Erstellen und benennen Sie ein Event-Profil für die Splunk Enterprise Security Event Ingestion-Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 46 Minuten Lesedauer

    • Sie erstellen ein Event-Profil in Ihrer Instanz Now Platform und bestimmen, welche wichtigen Splunk -Ereignisse Security Incidents verursachen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Bevor Now Platform Security Incident Response (SIR) Security Incidents aus erfassten wichtigen Events erstellt werden, werden die Feldwerte aus Warnungen in einem Layout eines Now Platform Security Incident angezeigt, sodass Sie eine Vorschau des tatsächlichen Security Incident anzeigen können.

    Aus Perspektive der Integration mit den verfügbaren APIs werden Splunk ES wichtige Ereignisse einzeln und manuell als diskrete wichtige Ereignisse weitergeleitet, oder sie werden abhängig vom definierten Profiltyp automatisch in der Security Operations -Umgebung Ihrer Now Platform -Instanz erfasst.

    Die Integrations-Workflows erfassen verschiedene Arten von wichtigen Ereignissen, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese wichtigen Events werden basierend auf den Profilen erfasst, die Sie in der Security Operations -Umgebung Ihrer Instanz konfigurieren.

    Alle wichtigen Elemente werden anfänglich für einen konfigurierten Korrelationssuchtyp in einem Profil erfasst. Erfasste wichtige Elemente können dann weiter gefiltert werden, um anzugeben, welche wichtigen Elemente Security Incidents erstellen. Beispielsweise könnten Sie Filter bevorzugen, die Security Incidents nur für wichtige Ereignisse erstellen, die als hohes Risiko identifiziert wurden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten wichtigen Ereignissen erstellt, werden einzelne Feldwerte in den wichtigen Ereignissen den entsprechenden Feldern in einem Layout des Security Incident für eine Vorschau zugeordnet.

    Prozedur

    1. Namen für die Event-Profile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Event-Profil zugeordnet werden.
    2. Now Platform erfasst bestimmte wichtige Elemente mithilfe der Workflows der Integration.
      Alle wichtigen Events, die die Auswahlkriterien in Ihrer Splunk ES -Konsole erfüllen, werden anfänglich in Ihrer Now Platform -Instanz erfasst.
    3. Ein Profil in Now Platform ist eine Einkapselung eines wichtigen Ereignisses in Ihrer Splunk ES -Konsole.
      Es besteht eine Eins-zu-eins-Beziehung zwischen mit einem Profil erfassten wichtigen Ereignissen und Verbindungen zu Ihrer Splunk ES -Konsole: ein erkennbarer Ereignistyp für eine Verbindung.
    4. Informationen zum Erstellen von Profilen für geplante wichtige Ereignisse finden Sie unter Richten Sie ein Profil für die geplante Erfassung wichtiger Ereignisse ein.
    5. Informationen zum Erstellen von Profilen für die manuelle Event-Weiterleitung finden Sie unter Richten Sie ein Profil für die manuelle Event-Weiterleitung ein.

    Richten Sie ein Profil für die geplante Erfassung wichtiger Ereignisse ein

    Abhängig vom definierten Profil werden Splunk ES wichtige Ereignisse automatisch in der Security Operations -Umgebung Ihrer Now Platform -Instanz erfasst.

    Die folgende Tabelle zeigt die Liste der Aufgaben, die Sie ausführen müssen, um ein Profil für die geplante Erfassung wichtiger Ereignisse einzurichten:

    Tabelle : 1. Schritte zum Einrichten eines Profils für die geplante Erfassung wichtiger Ereignisse
    Aufgabe Abschnitt
    Erstellen Sie ein Event-Profil Siehe Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse
    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationssuche aus Siehe Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für die Integration von Splunk ES Event Ingestion aus
    Ordnen Sie Felder für wichtige Ereignisse zu Siehe Zuordnung wichtiger Event-Felder für die Splunk Enterprise Security -Integration
    Erstellen Sie benutzerdefinierte Zuordnungen Siehe Zuordnungen für Splunk ES Incident-Überprüfung für wichtiges Event und beitragende Event-Details erstellen (geplante Erfassung)
    Zeigen Sie eine Vorschau des Security Incident an Siehe Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an
    Planen Sie neue und aktualisierte wichtige Ereignisse, und rufen Sie sie ab Siehe Planen und rufen Sie neue und aktualisierte wichtige Events für die Splunk Enterprise Security Event Ingestion-Integration ab
    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse

