markteicher/DRAGOS-OT-Splunk-App
GitHub: markteicher/DRAGOS-OT-Splunk-App
将 Dragos OT 安全平台的警报、资产清单、网络遥测和威胁情报通过 REST API 集成到 Splunk,为 ICS/OT 环境提供统一的安全可视化和报表能力。
Stars: 0 | Forks: 0
# Splunk App 的 Dragos OT Security
```
____
| _ \ _ __ __ _ __ _ ___ ___
| | | | '__/ _` |/ _` |/ _ \/ __|
| |_| | | | (_| | (_| | (_) \__ \
|____/|_| \__,_|\__, |\___/|___/
|___|
```
## 概述
Dragos OT Security 是一个专用网络安全平台,旨在保护 **工业控制系统 (ICS)** 和 **运营技术 (OT)** 环境。
Dragos 通过监控制造、能源、公用事业、交通和工业设施等关键基础设施环境中的工业协议、资产行为和对手活动,提供对 OT 网络的深度可见性。
Dragos 持续分析 OT 资产、通信和威胁,而不会中断工业流程。该平台专为在可用性、安全性和可靠性至关重要的敏感环境中安全运行而设计。
**Dragos OT Security for Splunk App** 是一个单一的 Splunk 应用程序,它利用易于使用的 Splunk 设置向导,通过 **Dragos REST API** 从 Dragos 平台提供运营遥测、警报、检测、资产清单、网络活动和威胁情报。
数据被摄取到用户指定的 Splunk 索引中,并为每个数据集分配明确的 sourcetype。所有数据均以 **原始 JSON 格式** 存储。
这包括 OT 警报和检测、资产清单、网络协议活动、威胁情报和对手背景。
该 Splunk App 旨在直接在 Splunk 内部呈现 Dragos OT 数据,以便 **高管**、**利益相关者** 和 **资产所有者** 可以轻松查看 OT/IIOT 领域的概览或深入查看或导出数据,而无需直接访问 Dragos 用户界面。
## ⚠️ 免责声明
此应用程序 **不是官方 Dragos 产品**。
此软件的使用 **不在** 您与 Dragos 签订的任何许可、保修或支持协议的涵盖范围内。
所有功能均使用公开可用的 Dragos OT API 文档独立实现:
https://portal.dragos.com/api/v1/doc/index.html
## 仪表板
| 仪表板 | 描述 |
|----------|-------------|
| ✅ Overview | 高层 OT 安全态势 |
| 🚨 Alerts | 活动警报和警报状态 |
| 🔔 Notifications | 所有 Dragos 通知 |
| 🔥 Notifications — By Severity | 按严重性分组的通知 |
| 📊 Notifications — Executive Deltas | 高管 DoD / WoW / MoM 通知增量 |
| 🖥️ Assets | OT 资产清单 |
| 🌐 Network | 协议和网络通信 |
| 🔌 Protocols | 按资产观察到的 OT / ICS 协议 |
| 🧬 Vulnerabilities | 硬件、固件、软件和操作系统漏洞 |
| 🧠 Threat Intelligence | 威胁情报指标和活动 |
| 👤 Users | Dragos 平台用户 |
| ⏳ User Activity & Aging | 用户活动、老化和访问卫生 |
| 📈 User Activity Deltas | DoD / WoW / MoM 用户活动变化 |
| 🔐 Roles & Permissions | 角色到权限的参考映射 |
| 🧭 Component ↔ API ↔ View Mapping | 附录 A — 组件到 API 映射 |
| ❤️ System Health | 平台健康和状态 |
| 🏷️ Version | Dragos 平台版本信息 |
| 📄 Reports | 生成的 Dragos 报告 |
| ❓ Help | 使用和导航帮助 |
| 📚 Documentation | 嵌入式 Dragos 文档 |
| ⚠️ Error Logs | Dragos 摄取和 API 错误日志 |
| ℹ️ About | 应用程序和集成信息 |
## 支持的运行环境
Dragos 专为 **运营技术 (OT)** 和 **工业控制系统 (ICS)** 环境而设计。
## 支持的 OT 领域和环境
Dragos 支持广泛的 OT 环境可见性,包括:
- 制造业
- 能源与公用事业
- 石油和天然气
- 化工
- 电网
- 交通运输
- 水和废水处理
- 关键基础设施
- 工业设施
- 公共部门
- 食品和饮料
- 制药
- 楼宇自动化系统
## 工业协议覆盖
### 供应商特定的 OT/ICS 协议
| 集团 | 家族 | 协议名称 |
|------|--------|---------------|
| ABB | 800xA | CNCP |
| ABB | 800xA | CSLib |
| ABB | 800xA | MMS |
| ABB | 800xA | NIS |
| ABB | 800xA | RNRP |
| ABB | Other | Freelance |
| Cooper Power Systems | | SES-92 |
| Digi International | | ADDP |
| Eaton | MTL | MTL8000 Matrix |
| Emerson | DeltaV | DOP |
| Emerson | DeltaV | RTP |
| Emerson | DeltaV | SIS |
| Emerson | Fisher ROC | ROC Plus |
| Emerson | Ovation | Data Highway |
| Emerson | Ovation | DB XMIT |
| Emerson | Ovation | Mgmt |
| Emerson | Ovation | REM |
| Emerson | Ovation | SSQuery |
| Emerson | Ovation | SSRPC |
| Emerson | Ovation | System Reservation |
| Emerson | Ovation | Toolserver |
