Esta pregunta está más bien basada en opiniones y no realmente sobre seguridad ... así que hasta que esto se marque, contestaré cómo podría lograr esto tan fácilmente como sea posible .
¡Para lo que vale!
- establezca la alerta Splunk para invocar el script ( docs here )
- la secuencia de comandos (arriba) podría ser una simple secuencia de comandos de shell que incluye la información necesaria que necesita para la exploración de Nmap como una carga útil en una solicitud POST al servidor a través de cURL
- configure una API simple para que el servidor acepte datos a través de algo como
json-server
( docs here )
- configure el cron en el servidor para que se ejecute cada N segundos a fin de comprobar si hay datos nuevos en db.json (
json-server
data storage) y, si lo encuentra, ejecute Nmap scan
- potencialmente almacenar los resultados de la exploración de Nmap en db.json para que la máquina Splunk pueda, a través de otro script, consultar datos y acciones en consecuencia
Esto no es en absoluto perfecto, pero al menos podría proporcionarle una ruta temprana para comenzar a piratear juntos un prototipo rápido de lo que está buscando lograr. Idealmente, desearía configurar una API más robusta y probada, pero, una vez más, lo anterior puede ser suficiente como un POC en funcionamiento.
Este es un tutorial para mostrar rápidamente algo como esto con la autenticación JWT.