    Sie können ein Profil so einrichten, dass wichtige Ereignisse automatisch erfasst werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Um ein Event-Profil für ein wichtiges Event oder einen Korrelationsregeltyp in Ihrer Now Platform -Instanz zu erstellen, navigieren Sie zu Splunk-Integration > Splunk-Ereignisprofil.
    2. Wenn das Formular Splunk Event-Profil nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Name.
    3. Klicken Sie auf Neu.
    4. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Feld Beschreibung
      Name Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
      Aktiv Das Kontrollkästchen ist standardmäßig deaktiviert. Sie sollten alle Abschnitte im Profil ausfüllen, bevor Sie es aktivieren.
      Typ Wählen Sie den Profiltyp aus der Auswahlliste aus.
      • Geplante Ereigniserfassung: Dieser Profiltyp unterstützt wichtige Ereignisse, die nach einem konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus.
      • Manuelle Event-Weiterleitung: Dieser Profiltyp unterstützt wichtige Events, die bei Bedarf manuell über die Splunk Enterprise Security Incident Review-Konsole weitergeleitet werden. Führen Sie die folgenden Schritte aus, um das Formular für diese Profiltypen auszufüllen.
      Quelle Splunk -Server oder -Suchende, die Sie für die Erfassung wichtiger Ereignisse konfiguriert haben. Wenn Sie mehrere Splunk Server konfiguriert haben, wählen Sie den entsprechenden Server für die wichtigsten Event-Typen aus, die für das Profil erfasst werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für einen geplanten wichtigen Ereignistyp.
      Splunk ES Event-Profil
    5. Wählen Sie für ein Profil mit einem geplanten wichtigen Ereignis eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Speichern Sie das Profil, und fahren Sie mit dem Event-Auswahlschritt fort.
      Aktualisieren Speichern Sie Aktualisierungen in diesem Profil, und kehren Sie zur Liste der Ereignisprofile Splunk zurück.
      Speichern Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
      Löschen Löschen Sie diesen Profildatensatz, und kehren Sie zur Liste Splunk Ereignisprofile zurück.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, wichtige Ereignisse für die automatische Erfassung auszuwählen.

    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für die Integration von Splunk ES Event Ingestion aus

    Nachdem Sie ein Profil für die geplante Erfassung eines erkennbaren Ereignistyps erstellt haben, wählen Sie den Namen einer Splunk Enterprise Security -Korrelationsregel für dieses Profil aus, für das Sie die entsprechenden erkennbaren Ereignisse einem Now Platform Security Incident Response -Security Incident zuordnen möchten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelationsregeln in Ihrer Now Platform -Instanz an, damit Sie wissen, für welche wichtigen Event-Typen Sie Security Incidents erfassen und erstellen möchten. Wählen Sie eine Korrelationsregel aus. Sie können ein oder mehrere wichtige Ereignisse aus der Liste in diesem Formular auswählen.

    Prozedur

    1. Wenn die Seite „Auswahl für wichtiges Ereignis“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.
    2. Wählen Sie in der Liste „Korrelationsregel“ eine der folgenden Optionen aus, um eine einzelne Korrelationsregel oder mehrere Korrelationsregeln auszuwählen, sie zu verschieben und sie aus der Spalte Verfügbar in die Spalte Ausgewählt zu verschieben.

      Die Liste der Korrelationsregeln in diesem Formular stimmt mit der Liste der Korrelationsregeln in Ihrer Splunk ES Incident Review-Konsole überein. In diesem Formular werden bis zu 500 Korrelationsregeln angezeigt. Wenn in Splunk ESmehr als 500 Korrelationsregeln aufgeführt sind, werden nur die ersten 500 wichtigen Ereignisse in diesem Formular in Ihrer Instanz Now Platform angezeigt.