| Emerson | Ovation | UDP 5230 |
| GE | FANUC | EGD |
| GE | FANUC | SRTP |
| GE | InterSite | ISD |
| GE | Proficy | iFix 2010 |
| GE | Proficy | iFix Historian |
| GE | SDI | Classic SDI |
| GE | SDI | SDI |
| Honeywell | Experion | SDP |
| Honeywell | Mercor (Mercury) | Mercor |
### 广泛使用的 OT 协议
| 集团 | 家族 | 协议名称 |
|------|--------|----------------|
| ASHRAE | BACnet | BACapp |
| ASHRAE | BACnet | BACnet |
| ASHRAE | BACnet | BVLC |
| CODESYS Group | | CodeSys v3 |
| CLPA | CC-Link | SLMP |
| DNP.org | | DNP3 |
| HART Communication Foundation | ICS | HART-IP |
| IEC | IEC 60870 | IEC 101 |
| IEC | IEC 60870 | IEC 104 |
| IEC | IEC 61784 | HSR PRP |
| IEC | IEC 61850 | GOOSE |
| IEC | IEC 61850 | SV |
| IEC | IEC 61850 | MMS |
| IEC | IEC 61850 | UCA2 (GSSE) |
| Johnson Controls | | Metasys Private Message |
| NMEA | | NMEA 0183 |
| OMRON | | FINS |
| Phoenix Contact | PLC | DDI |
| Phoenix Contact | PLC | OPC |
| Red Lion Controls | | Crimson Download Protocol |
| Rockwell Automation | | ENIP |
| Rockwell Automation | | CSP |
| Rockwell Automation | | PCCC |
| Rockwell Automation | | CIP |
| Schneider Electric | | UMAS |
| Schneider Electric | AVEVA | OASyS DNA |
| Schneider Electric | Foxboro | Comex |
| Schneider Electric | Triconex | FW |
| Schneider Electric | Triconex | P2P |
| Schneider Electric | Triconex | TSAA |
| Schneider Electric | Triconex | Tristation |
| Schneider Electric | Wonderware | Suitelink |
| Schweitzer Engineering Laboratories | SEL | ASCII |
| Schweitzer Engineering Laboratories | SEL | FM |
| Siemens | | CAMP |
| Siemens | | NIPT |
| Siemens | | S7Comm |
| Siemens | | S7Comm-Plus |
| Siemens | Profinet | DCP |
| Siemens | Profinet | IO |
| Siemens | Profinet | MRP |
| Siemens | Profinet | MRRT |
| Siemens | Profinet | PTCP |
| Siemens | Profinet | RT |
| TechnipFMC | Smith Meter | SMIP |
| Yokogawa | Centum | Vnet/IP |
| IEEE | | C37.118 |
| IEEE | | Synchrophasor |
| IEEE | | PTP |
| ISO | | COTP |
| LonWorks | | LonTalk |
| Modbus Organization | | Modbus RTU |
| Modbus Organization | | Modbus TCP |
| OPC Foundation | | OPCUA |
| OPC Foundation | | OPCDA |
### 支持的 IT 协议示例
| 集团 | 家族 | 协议名称 |
|------|--------|----------------|
| Cisco | | CDP |
| Cisco | | Cisco VPN |
| Cisco | | HSRP |
| Cisco | | NetFlow |
| Cisco | IT | VTP |
| Cisco | Telecom | Skinny/SCCP |
| IETF | | ARP |
| IETF | | BGP |
| IETF | | CAPWAP |
| IETF | | DHCP |
| IETF | | Diameter |
| IETF | | DNS |
| IETF | | DTLS |
| IETF | | EGP |
| IETF | | FTP |
| IETF | | GRE |
| IETF | | HTTP |
| IETF | | HTTP Proxy |
| IETF | | IGMP |
| IETF | | IKEv2 |
| IETF | | IMAP |
| IETF | | IP in IP |
| IETF | | IPP |
| IETF | | IPSec |
| IETF | | Kerberos 5 |
| IETF | | LDAP |
| IETF | | LISP |
| IETF | | LLDP |
| IETF | | MDNS |
| IETF | | NFS |
| IETF | | NTP |
| IETF | | OCSP |
| IETF | | OSPF |
| IETF | | PGM |
| IETF | | PIM |
