markteicher/BitSight_For_Splunk_App

 # Bitsight Security Ratings for Splunk ## 概述 完整的 BitSight 安全评级 Splunk 应用。通过 Bitsight API 监控和可视化安全评级、投资组合公司、告警、发现、暴露的凭据、用户以及威胁情报。 ## ⚠️ 免责声明 此工具**不是官方的 BitSight 产品**。 此软件的使用**不受**您与 BitSight 签订的任何许可、保修或支持协议的保障。 所有功能均使用公开的 Bitsight API 文档独立实现： ## 功能特性 ### 🛡️ 核心功能 | 功能 | 描述 | |---------|-------------| | 📊 安全评级监控 | 随时跟踪贵组织的安全评级 | | 🏢 投资组合管理 | 通过迷你图监控第三方供应商的安全态势 | | 🔔 告警管理 | 安全评级变更的实时通知 | | 🔍 发现分析 | 带有 CVSS 评分的详细漏洞和安全发现跟踪 | | 🔐 暴露的凭据 | 数据泄露和凭据暴露监控 | | ⚠️ 威胁情报 | CVE 和漏洞威胁跟踪 | | 👥 用户管理 | 跟踪用户活动、配额使用和访问审查 | | 📈 21 个风险向量 | 完整覆盖所有 Bitsight 风险向量 | ### 📈 高级分析 | 功能 | 描述 | |---------|-------------| | 📉 评级趋势 | 公司级别随时间变化的评级趋势 | | 📊 发现趋势 | 环比、月环比、季环比、年同比的发现趋势分析 | | 📊 对比趋势 | 环比、月环比、季环比、年同比的评级对比 | | 🏆 同行基准测试 | 行业和同行组对比 | | ⏱️ MTTR 管理 | 平均修复时间 (MTTR) 管理层指标 | | 🎯 资产风险矩阵 | 资产重要性与严重程度的热力图映射 | | 🌳 评级树 | 公司层级和子公司评级可视化 | ### ✅ 合规与治理 | 功能 | 描述 | |---------|-------------| | 🏛️ NIST CSF 映射 | 将风险向量映射到 NIST 网络安全框架 | | ⏰ SLA 跟踪 | 修复 SLA 监控和违规告警 | | 👤 用户访问审查 | 定期访问审查和审计支持 | ### ⚙️ 卓越运营 | 功能 | 描述 | |---------|-------------| | 📊 运营指标 | 已处理记录、API 调用、摄取率 | | 💓 健康监控 | 数据新鲜度和收集状态 | | ✅ 配置验证 | 首次启动时自动进行设置验证 | | 🕐 定时健康检查 | 每日验证和每小时 API 健康检查 | | 📋 日志查看器 | API 活动和错误监控 | ## 仪表盘 | 仪表盘 | 描述 | |-----------|-------------| | **Overview** | 包含 KPI、评级趋势和告警的管理摘要 | | **Search** | 公司搜索与查询 | | **Portfolio** | 带有迷你图的第三方供应商投资组合管理 | | **Ratings Tree** | 公司层级和子公司评级 | | **Benchmarking** | 同行和行业基准对比 | | **Ratings** | 包含风险向量的详细安全评级分析 | | **Ratings Trending** | 公司评级随时间变化的趋势 | | **Trending** | 环比、月环比、季环比、年同比的对比趋势分析 | | **Findings** | 按严重程度和风险向量划分的安全发现摘要 | | **Findings Detailed** | 包含 CVSS 评分、资产、修复的详细发现 | | **Findings Trending** | 发现的环比、月环比、季环比、年同比趋势分析 | | **Remediation** | 修复跟踪和 SLA 监控 | | **MTTR Executive** | 平均修复时间管理仪表盘 | | **Asset Risk Matrix** | 资产重要性与严重程度的风险矩阵 | | **NIST CSF** | NIST 网络安全框架合规性映射 | | **Threats** | CVE 和威胁情报仪表盘 | | **Exposed Credentials** | 数据泄露和凭据暴露跟踪 | | **Users** | 用户管理、活动和配额跟踪 | | **Users Access Review** | 用户访问审查和审计仪表盘 | | **Alerts** | 告警管理和跟踪 | | **Health** | 数据健康和摄取监控 | | **Health Check** | 配置验证和定时健康检查 | | **Operations** | 已处理记录和摄取指标 | | **Logs** | 日志查看器和 API 活动监控 | | **Reports** | 董事会级别的报告生成 | | **Help** | 管理层帮助和术语表 | ## 支持的风险向量 ### 被入侵系统 (5) - botnet_infections, spam_propagation, malware_servers, unsolicited_comm, potentially_exploited ### 尽责程度 (15) - spf, dkim, ssl_certificates, ssl_configurations, open_ports, web_appsec - patching_cadence, insecure_systems, server_software, desktop_software - mobile_software, dnssec, mobile_application_security, application_security, dmarc ### 用户行为 (1) - file_sharing ### 🚀 部署 | 功能 | 描述 | |---------|-------------| | 📊 26 个预构建的仪表盘 | 开箱即用的即时洞察 | | 🖥️ Web UI 设置 | 无需 CLI - 通过 Splunk Web 进行配置 | | ☁️ 支持 Splunk Cloud | 符合 AppInspect 标准，可用于云部署 | | 📧 告警动作 | 集成 Email、Webhook、Script 和 PagerDuty | ## 安装 ### 第 1 步：部署应用 1. 下载 `BitSight_For_Splunk_App-1.0.0.tar.gz` 文件 2. 在 Splunk Web 中，导航至 **Apps → Manage Apps** 3. 