      Option Beschreibung
      Geben Sie im Suchfeld Korrelationsregelliste Text ein. Die Spalte unter dem Suchfeld wird basierend auf dem von Ihnen eingegebenen Text mit verfügbaren Optionen gefiltert. Wählen Sie eine Korrelationsregel aus, und verschieben Sie den ausgewählten Alarm mit den Pfeiltasten von Verfügbar zu Ausgewählt.
      Doppelklicken Sie in der Liste der Korrelationsregeln auf eine Korrelationsregel. Die Spalte Ausgewählt wird mit Ihrer Auswahl ausgefüllt.
      Klicken Sie in der Liste der Korrelationsregeln einmal auf eine Korrelationsregel. Die Korrelationsregel ist ausgewählt. Verschieben Sie die ausgewählte Korrelationsregel mit den Pfeiltasten von Verfügbar zu Ausgewählt.

      Splunk ES-Ereignisprofil: Wählen Sie Bemerkenswertes Ereignis aus
    3. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortfahren, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung Das Zuordnungsformular wird angezeigt.

      Zuordnung wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, einem SIR Security Incident wichtige Event-Felder zuzuordnen.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste „Splunk Notable Event Profiles“ wird angezeigt.
      Zurück Der Schritt Name wird angezeigt.
      Löschen Wenn Sie dieses Event-Profil löschen, wird die Liste „Splunk Notable Event Profiles“ (Notable Splunk-Ereignisprofile) angezeigt.

    Nächste Maßnahme

    Sie haben erfolgreich eine Korrelationsregel für ein geplantes Splunk Enterprise Security Profil ausgewählt. Der nächste Schritt besteht darin, wichtige Event-Werte den Feldern in einem Security Incident zuzuordnen.

    Zuordnung wichtiger Event-Felder für die Splunk Enterprise Security -Integration

    Nachdem Sie die spezifische Korrelationsregel und den Typ des erkennbaren Ereignisses für das Profil identifiziert haben, besteht der nächste Schritt darin, einzelne Felder für erkennbare Ereignisse den Feldern in einem Now Platform Security Incident Response (SIR) Security Incident zuzuordnen.

    Übersicht

    Für den Zuordnungsschritt können Sie Beispiele für wichtige Ereignisse für die ausgewählte Korrelationsregel erfassen oder Daten für wichtige Ereignisse für manuell weitergeleitete wichtige Ereignisse exportieren. Der Event-Zuordnungsprozess ist unabhängig vom Profiltyp, den Sie erstellen, identisch.

    Die folgenden Abbildungen sind Beispiele für die Standardzuordnungskonfigurationen, die für jeden Typ von Event-Profil bereitgestellt werden. Sie können die Felder anpassen, die den Security Incident ausfüllen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Felddaten für wichtige Ereignisse der entsprechenden Stelle im SIR-Incident-Formular zugeordnet werden, und dann den SIR-Incident im Vorschaubereich visualisieren.

    Wenn mehrere Korrelationen verwendet werden, können wichtige Ereignisse abgerufen werden, indem das erforderliche Ereignis ausgewählt wird. Verwenden Sie den Warnungsnamen, um eine Warnung auszuwählen, wenn Sie mehrere Warnungen für die Erfassung konfiguriert haben.

    Nachdem Sie auf geklickt haben, um Daten abzurufen, werden die Feldnamen für wichtige Ereignisse Splunk und die entsprechenden Werte auf der linken Seite des Formulars ausgefüllt. Dies sind die Splunk  Felder für erkennbare Ereignisse, die den SIR  Security Incident-Feldern zugeordnet werden können. Einige Felder können mehrmals den SIR-Security Incident-Feldern zugeordnet werden.