| IETF | | POP3 |
| IETF | | PPTP |
| IETF | | QUIC |
| IETF | | RFB / VNC |
| IETF | | RTCP |
| IETF | | RTMP |
| IETF | | RTP |
| IETF | | RTSP |
| IETF | | SCTP |
| IETF | | SIP |
| IETF | | SMTP |
| IETF | | SNMP |
| IETF | | SOCKS |
| IETF | | SPNEGO |
| IETF | | SSH |
| IETF | | SSDP |
| IETF | | STUN |
| IETF | | Syslog |
| IETF | | Telnet |
| IETF | | Teredo |
| IETF | | TFTP |
| IETF | | TLS |
| IETF | | TPKT |
| IETF | | VRRP |
| IETF | | WebSocket |
| IETF | IoT | CoAP |
| IETF | IPv6 | DHCPv6 |
| IETF | IPv6 | NDP |
| IETF | Radio | GTP |
| IETF | Radio | GTP Prime |
| IETF | Radio | GTP-C |
| IETF | Radio | GTP-U |
| Microsoft | | RDP |
| Microsoft | | TDS or MSSQL-TDS |
| Microsoft | | WSD |
| Microsoft | Active Directory | NTLM |
| Microsoft | NetBIOS | NetBIOS Browser |
| Microsoft | NetBIOS | NetBIOS Datagram |
| Microsoft | NetBIOS | NetBIOS Name Service |
| Microsoft | NetBIOS | NetBIOS over TCP |
| Microsoft | NetBIOS | NetBIOS Stream Service |
| Microsoft | SMB | SMB |
| Microsoft | SMB | SMB Mailslot |
| Open Group | DCS | DCERPC |
| Open Group | DCS | DCOM |
| Other | | AFP |
| Other | | AJP |
| Other | | AMQP |
| Other | | AVASTSecureDNS |
| Other | | collectd |
| Other | | CORBA |
| Other | | CPHA |
| Other | | DHCP |
| Other | | Direct Connect |
| Other | | EAQ |
| Other | HP VM Group Management | |
| Other | | imo |
| Other | | Kontiki |
| Other | | MQTT |
| Other | | NNTP / Usenet |
| Other | | OpenVPN |
| Other | | PostgreSQL |
| Other | | Redis |
| Other | | RSH |
| Other | | RSYNC |
| Other | | RX |
| Other | | sFlow |
| Other | | SOAP |
| Other | | StealthNet |
| Other | | Thunder |
| Other | | TINC |
| Other | | UBNTAC2 |
| Other | | UltraSurf |
| Other | | VMware vCenter |
| Other | | Server |
| Other | | XDMCP |
| Other | | Zix |
| Other | | ZeroMQ |
| Automotive | | SOMEIP |
| Database | | MySQL |
| Desktop | | Aimini |
| Desktop | | Applejuice |
| File Sharing | | FastTrack |
| File Sharing | | Gnutella |
| File Sharing | | eDonkey |
| File Sharing | | OpenFT |
| Financial | | FIX |
| Messaging | | NATS |
| Messaging | | Messaging |
| Messaging | | QQ |
| Open Source | | Checkmk |
| Printer | | Canon_BJNP |
| Streaming | | MPEG-DASH |
| Telecom | | Megaco |
| Telecom | | MGCP |
| Telecom | | SMPP |
| Teleconferencing | | H.323 |
| VoIP | | IAX |
| VoIP | | NOE |
| VPN | | ESP |
| VPN | | IPSec |
| VPN | | ISAKMP |
| VPN | | OpenVPN |
| VPN | | WireGuard |
## 收集的数据
### 警报 / 检测
- alert_id
- severity
- confidence
- threat_family
- threat_actor
- tactic / technique
- protocol
- impacted_assets
- recommended_action
- detection_status
- timestamps
### 资产清单
- asset_id
- ip_address
- mac_address
- vendor
- model
- firmware_version
- asset_type
- zone
- site
- criticality
- first_seen
- last_seen
### 网络 & OT 遥测
- operational telemetry
- protocol usage
- anomalous communications