点击 **Install app from file** 4. 上传 `.tar.gz` 文件并点击 **Upload** 5. 出现提示时重启 Splunk ### 第 2 步：配置应用 1. 在 Splunk Web 中，导航至 **Apps → Bitsight → Setup** 2. 配置以下设置： #### API 配置 - **Bitsight API Token**：输入您的 API Token（可从 Bitsight 门户获取） - **API Base URL**：默认为 `https://api.bitsighttech.com` - **Verify SSL**：启用 SSL 证书验证（推荐） - **Request Timeout**：设置超时时间（以秒为单位，默认：60） #### 代理配置（可选） - **Use Proxy**：如果您的网络需要代理，请启用此项 - **Proxy URL**：输入代理 URL（例如，`http://proxy.example.com:8080`） - **Proxy Username**：如果代理需要身份验证，请输入用户名 - **Proxy Password**：如果代理需要身份验证，请输入密码 #### 数据输入 选择要收集的数据： - Portfolio Companies（投资组合公司） - Security Ratings（安全评级） - Ratings History (Trending)（评级历史/趋势） - Security Findings（安全发现） - Findings Summary（发现摘要） - Alerts（告警） - Exposed Credentials（暴露的凭据） - Threat Intelligence（威胁情报） - Users & Quota（用户与配额） #### 收集设置 - **Portfolio Interval**：收集投资组合数据的频率（秒） - **Findings Interval**：收集发现数据的频率（秒） - **Alerts Interval**：检查新告警的频率（秒） - **Historical Data**：要收集的历史数据天数 3. 点击 **Save** 以应用配置 ### 第 3 步：验证配置 1. 保存后，点击 **Test API Connection** 以验证您的 API Token 2. 如果使用代理，请点击 **Test Proxy Connection** 以验证连接 3. 应用将在首次启动时自动验证您的配置 ### 第 4 步：验证数据收集 在 Splunk Web 中，运行以下搜索以验证是否正在收集数据： ``` index=security_bitsight sourcetype=bitsight:* | stats count by sourcetype ``` ## 目录结构 ``` BitSight_For_Splunk_App/ ├── app.manifest # App manifest for Splunk Cloud ├── LICENSE # Apache 2.0 License ├── README.md # This file ├── default/ │ ├── app.conf # App configuration │ ├── alert_actions.conf # Alert action definitions │ ├── bitsight.conf # Default settings │ ├── indexes.conf # Index definitions │ ├── inputs.conf # Input definitions │ ├── macros.conf # Search macros │ ├── props.conf # Field extraction rules │ ├── restmap.conf # REST API configuration │ ├── savedsearches.conf # Saved searches & alerts │ ├── server.conf # Server configuration │ ├── transforms.conf # Field transformations │ ├── web.conf # Web settings │ ├── workflow_actions.conf # Workflow actions │ └── data/ui/ │ ├── nav/default.xml # Navigation menu │ └── views/ # Dashboard XML files (26 dashboards) │ ├── setup.xml # Setup wizard │ ├── bitsight_overview.xml │ ├── bitsight_search.xml │ ├── bitsight_portfolio.xml │ ├── bitsight_ratings.xml │ ├── bitsight_ratings_tree.xml │ ├── bitsight_ratings_trending.xml │ ├── bitsight_trending.xml │ ├── bitsight_benchmarking.xml │ ├── bitsight_findings.xml │ ├── bitsight_findings_detailed.xml │ ├── bitsight_findings_trending.xml │ ├── bitsight_remediation.xml │ ├── bitsight_mttr_executive.xml │ ├── bitsight_asset_risk_matrix.xml │ ├── bitsight_nist_csf.xml │ ├── bitsight_threats.xml │ ├── bitsight_exposed_credentials.xml │ ├── bitsight_users.xml │ ├── bitsight_users_access_review.xml │ ├── bitsight_alerts.xml │ ├── bitsight_health.xml │ ├── bitsight_health_check.xml │ ├── bitsight_operations.xml │ ├── bitsight_logs.xml │ ├── bitsight_reports.xml │ └── bitsight_help.xml ├── bin/ │ ├── bitsight_input.py # Modular input script │ ├── bitsight_setup_handler.py # Setup REST handler │ ├── bitsight_validation.py # Configuration validation │ ├── bitsight_email_alert.py # Email alert action │ ├── bitsight_webhook_alert.py # Webhook alert action │ ├── bitsight_script_alert.py # Script alert action │ └── bitsight_pagerduty_alert.py # PagerDuty alert action ├── lookups/ │ ├── bitsight_rating_categories.csv │ ├── bitsight_risk_vectors.csv │ └── bitsight_severity_levels.csv ├── local/ │ └── inputs.conf.example # Example configuration ├── metadata/ │ ├── default.meta # Default permissions │ └── local.meta # Local permissions ├── README/ │ ├── bitsight.conf.spec # Config specification │ └── alert_actions.conf.spec # Alert actions spec └── static/ ├── appIcon.png # App icon (36x36) ├── appIcon_2x.png # Retina app icon (72x72) ├── appIconAlt.png # Alternative icon (36x36) └── appIconAlt_2x.png # Retina alt icon (72x72) ``` ## 数据源类型 (Sourcetypes) | Sourcetype | 描述 | |------------|-------------| | `bitsight:portfolio` | 投资组合公司数据 | | `bitsight:current_ratings` | 当前安全评级 | | `bitsight:ratings_history` | 用于趋势分析的历史评级 | | `bitsight:findings` | 安全发现 | | `bitsight:findings_summary` | 发现摘要统计信息 | | `bitsight:alerts` | 告警通知 | | `bitsight:threats` | 威胁情报 | | `bitsight:exposed_credentials` | 暴露的凭据 | | `bitsight:users` | 用户账户 | | `bitsight:user_quota` | 用户配额信息 | | `bitsight:user_company_views` | 用户活动 | ## 系统要求 - Splunk Enterprise 8.0+ 或 Splunk Cloud - Python 3.x（Splunk 已内置） - Bitsight API Token（从 Bitsight 门户获取） ## AppInspect 合规性 此应用旨在通过 Splunk AppInspect 验证： - ✅ 正确的目录结构 - ✅ 用于 Splunk Cloud 的 app.manifest - ✅ default/ 目录中没有硬编码的凭据 - ✅ 默认禁用所有输入 - ✅ 正确的元数据权限 - ✅ 包含 Apache 2.0 许可证 - ✅ README 文档 - ✅ 设置验证脚本 ## 故障排除 ### 没有数据出现 1. 导航至 **Apps → Bitsight → Setup** 并验证您的 API Token 2. 点击 **Test API Connection** 验证连接 3. 检查是否至少启用了一个数据输入 4. 在 Splunk Web 中，搜索 `index=_internal source=*bitsight*` 查找错误 ### API 错误 - 在 Bitsight 门户中验证您的 API Token 是否具有正确的权限 - 检查 Bitsight API 速率限制 - 确保网络可以连接到 `api.bitsighttech.com` - 如果使用代理，请验证代理设置并测试连接 ### 代理问题 1. 导航至 **Apps → Bitsight → Setup** 2. 验证代理 URL 格式是否包含协议（http:// 或 https://） 3. 点击 **Test Proxy Connection** 进行验证 4. 如果需要，检查代理身份验证凭据 ### 配置验证 应用在首次启动时会自动验证配置。要重新运行验证： 1. 导航至 **Apps → Bitsight → Setup** 2. 进行任意更改并点击 **Save** 3. 在应用日志中检查验证结果 ## 支持 - Bitsight API 文档： - Splunk 文档： ## 许可证 Apache License 2.0 #Copyright (c) 2025 Mark Teicher 特此免费授予任何获得本软件副本和相关文档文件（“软件”）的人不受限制地处置该软件的权利，包括不受限制地使用、复制、修改、合并、发布、分发、再授权和/或出售该软件副本，以及再授权以配备了本软件的其他人享有上述权利，但须满足以下条件： 上述版权声明和本许可声明应包含在该软件的所有副本或实质性成分中。 本软件按“原样”提供，不作任何明示或暗示的保证，包括但不限于对适销性、特定用途适用性和非侵权性的保证。在任何情况下，作者或版权持有人均不对任何索赔、损害或其他责任负责，无论是在合同诉讼、侵权行为还是其他方面，由本软件或本软件的使用或其他交易引起、与之相关或与之相关。

标签：API集成, BitSight, CVE跟踪, CVSS评分, GPT, MTTR, Mutation, TPRM, 供应商风险管理, 可观测性, 可视化, 合规监控, 威胁情报, 安全仪表板, 安全基准测试, 安全评级, 开发者工具, 投资组合管理, 暴露凭据监控, 漏洞管理, 第三方风险管理, 网络安全, 警报管理, 趋势分析, 逆向工具, 隐私保护, 风险向量, 风险态势