញ្ញា ឬអាជ្ញាប័ណ្ណផ្សេងទៀតមួយ ឬច្រើន ដើម្បីជៀសវាងការរំលោភបំពាន ឬបំពានសិទ្ធិភាគីទីបី។ អ្នកទទួលខុសត្រូវទាំងស្រុងក្នុងការកំណត់ថាតើត្រូវប្រើផលិតផល និងសេវាកម្មរបស់ភាគីទីបី ហើយប្រសិនបើអាជ្ញាប័ណ្ណភាគីទីបីត្រូវបានទាមទារដើម្បីធ្វើដូច្នេះ។ បើចាំបាច់ អ្នកទទួលខុសត្រូវក្នុងការទទួលបានពួកគេ។ អ្នកមិនគួរដំឡើង ឬប្រើផលិតផល និងសេវាកម្មរបស់ភាគីទីបីឡើយ រហូតដល់អាជ្ញាប័ណ្ណចាំបាច់ទាំងអស់ត្រូវបានទទួល។ ផលិតផល និងសេវាកម្មរបស់ភាគីទីបីណាមួយដែលត្រូវបានផ្តល់ជូនជាមួយនឹងផលិតផល និងសេវាកម្មរបស់ BlackBerry ត្រូវបានផ្តល់ជូនជាភាពងាយស្រួលសម្រាប់អ្នក ហើយត្រូវបានផ្តល់ជូន “AS IS” ដោយគ្មានលក្ខខណ្ឌបញ្ជាក់ ឬដោយបង្កប់ន័យ ការយល់ព្រម ការធានា ការតំណាង ឬការធានាគ្រប់ប្រភេទដោយ BlackBerry និង BlackBerry សន្មត់ថាមិនមានការទទួលខុសត្រូវអ្វីទាំងអស់, នៅក្នុងទំនាក់ទំនងនោះ។ ការប្រើប្រាស់ផលិតផល និងសេវាកម្មរបស់ភាគីទីបី នឹងត្រូវគ្រប់គ្រងដោយ និងជាកម្មវត្ថុដែលអ្នកយល់ព្រមលើលក្ខខណ្ឌនៃអាជ្ញាប័ណ្ណដាច់ដោយឡែក និងកិច្ចព្រមព្រៀងផ្សេងទៀតដែលអាចអនុវត្តបានជាមួយភាគីទីបី លើកលែងតែក្នុងវិសាលភាពដែលគ្របដណ្តប់យ៉ាងច្បាស់ដោយអាជ្ញាប័ណ្ណ ឬកិច្ចព្រមព្រៀងផ្សេងទៀតជាមួយ BlackBerry ។
លក្ខខណ្ឌនៃការប្រើប្រាស់ផលិតផល ឬសេវាកម្មរបស់ BlackBerry ត្រូវបានកំណត់ក្នុងអាជ្ញាប័ណ្ណដាច់ដោយឡែក ឬកិច្ចព្រមព្រៀងផ្សេងទៀតជាមួយ BlackBerry អាចអនុវត្តបាន។ មិនមានអ្វីនៅក្នុងឯកសារនេះ មានបំណងធ្វើផ្ទុយពីកិច្ចព្រមព្រៀងដែលសរសេរជាលាយលក្ខណ៍អក្សរ ឬការធានាណាមួយដែលផ្តល់ដោយ BLACKBERRY សម្រាប់ផ្នែកនៃផលិតផល ឬសេវាកម្មណាមួយរបស់ BLACKBERRY លើសពីនេះទេ។
កម្មវិធីសហគ្រាស BlackBerry រួមបញ្ចូលកម្មវិធីភាគីទីបីជាក់លាក់។ អាជ្ញាប័ណ្ណ និងព័ត៌មានរក្សាសិទ្ធិដែលពាក់ព័ន្ធជាមួយកម្មវិធីនេះមាននៅ http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.

BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
ប្រទេសកាណាដា N2K 0A7
BlackBerry UK Limited
ជាន់ផ្ទាល់ដី, អគារ The Pearce, ផ្លូវខាងលិច,
Maidenhead, Berkshire SL6 1RL
ចក្រភពអង់គ្លេស
បោះពុម្ភនៅប្រទេសកាណាដា

ឯកសារ/ធនធាន

កម្មវិធី Blackberry CylancePROTECT សម្រាប់ Splunk [pdf] ការណែនាំអ្នកប្រើប្រាស់ កម្មវិធី CylancePROTECT សម្រាប់ Splunk កម្មវិធីសម្រាប់ Splunk សម្រាប់ Splunk

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់