- unexpected connections
- policy violations
- zone-to-zone activity
- asset-to-asset interactions
### 威胁情报
- adversary name
- campaign
- malware family
- ICS relevance
- kill chain stage
- confidence score
- attribution context
## 数据摄取模型
Dragos OT Security for Splunk App 使用 Dragos REST API 从 Dragos 检索数据。
## UI → API → Splunk 数据映射(参考)
- 用户界面功能 → API 血缘
- 仪表板和检测数据来源
- Sourcetype
所有映射均源自 Dragos 平台开发者指南。
| Dragos UI 区域 | UI 功能 | API 端点 | HTTP 方法 | Splunk Sourcetype | 摄取的主要字段 |
|---------------|------------------|-----------------|-------------|-------------------|-------------------------|
| Overview | 平台态势摘要 | `/api/v1/alerts` | GET | `dragos:alerts` | severity, confidence, status |
| Overview | 资产总体摘要 | `/api/v1/assets` | GET | `dragos:assets` | asset_id, criticality |
| Alerts / Detections | 活动威胁检测 | `/api/v1/alerts` | GET | `dragos:alerts` | alert_id, threat_family, impacted_assets |
| Alerts / Detections | 警报生命周期状态 | `/api/v1/alerts/{id}` | GET | `dragos:alerts` | acknowledged, resolved, timestamps |
| Assets | OT 资产清单 | `/api/v1/assets` | GET | `dragos:assets` | ip, mac, vendor, model |
| Assets | 资产元数据 | `/api/v1/assets/{id}` | GET | `dragos:assets` | zone, site, first_seen, last_seen |
| Vulnerabilities | 漏洞清单 | `/api/v1/vulnerabilities` | GET | `dragos:vulnerabilities` | vuln_id, severity, cve |
| Vulnerabilities | 资产漏洞映射 | `/api/v1/vulnerabilities/assets` | GET | `dragos:vulnerabilities` | asset_id, vuln_id |
| Vulnerabilities | 漏洞详情 | `/api/v1/vulnerabilities/{id}` | GET | `dragos:vulnerabilities` | description, remediation |
| Network Activity | OT 通信 | `/api/v1/communications` | GET | `dragos:network` | protocol, src, dst |
| Network Activity | 协议使用情况 | `/api/v1/protocols` | GET | `dragos:network` | protocol_name, volume |
| Network Activity | 异常 | `/api/v1/anomalies` | GET | `dragos:network` | anomaly_type, severity |
| Threat Intelligence | 对手概况 | `/api/v1/adversaries` | GET | `dragos:threatintel` | name, motivation |
| Threat Intelligence | 攻击活动 | `/api/v1/campaigns` | GET | `dragos:threatintel` | campaign_name, start_date |
| Threat Intelligence | 恶意软件家族 | `/api/v1/malware` | GET | `dragos:threatintel` | family, behavior |
| Threat Intelligence | 杀伤链映射 | `/api/v1/threats` | GET | `dragos:threatintel` | stage, confidence |
| Reporting | 历史警报趋势 | `/api/v1/alerts` | GET | `dragos:alerts` | timestamps, severity |
| Reporting | 漏洞趋势 | `/api/v1/vulnerabilities` | GET | `dragos:vulnerabilities` | severity, discovery_date |
| Operations | 平台版本 | `/api/v1/version` | GET | `dragos:meta` | version, build |
| Operations | 系统健康 | `/api/v1/status` | GET | `dragos:meta` | uptime, component_state |
## 组件 API 文档页面
所有路径均相对于 SiteStore URL 的根路径
(例如:`https:///`)
| 组件 API | 文档路径 | API 路径 |
|--------------|--------------------|---------|
| Asset Inventory | /assets/docs/index.html | /assets/api/v4/ |
| Asset Maps | /maps/docs/index.html | /maps/api/v1/ |