    Standardzuordnung für geplante wichtige Ereignisse

    Möglicherweise ziehen Sie es vor, einige Beispiele für wichtige Ereignisse in Ihrer Splunk -Konsole zu überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird in der Fortschrittsleiste als Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung. Sie können bis zu fünf Beispiele für wichtige Ereignisse aus Splunk Enterprise Security erfassen, um den Prozess der Feldzuordnung für wichtige Ereignisse zu unterstützen. Es gibt Optionen, um entweder die fünf letzten nennenswerten Ereignisse für die ausgewählte Korrelationsregel zu erfassen oder bis zu fünf bestimmte wichtige Ereignisse basierend auf den IDs der erkennbaren Ereignisse zu erfassen.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen wichtiger Ereignisse erforderlich sind:
    • Geplante Beispieldatenerfassung für Notable-Event: Für Beispieldaten, die für automatisch erfasste Profile für Notable-Events verwendet werden, werden verfügbare Notable-Event-Felder und ihre entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt, sobald die Beispieldaten abgerufen wurden. Registerkarten werden angezeigt, um die Werte für eine bestimmte ID eines wichtigen Ereignisses anzuzeigen, die Sie abgerufen haben. Vergewissern Sie sich, dass alle kritischen Felder aus dem Abschnitt „Erfassung von Beispielen für wichtige Ereignisse“ auf der linken Seite des Formulars den Security Incident-Feldern ServiceNow auf der rechten Seite des Formulars zugeordnet sind.
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Felder für wichtige Ereignisse von der linken Seite ziehen und sie im Abschnitt ServiceNow SIR-Incident-Zuordnung auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das eingehende Feld für ein wichtiges Ereignis einem ausgehenden Security Incident-Feld zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des Symbols + am unteren Rand des Abschnitts „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der angegebenen Farbcodierung nach (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um anzugeben, welche wichtigen Ereignisse Security Incidents erstellen sollen und welche wichtigen Ereignisse herausgefiltert werden sollen, z. B. wichtige Ereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für Incident-Generierung“, der sich unter dem Abschnitt „Zuordnung für wichtige Ereignisse“ befindet.
    • Event-Zusammenfassungskriterien: Definieren Sie zusätzliche Event-Zusammenfassungskriterien, die ein eingehendes wichtiges Event zu einem vorhandenen SIR Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen Sicherheitsereignissen in einem einzigen Security Incident platziert werden.
    • Formatfeldübersetzung: In bestimmten Fällen werden Event-Feldwerte in den Splunk wichtigen Enterprise-Events möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Zum Beispiel kann mit dem Skript-Editor ein Kategoriewert von Malware-Warnung und Virusinfection unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mit in eine gemeinsame böswillige Codeaktivität im Feld Kategorie des Security Incident SIR übersetzt werden Funktion „Formatfeldübersetzung“.

    Der nächste Schritt besteht darin, wichtige Ereignisse zu erfassen und Werte den Security Incident-Feldern SIR zuzuordnen.

    Zuordnungen für Splunk ES Incident-Überprüfung für wichtiges Event und beitragende Event-Details erstellen (geplante Erfassung)

    Während des Schritts der Feldzuordnung für ein wichtiges Event ordnen Sie einzelne Event-Felder aus „Bemerkbare Events“ Feldern in einem Now Platform Security Incident Response (SIR) Security Incident zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Zuordnungsraster kann für den in der Auswahl der Korrelationsregel ausgewählten Typ eines wichtigen Ereignisses angepasst werden. Die Farbcodierung der Event-Felder hilft Ihnen, die Event-Werte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Event-Informationen nicht zugeordnet wurden.

    Ordnen Sie bis zu fünf wichtige Events aus der Spalte „Beispiel für wichtiges Ereignis“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die in der Regel wichtige Felder sind, die im Security Incident Response-Formular ausgefüllt werden müssen, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mithilfe der Schaltflächen + und - angezeigt werden. Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk Felder zuordnen, die nicht im Standardzuordnungsraster des Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Klicken Sie für ein Profil mit einer geplanten Erfassung unter „Erfassung von Beispielen für wichtige Ereignisse“ auf Beispieldaten abrufen, um die neuesten Beispieldaten für wichtige Ereignisse für die ausgewählte Korrelationsregel aus der Konsole Splunk Enterprise abzurufen.
      Hinweis:
      Sie können entweder die neuesten Beispiele für wichtige Ereignisse abrufen oder die eindeutigen IDs für wichtige Ereignisse für die spezifischen wichtigen Ereignisse angeben, die Sie für die Zuordnung von wichtigen Ereignissen verwenden möchten.

      Die Ergebnisse der Felder und Werte für wichtige Ereignisse werden als einzelne Registerkarten angezeigt. Sie können bis zu fünf wichtige Ereignisse erfassen.

      Der Abruf für beispielhafte wichtige Ereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      In der folgenden Abbildung werden die Feldname-Wert-Paare für das erfasste wichtige Event oder die importierten Beispiel-Events auf der linken Seite dieses Formulars angezeigt, nachdem der Erfassungsabruf abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.


