Konfigurieren Sie die Einstellungen für Splunk Enterprise Security
Verwenden Sie die Einstellungen für Splunk Enterprise Security (ES), um die voreingestellten Konfigurationen und ihre Werte gemäß Ihren Anforderungen zu ändern.
Vorbereitungen
Erforderliche Rolle: admin
Prozedur
- Navigieren zu Alle > Splunk ES-Integration > Splunk ES-Einstellungen.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 1. Splunk ES-Einstellungen Feld Beschreibung Erzwingen Sie eine Begrenzung der Anzahl der wichtigen Ereignisse, die zu einem einzelnen Incident zusammengefasst werden können. Option, um ein Limit für die Anzahl der wichtigen Ereignisse zu erzwingen, die Sie zu einem einzelnen Incident zusammenfassen möchten. Standardmäßig ist der Wert auf 100 festgelegt.
Erzwingen Sie eine Begrenzung der Anzahl von Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Option zum Erzwingen einer Begrenzung der Anzahl von Security Incidents, die in einem Zeitraum von 24 Stunden erstellt werden können. Standardmäßig ist der Wert auf 1000 festgelegt.
Erzwingen Sie eine Begrenzung der Anzahl der Werte, die in jedem von Splunkempfangenen Feld analysiert werden sollen. Option, um ein Limit für die Anzahl der Werte zu erzwingen, die Sie für jedes von Splunkempfangene Feld analysieren möchten. Standardmäßig ist der Wert auf 1000 festgelegt.
Anzahl der Korrelationsregeln, die aus Splunkabgerufen werden sollen. Option zum Definieren der Anzahl der Korrelationsregeln, die aus Splunkabgerufen werden sollen. Standardmäßig ist der Wert auf 500 festgelegt.
Der Parameter für die Gültigkeitsdauer für den Suchauftrag Splunk in Sekunden. Option zum Definieren des Parameters „Lebensdauer“ für die Suche Splunk in Sekunden. Standardmäßig ist der Wert auf 600 festgelegt.
Anzahl der wichtigen Typen, die in einer Suche zusammengefasst werden sollen. Option zum Definieren der Gesamtzahl der wichtigen Typen, die in einer einzigen Suche als Batch angezeigt werden sollen. Standardmäßig ist der Wert auf 20 festgelegt.
Anzahl der Tage, für die die Metadaten des Suchauftrags Splunk ] in ServiceNowaufbewahrt werden sollen Option zum Definieren der Anzahl von Tagen, für die Sie die Metadaten des Splunk-Suchauftrags in ServiceNowaufbewahren möchten. Standardmäßig ist der Wert auf 30 festgelegt.
Das Trennzeichen zum Aufteilen der Werte in Feldzuordnungen. Option zum Definieren des Trennzeichens zum Aufteilen der Werte in Feldzuordnungen. Standardmäßig ist der Wert auf (,) festgelegt.
Anzahl der Überlappungsminuten, die beim Abrufen der Ereignisse aus Splunk hinzugefügt werden sollen (um die Indizierungsverzögerung von Splunk zu überwinden) Option zum Definieren der Anzahl der Überlappungsminuten, die beim Abrufen der Events aus Splunk [] hinzugefügt werden sollen, um die Indizierungsverzögerung von Splunkzu überwinden. Standardmäßig ist der Wert auf 30 festgelegt.
Rufen Sie aktualisierte wichtige Ereignisse ab Option zum Abrufen aktualisierter wichtiger Ereignisse. Standardmäßig ist der Wert auf Nein festgelegt.
Aktivieren Sie diese Einstellung, um vorhandene Splunk Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, nachdem diese Einstellung aktiviert wurde. Option zum Aktualisieren der vorhandenen Splunk -Quellkonfiguration auf die Unterstützung der tokenbasierten Authentifizierung von einer vorhandenen Version. Hinweis:Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung zu erhalten. Anschließend müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.Standardmäßig ist der Wert auf Nein festgelegt.
- Klicken Sie auf Speichern.