| Authentication Management | /auth/docs/index.html | /auth/api/v1/ |
| Baselines | /baselines/docs/index.html | /baselines/api/v3/ |
| Case Management | /cases/docs/index.html | /cases/ |
| Data Import Service | /ddis/docs/index.html | /ddis/api/v1/ |
| Detection Management | /detections/docs/index.html | /detections/api/v1/ |
| Files | /files/docs/index.html | /files/api/v1/ |
| Node Management Service | /nodes/docs/v1/index.html | /nodes/api/v1/ |
| Notifications | /notifications/docs/index.html | /api/v2/notification |
| Reports | /reports/docs/index.html | /reports/api/v2/ |
| Taskings | /taskings/docs/index.html | /taskings/api/v1/ |
| Vulnerabilities | /vulnerabilities/docs/index.html | /vulnerabilities/api/v1/ |
## 角色和权限
| 名称 | 合并的旧权限 | 描述 |
|-----|-------------------------------|-------------|
| admin | Admin | 允许使用各种管理页面和服务。 |
| analytic:beta:read | AnalyticBeta | 允许读取 beta 分析列表和详情。 |
| analytic:read | AnalyticRead | 允许读取分析列表和详情。 |
| analytic:manage | AnalyticCreate
AnalyticDelete
AnalyticRestart
AnalyticRun
AnalyticUpdate | 允许创建、更新、删除和手动运行分析。 | | asset:delete | AssetDelete | 允许删除资产。 | | asset:map | AssetSnapshotCreate
AssetSnapshotDelete
AssetSnapshotRead | 允许生成和读取资产地图。 | | asset:read | AssetRead | 允许读取资产。 | | asset:write | AssetWrite | 允许更新、导入和合并资产。 | | auth:provider:manage | — | 管理认证提供者。 | | auth:identity:manage | — | 管理身份账户。 | | auth:identity:read | — | 读取身份账户。 | | auth:role:manage | — | 管理身份角色。 | | baseline:config | BaselineAdmin | 允许读取基线元数据信息。 | | baseline:read | BaselineRead | 允许读取基线元数据信息。 | | baseline:update | BaselineUpdate | 允许更改基线本身(添加/移除到/从基线)。 | | case:admin | CaseAdmin | 对所有案例的管理访问权限。 | | case:create | CaseCreate | 允许创建案例。 | | case:read | CaseRead | 允许读取案例。 | | detection:manage | DetectionCatalogConfigRead
DetectionCatalogConfigUpdate
DetectionCatalogCreate
DetectionCatalogDelete
DetectionCatalogRead
DetectionCreate
DetectionDelete
DetectionUpdate | 管理检测。 | | detection:read | DetectionRead | 允许读取检测。 | | file:delete | FileDelete | 允许删除文件。 | | file:packetcapture:download | PacketCaptureDownload | 允许下载数据包捕获 (PCAP) 文件。 | | file:packetcapture:metadata:update | PacketCaptureMetadataUpdate | 允许更新数据包捕获 (PCAP) 文件的元数据。 | | file:upload | FileCreate | 允许上传文件。 | | misc:jupyterhub | JupyterhubAccess | 允许登录 Jupyterhub 环境。 | | network:manage | NetworkCreate
NetworkDelete
NetworkMetadataUpdate | 允许创建、更新和删除网络。 | | network:read | NetworkRead | 允许读取网络。 | | notification:read | NotificationRead | 允许读取通知(不包括系统通知)。 | | notification:rule:manage | NotificationCreationRuleActionCreate
NotificationCreationRuleActionDelete
NotificationCreationRuleActionUpdate
NotificationCreationRuleCreate
NotificationCreationRuleDelete
NotificationCreationRuleUpdate
