HoneyPot Cowrie Log Visualization Using Splunk

Pada artikel sebelumnya kita sudah install cowrie dan integrasi log ke telegram, saat ini kita akan memvisualisasikan hasil log dari Cowrie ke Splunk dalam bentuk informasi grafik, Jumlah IP Attacker, dan Negara dari Attacker.

Splunk adalah salah satu platform data analisis yang bisa digunakan untuk mengumpulkan, mengelola, dan menganalisis dari berbagai sumber.

Pertama pastikan sudah melakukan install aplikasi Splunk pada VM nya, jika belum silakan install dahulu.

apt install ./splunk-9.1.2-b6b9c8185839-linux-2.6-amd64.deb

/opt/splunk/bin/splunk start

Setelah install hasilnya akan seperti ini

silakan bisa login ke dashboard splunk https://ip_public:8000/ kemudian ke menu Settings > Data

Selanjutnya buat HTTP Event Collector, isi nama, dan set semuanya menjadi automatic, lalu simpan informasi Token_Value untuk diisi nanti pada cowrie.cfg lalu Submit

selanjutnya isi output_splunk dengan informasi dibawah ini,

Pada informasi URL isi dengan ip publik splunk, dan token diisi dengan token yang sudah di buat diatas

[output_splunk]
enabled = true
url = https://ip_splunk:8088/services/collector/event
token = xxxxxxxxxxxxxx
index = cowrie
sourcetype = cowrie
source = cowrie

Setelah itu save dan restart cowrie nya bin/cowrie restart

Selanjutnya ke menu Settings > Data > Indexes > New Index untuk membuat index baru, ubah namanya menjadi "cowrie"

Selanjutnya ke kemu Data > Data Inputs > HTTP Event Collector

Selanjutnya Edit cowrie dan pilih semua selected index lalu save

pastikan juga untuk token nya di enable pada menu Global Settings

Selanjutnya kita akan menggunakan Dashboard untuk memperindah tampilan dari app Manuka Honeypot, caranya download dulu https://www.dropbox.com/s/fo3qk4nav93ksc1/ManukaHoneyPot.tar.gz?dl=0

Kemudian ke menu Apps > Manage Apps > Install app from file

Setelah itu pastikan launch app dan statusnya enable

Berikut hasilnya jika sudah install app Manuka Honeypot