      Rufen Sie Beispieldaten und erfasste wichtige Ereignisse ab
    3. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken und halten Sie einen blauen Feldnamen auf der linken Seite des Formulars.
    4. Ziehen Sie den Feldnamen, z. B. src_category, in ein Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident.

      Drag-and-Drop für Werte, die durch einen Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird src_category dem Kategoriefeld im Security Incident zugeordnet. Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert während des Vorschauschritts dem Security Incident korrekt zugeordnet wurde.

      Um sicherzustellen, dass keine Event-Felder im Zuordnungsprozess übersehen oder dupliziert werden, sind die Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Feld für ein wichtiges Event ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie ein eingehendes wichtiges Feld mit mehr als einem Feld in einem Security Incident verknüpfen.

      Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.


      Kategoriefeld und Wert für Security Incident hervorgehoben
    5. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ am unteren Rand des Rasters auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert dargestellt. In der folgenden Abbildung hat die Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Felder für wichtige Ereignisse auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.

        Kategoriefeldzuordnung

        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident eine Liste enthält, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um die Event-ID auszuwählen, die Sie im Feld Eingabeausdruck auswählen möchten.
    6. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder daraus entfernen.
      Die folgende Abbildung zeigt ein Beispiel für eine bearbeitete Zuordnung. Im unteren Feld auf der rechten Seite wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Beachten Sie, dass Sie für das Feld mit langer Textzeichenfolge das Zuordnungsfeld erweitern können, um die vollständige Zeichenfolge anzuzeigen, und die Größe nach Bedarf ändern, indem Sie an der rechten unteren Ecke des Felds ziehen, wie im Screenshot unten mit dem hinzugefügten Feld „Arbeitsnotizen“ dargestellt:
      Arbeitsnotizen mit mehreren hervorgehobenen Werten
      Warnung:
      Bitte beachten Sie, dass im Abschnitt „ SIR-Incident-Feldzuordnung “ die im Feld „ Eingabeausdruck “ erwähnte URL und Portnummer nur ein Beispiel und nicht die vordefinierte URL oder Portnummer ist.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Zuordnungsabschnitt hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Satzzeichen, die Sie in das Feld eingegeben haben, im Abschnitt „Zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt ein Beispiel dafür, wie die Werte in der vorherigen Abbildung im Security Incident angezeigt werden.

      Feldwert „Arbeitsnotiz“, der in einem Security Incident angezeigt wird.
    7. Wahlweise: Öffnen Sie den Skript-Editor, und setzen Sie die Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Warnungswerte für die Splunk Enterprise Event Ingestion -Integration zu formatieren.

      Einschließlich Hyperlinks für die Überprüfung wichtiger Event-Incidents und beitragende Events

      Zusätzlich zu den Zuordnungsfeldern kann sn_si.admin einen Zeichenfolgenwert zuordnen, der es dem Sicherheitsanalysten, der an einem Incident arbeitet, ermöglicht, per Hyperlink sowohl zum wichtigen Event „Incident-Überprüfung“ in der Konsole Splunk Enterprise Security als auch zu den zugrunde liegenden beitragenden Events, die Teil sind, zurückzukehren der Drilldown-Suche.

      Die folgenden Zeichenfolgenwerte enthalten den Servernamen Splunk Enterprise Security und die entsprechenden Variablen, die für Hyperlinks zu diesen Details verwendet werden können:

      • Hyperlink zur Überprüfung von Incidents für wichtige Ereignisse: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id} $

        wobei splunkes2.secops-eng.com:8000 die Splunk-Serverquelle ist und info_min_time und event_id Event-Feldwerte sind, die aus den wichtigen Events extrahiert wurden.

      • Bemerkenswerte Beitragsereignisse (Drilldown-Suche) Hyperlink: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$

        wobei splunkes2.secops-eng.com:8000 die Splunk-Serverquelle ist und Drilldown_search ein Event-Feldwert ist, der aus den wichtigen Events extrahiert wird.