NotificationCreationRuleWithDrop | 允许管理通知规则和操作。 | | notification:rule:read | NotificationCreationRuleActionRead | 允许读取通知规则和操作。 | | notification:system:read | NotificationSystemType | 允许读取系统通知。 | | notification:update | NotificationUpdate | 允许更新通知。 | | playbook:admin | PlaybookAdmin | 对所有 playbook 的管理访问权限。 | | playbook:create | PlaybookCreate | 创建新的 playbook。 | | playbook:read | PlaybookRead | 允许读取 playbook。 | | report:delete | ReportDelete | 允许删除报告。 | | report:read | ReportRead | 允许读取报告。 | | report:write | ReportWrite | 允许创建和更新报告。 | | sensor:manage | CollectorDelete
CollectorMetadataUpdate
MidpointDelete
MidpointMetadataUpdate
SensorPairing | 允许更新和删除传感器和收集器。 | | sensor:read | CollectorRead
MidpointRead | 允许读取传感器和收集器。 | | tasking:capture:create | TaskingCreate | 允许创建捕获任务。 | | tasking:contentpack:create | TaskingContentPackCreate | 允许创建 Content Pack 部署任务。 | | tasking:delete | TaskingDelete | 允许删除任务。 | | tasking:read | TaskingRead | 允许读取任务。 | | vulnerability:read | VulnerabilityRead
VulnerabilityDetectionRead | 允许读取漏洞和检测。 | | vulnerability:log:read | VulnerabilityManagementAuditLogRead | 允许读取漏洞审计日志。 | | vulnerability:rule:manage | VulnerabilityDetectionRuleCreate
VulnerabilityDetectionRuleUpdate
VulnerabilityDetectionRuleDelete | 允许创建、更新和删除漏洞检测规则。 | | vulnerability:rule:read | VulnerabilityDetectionRuleRead | 允许读取漏洞检测规则。 | | vulnerability:update | VulnerabilityDetectionUpdate | 允许更新漏洞检测的状态。 | ## 安装 ### 步骤 1:安装 App 1. 下载 Dragos OT Security for Splunk App 包 2. 在 Splunk Web 中,导航至 **Apps → Manage Apps** 3. 选择 **Install app from file** 4. 上传应用程序包 5. 如果提示,重启 Splunk ### 步骤 2:配置 App 1. 打开 **Dragos OT Security** 应用程序 2. 导航至 **Settings → Configuration** 3. 配置: - Dragos API base URL - API key - Target Splunk index - Proxy settings (optional) - Polling interval 4. 保存配置 ### 步骤 3:验证数据收集 运行以下搜索以确认摄取: ## 目录结构 ``` Dragos_OT_Security_For_Splunk_App/ ├── app.manifest ├── LICENSE ├── README.md ├── default/ │ ├── app.conf │ ├── inputs.conf │ ├── props.conf │ ├── transforms.conf │ ├── macros.conf │ ├── restmap.conf │ ├── savedsearches.conf │ ├── web.conf │ └── data/ │ └── ui/ │ ├── nav/ │ │ └── default.xml │ └── views/ │ ├── setup.xml │ ├── dragos_overview.xml │ ├── dragos_alerts.xml │ ├── dragos_assets.xml │ ├── dragos_network.xml │ ├── dragos_threat_intel.xml │ ├── dragos_reports.xml │ └── dragos_help.xml ├── bin/ │ ├── dragos_input.py │ ├── dragos_setup_handler.py │ └── dragos_validation.py ├── metadata/ │ ├── default.meta │ └── local.meta └── static/ ├── appIcon.png └── appIcon_2x.png ``` ## 要求 - Splunk Enterprise 或 Splunk Cloud (Classic Experience) - 网络连接到 Dragos 平台 - 有效的 Dragos API 凭证 - 运行中的 Dragos 部署 ## AppInspect 合规性 - 标准 Splunk app 目录结构 - 输入默认禁用 - 安全的凭证处理 - 无硬编码秘密 - 基于 JSON 的摄取 - MIT 许可证 ## 参考 - Dragos 产品文档 https://www.dragos.com - Dragos API 文档 https://portal.dragos.com/api/v1/doc/index.html - Splunk 文档 https://docs.splunk.com ## MIT 许可证 Copyright (c) 2026 Mark Teicher Permission is hereby granted, free of charge, any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software.
