Introducción: En el Día 5 enfoqué la configuración de Splunk Enterprise para recibir y procesar datos de máquina. El objetivo fue habilitar entradas de datos y asegurar que los logs pudieran entrar al entorno sin problemas para su indexación y análisis, sentando las bases del canal de datos que permite incorporar diversas fuentes y mejorar la capacidad de monitorización y detección.
Objetivo: Configurar la instancia on premise de Splunk Enterprise para que actúe como receptor y acepte datos desde Universal Forwarders y otras fuentes.
Concepto: incorporación de datos. Puerta de entrada del SIEM. Incorporar datos significa preparar Splunk para recibir, procesar y almacenar información de una nueva fuente. Si la instalación es pasiva, Splunk puede buscar datos existentes pero no escucha nuevas conexiones. La meta es habilitar un puerto receptor que funcione como puesto de escucha para los forwarders.
Por qué es importante un puerto receptor. Zona de descarga designada. Piensa en el servidor Splunk como la sede; un puerto receptor es como un muelle de carga específico, por ejemplo el puerto 9997, donde llegan los camiones de entrega que son los Universal Forwarders. Es necesario porque todo el tráfico de red pasa por puertos numerados, mejora la seguridad al aceptar datos solo en un puerto conocido y cumple con el protocolo de reenvío de Splunk que espera comunicarse en un puerto designado.
Accediendo a la configuración. Desde tu Splunk Enterprise local en localhost:8000 ve a Settings, luego a Forwarding and Receiving y dentro de Receive Data haz clic en Configure Receiving. Cada vez que se transmite un log desde un dispositivo debe entregarse a un puerto, por eso hay que configurarlo.
Habilitar el puerto receptor. Abrir el muelle de carga. Paso 1 haz clic en New para crear un puerto receptor. Paso 2 introduce el número de puerto; el estándar para comunicación Splunk a Splunk es 9997. Paso 3 haz clic en Save. Resultado Splunk reiniciará los servicios necesarios y quedará escuchando conexiones entrantes en el puerto 9997.
Verificación: confirmar que el puerto está activo. Vuelve a la página Configure Receiving y deberías ver el puerto 9997 en la tabla de puertos activos. Un estado LISTENING confirma que el puerto está operativo.
Qué permite esto. Ya configuraste el lado servidor del proceso. La instancia central de Splunk Enterprise está lista para aceptar datos. El siguiente paso es instalar un Universal Forwarder en otra máquina y apuntarlo al servidor Splunk con un comando como splunk.exe add forward-server mi_servidor:9997 para establecer la conexión y enviar eventos. Con esto réplica la arquitectura que podrías tener en Splunk Cloud, ahora dentro de tu laboratorio local.
Reflexión Día 5: construir infraestructura. Objetivo alcanzado configurar Splunk Enterprise para recibir datos en el puerto 9997. El trabajo en un SOC no es solo sobre análisis, también es infraestructura; entender cómo configurar componentes básicos como puertos receptores es esencial para mantener una plataforma de seguridad funcional.
Sobre Q2BSTUDIO. En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones completas que incluyen software a medida, inteligencia artificial y servicios de ciberseguridad. Ofrecemos integración con plataformas cloud y arquitectura segura para la gestión de logs y monitoring, por ejemplo a través de nuestros servicios cloud aws y azure y soluciones de protección y pruebas con servicios de ciberseguridad y pentesting. Además brindamos servicios de inteligencia de negocio y power bi, desarrollo de agentes IA y soluciones de ia para empresas que potencian la toma de decisiones y la automatización.
Palabras clave integradas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi. Si necesitas apoyo para desplegar una plataforma de ingestión de logs, integrar forwarders, diseñar pipelines de datos o crear soluciones a medida para seguridad y analítica, en Q2BSTUDIO podemos ayudarte con arquitecturas escalables y seguras.