      Die folgende Abbildung zeigt die URL zur Überprüfung von Notable Event Incidents, die dem Arbeitsnotizfeld zugeordnet ist, und den Hyperlink Notable Event Contributing Events (Drilldown-Suche), der einem benutzerdefinierten Feld mit der Bezeichnung Notable Event Incident URL zugeordnet ist:


      Incident-Überprüfungs-URL für wichtiges Event, das der Arbeitsnotiz zugeordnet ist
      Die folgende Abbildung zeigt die SIR-Incident-Vorschau mit dem Hyperlink „Überprüfung von Notable Event Incident“ und der URL für beitragende Ereignisse: Hyperlink für
      die Überprüfung von Notable Event-Incidents und Hyperlink für beitragende Ereignisse:

      Filterbedingungen für die Incident-Generierung

    8. Wahlweise: Nachdem Sie die vorherigen Schritte der Feldzuordnung abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes wichtiges Event erfüllen muss, um einen SIR Security Incident zu erstellen.
      Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt Notable Event Sample Ingestion (Beispiel für wichtiges Event) für die von Ihnen erfassten Events angezeigt werden. Diese Felder sind dynamisch und ändern sich in Abhängigkeit von den Splunk  bemerkbaren Events, die Sie erfassen, oder dem Event, das Sie für die manuell weitergeleiteten Beispiele für bedeutsame Events auswählen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des wichtigen Ereignisses Splunk Enterprise Security übereinstimmen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu Ihrer Splunk Enterprise Security -Konsole zurück und überprüfen Ihre wichtigen Ereignisse auf die Stichwörter.


        Generator für Filterbedingungen
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND oder ODER.
        Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.


        Generator für Filterbedingungen:2

        Sie haben die Generierungsbedingungen für Incidents so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Filterung der Incident-Generierungsbedingung hilft Ihnen, die Sicherheits-Events einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche oder die Filter in Splunkzu ändern. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur nennenswerte Ereignisse zugeordnet, die allen Kriterien entsprechen.

        Hinweis:
        Wenn einer der Event-Feldnamen Sonderzeichen enthält, z. B. Anführungszeichen (“), Bindestriche ('), Unterstriche (-), (@) oder kaufmännische Und-Zeichen (&), müssen diese Zeichen möglicherweise für Zuordnungsübersetzungszwecke ersetzt werden und möglicherweise einen doppelten Ereignisnamen erstellen. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Event-Namen zu unterscheiden. Beispiel: Wenn das erste Event-Feld alerts.alert und das zweite Event-Feld alerts @alerts ist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Event-Feld ein Suffix hinzugefügt, und das Feld wird in alerts@alert(1)umbenannt.

      Event-Zusammenfassungskriterien zur Behandlung ähnlicher wichtiger Elemente und zur Verhinderung doppelter Incidents

    9. Wahlweise: Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Event-Zusammenfassungskriterien, sodass eingehende wichtige Events zu einem offenen Security Incident zusammengefasst werden.
      Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt Event-Zusammenfassungskriterien, und aktivieren Sie das Kontrollkästchen Bedingungen zusammenfassen, um diese Option zu aktivieren.

        Die Incident-Felder mit übereinstimmenden Werten werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle benutzerdefinierten Felder enthalten, die im Security Incident SIR konfiguriert wurden.

      2. Wählen Sie im Eingabefeld mit Mehrfachauswahl die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Ihrem Now Platformabgleichen möchten.
      3. Verwenden Sie Neue Kriterien hinzufügen, um mehrere Feldabgleichbedingungen auszuwählen.
        Alle Feldwerte, die Sie im Mehrfachauswahl-Eingabefeld auswählen, werden anhand der UND-Bedingung mit Zusammenfassungskriterien abgeglichen. Klicken Sie auf Neue Kriterien hinzufügen, um mehrere Feldabgleichbedingungen auszuwählen, bei denen eine Zusammenfassung erfolgt, wenn eine der mehrfach ausgewählten Feldbedingungen, die definiert sind, mit der ODER-Bedingung erfüllt wird.

        Zusammenfassungskriterien

        Wenn ein neues wichtiges Ereignis mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird das neue wichtige Ereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der an Security Incidents arbeitet, können Sie alle hinzugefügten zusammengefassten wichtigen Ereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten wichtigen Ereignisse für einen Security Incident werden in der zugehörigen Liste Splunk Event zu Aufgaben angezeigt. Diese Liste enthält die zugehörigen Zeitstempel und zusammengefassten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum diese wichtigen Ereignisse zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.