AnalyticDelete
AnalyticRestart
AnalyticRun
AnalyticUpdate | 允许创建、更新、删除和手动运行分析。 | | asset:delete | AssetDelete | 允许删除资产。 | | asset:map | AssetSnapshotCreate
AssetSnapshotDelete
AssetSnapshotRead | 允许生成和读取资产地图。 | | asset:read | AssetRead | 允许读取资产。 | | asset:write | AssetWrite | 允许更新、导入和合并资产。 | | auth:provider:manage | — | 管理认证提供者。 | | auth:identity:manage | — | 管理身份账户。 | | auth:identity:read | — | 读取身份账户。 | | auth:role:manage | — | 管理身份角色。 | | baseline:config | BaselineAdmin | 允许读取基线元数据信息。 | | baseline:read | BaselineRead | 允许读取基线元数据信息。 | | baseline:update | BaselineUpdate | 允许更改基线本身(添加/移除到/从基线)。 | | case:admin | CaseAdmin | 对所有案例的管理访问权限。 | | case:create | CaseCreate | 允许创建案例。 | | case:read | CaseRead | 允许读取案例。 | | detection:manage | DetectionCatalogConfigRead
DetectionCatalogConfigUpdate
DetectionCatalogCreate
DetectionCatalogDelete
DetectionCatalogRead
DetectionCreate
DetectionDelete
DetectionUpdate | 管理检测。 | | detection:read | DetectionRead | 允许读取检测。 | | file:delete | FileDelete | 允许删除文件。 | | file:packetcapture:download | PacketCaptureDownload | 允许下载数据包捕获 (PCAP) 文件。 | | file:packetcapture:metadata:update | PacketCaptureMetadataUpdate | 允许更新数据包捕获 (PCAP) 文件的元数据。 | | file:upload | FileCreate | 允许上传文件。 | | misc:jupyterhub | JupyterhubAccess | 允许登录 Jupyterhub 环境。 | | network:manage | NetworkCreate
NetworkDelete
NetworkMetadataUpdate | 允许创建、更新和删除网络。 | | network:read | NetworkRead | 允许读取网络。 | | notification:read | NotificationRead | 允许读取通知(不包括系统通知)。 | | notification:rule:manage | NotificationCreationRuleActionCreate
NotificationCreationRuleActionDelete
NotificationCreationRuleActionUpdate
NotificationCreationRuleCreate
NotificationCreationRuleDelete
NotificationCreationRuleUpdate
NotificationCreationRuleWithDrop | 允许管理通知规则和操作。 | | notification:rule:read | NotificationCreationRuleActionRead | 允许读取通知规则和操作。 | | notification:system:read | NotificationSystemType | 允许读取系统通知。 | | notification:update | NotificationUpdate | 允许更新通知。 | | playbook:admin | PlaybookAdmin | 对所有 playbook 的管理访问权限。 | | playbook:create | PlaybookCreate | 创建新的 playbook。 | | playbook:read | PlaybookRead | 允许读取 playbook。 | | report:delete | ReportDelete | 允许删除报告。 | | report:read | ReportRead | 允许读取报告。 | | report:write | ReportWrite | 允许创建和更新报告。 | | sensor:manage | CollectorDelete
CollectorMetadataUpdate
MidpointDelete
MidpointMetadataUpdate
SensorPairing | 允许更新和删除传感器和收集器。 | | sensor:read | CollectorRead
MidpointRead | 允许读取传感器和收集器。 | | tasking:capture:create | TaskingCreate | 允许创建捕获任务。 | | tasking:contentpack:create | TaskingContentPackCreate | 允许创建 Content Pack 部署任务。 | | tasking:delete | TaskingDelete | 允许删除任务。 | | tasking:read | TaskingRead | 允许读取任务。 | | vulnerability:read | VulnerabilityRead
VulnerabilityDetectionRead | 允许读取漏洞和检测。 | | vulnerability:log:read | VulnerabilityManagementAuditLogRead | 允许读取漏洞审计日志。 | | vulnerability:rule:manage | VulnerabilityDetectionRuleCreate
VulnerabilityDetectionRuleUpdate
VulnerabilityDetectionRuleDelete | 允许创建、更新和删除漏洞检测规则。 | | vulnerability:rule:read | VulnerabilityDetectionRuleRead | 允许读取漏洞检测规则。 | | vulnerability:update | VulnerabilityDetectionUpdate | 允许更新漏洞检测的状态。 | ## 安装 ### 步骤 1:安装 App 1. 下载 Dragos OT Security for Splunk App 包 2. 在 Splunk Web 中,导航至 **Apps → Manage Apps** 3. 选择 **Install app from file** 4. 上传应用程序包 5. 如果提示,重启 Splunk ### 步骤 2:配置 App 1. 打开 **Dragos OT Security** 应用程序 2. 导航至 **Settings → Configuration** 3. 配置: - Dragos API base URL - API key - Target Splunk index - Proxy settings (optional) - Polling interval 4. 保存配置 ### 步骤 3:验证数据收集 运行以下搜索以确认摄取: ## 目录结构 ``` Dragos_OT_Security_For_Splunk_App/ ├── app.manifest ├── LICENSE ├── README.md ├── default/ │ ├── app.conf │ ├── inputs.conf │ ├── props.conf │ ├── transforms.conf │ ├── macros.conf │ ├── restmap.conf │ ├── savedsearches.conf │ ├── web.conf │ └── data/ │ └── ui/ │ ├── nav/ │ │ └── default.xml │ └── views/ │ ├── setup.xml │ ├── dragos_overview.xml │ ├── dragos_alerts.xml │ ├── dragos_assets.xml │ ├── dragos_network.xml │ ├── dragos_threat_intel.xml │ ├── dragos_reports.xml │ └── dragos_help.xml ├── bin/ │ ├── dragos_input.py │ ├── dragos_setup_handler.py │ └── dragos_validation.py ├── metadata/ │ ├── default.meta │ └── local.meta └── static/ ├── appIcon.png └── appIcon_2x.png ``` ## 要求 - Splunk Enterprise 或 Splunk Cloud (Classic Experience) - 网络连接到 Dragos 平台 - 有效的 Dragos API 凭证 - 运行中的 Dragos 部署 ## AppInspect 合规性 - 标准 Splunk app 目录结构 - 输入默认禁用 - 安全的凭证处理 - 无硬编码秘密 - 基于 JSON 的摄取 - MIT 许可证 ## 参考 - Dragos 产品文档 https://www.dragos.com - Dragos API 文档 https://portal.dragos.com/api/v1/doc/index.html - Splunk 文档 https://docs.splunk.com ## MIT 许可证 Copyright (c) 2026 Mark Teicher Permission is hereby granted, free of charge, any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software.
标签:Dragos, Homebrew安装, ICS, NTLM Relay, OT安全, PKINIT, Python, REST API, SCADA安全, Splunk应用, 互操作性, 关键基础设施, 制造业安全, 可视化仪表板, 威胁情报, 工业控制系统, 工控安全, 开发者工具, 开源, 异常检测, 操作技术, 数据摄取, 无后门, 日志集成, 能源安全, 资产清单