        Hervorgehobene zugehörige Liste „Splunk-Event zu Aufgaben“.
      4. Wahlweise: Um eine Arbeitsnotiz für ein neues wichtiges Ereignis zu protokollieren, das kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
        Die Arbeitsnotiz protokolliert, dass eine neue Notable hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.
      Sie haben Werte aus einem wichtigen Ereignis von Splunk erfolgreich Feldern in einem Security Incident von SIR zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung zu begrenzen. Sie haben auch wichtige Ereignisse an vorhandene SIR Security Incidents angehängt, wenn Ereignisfeldwerte mit den konfigurierten Zusammenfassungskriterien übereinstimmen.
    10. Wählen Sie eines aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Zuordnungsformular wird angezeigt.

      Vorschau wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR Security Incident zugeordnet haben.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste der Splunk-Ereignisprofile wird angezeigt.
      Zurück Das Formular „Auswahl für wichtiges Ereignis“ wird angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste der Splunk-Event-Profile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.

    Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an

    Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem Now Platform® Security Incident Response (SIR)-Security Incident zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle wichtigen Felder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie eine Vorschau eines Security Incident an, und bearbeiten Sie die Zuordnung bei Bedarf erneut, um Felder mit Fehlern zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIR Security Incidents werden nicht als tatsächliche Incidents im Produkt SIR gespeichert.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie in der Auswahlliste Event-Name ein Element aus, wenn mehrere Events verwendet wurden.
    3. Wählen Sie Event-IDs aus der Auswahlliste Beispiel-IDs für wichtiges Event aus.
    4. Wählen Sie in der Auswahlliste Beispiel für IDs von wichtigem Ereignis ein Element aus.

      Event-Auswahlliste auswählen erweitert.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incident wird nicht gespeichert.

    5. Überprüfen Sie die Feldzuordnung der Werte für wichtige Ereignisse im Security Incident.

      Fehlermeldung zu einem Security Incident in der Vorschau.

      Die vorherige Abbildung zeigt eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem wichtigen Event keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Eine Fehlermeldung wird angezeigt, die angibt, dass für das Feld „ Konfigurationselement “ in der Kundenverwaltungsdatenbank (CMDB) ServiceNow® kein Eingabewert gefunden wurde. Daher wird dieser zugeordnete Feldwert nicht ohne weitere Änderung im SIR-Security Incident-Formular angezeigt.

    6. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    7. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    8. Zeigen Sie eine erneute Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incident-Details“ in der unteren Hälfte eines SIR Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertpaaren ausgefüllt, die aus den Beispielen für wichtige Ereignisse Splunk Enterprise Security abgerufen wurden. Das erste Feld „Arbeitsnotizen“ hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsabschnitt hinzugefügt.


      Felder „Arbeitsnotiz“ und „Beschreibung“ in der Security Incident-Vorschau
    9. Nachdem Sie alle Fehler behoben und überprüft haben, ob die Felder Ihren Vorstellungen entsprechen, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten wichtigen Ereignissen angezeigt.

      Zeitplanung wird auf der Fortschrittsleiste ausgewählt.
      Fertigstellen Klicken Sie für Profile, die für die manuelle Event-Weiterleitung konfiguriert sind, auf Fertig stellen. Es gibt keinen Planungsschritt für Profile mit Event-Daten, die bei Bedarf direkt aus der Splunk Enterprise Security -Konsole exportiert werden.
      Aktualisieren Ihre Daten werden gespeichert, und Sie kehren zur Liste Splunk Ereignisprofile zurück.
      Zurück Der Zuordnungsschritt wird in der Fortschrittsleiste angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste Splunk Event-Profile wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, führen Sie den nächsten Schritt zu Planen und rufen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration ab.

    Planen und rufen Sie neue und aktualisierte wichtige Events für die Splunk Enterprise Security Event Ingestion-Integration ab

    Für automatisierte Profile für die Erfassung wichtiger Ereignisse ist dieser Schritt in der Konfiguration des Ereignisprofils erforderlich. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf wichtiger Ereignisse überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische wichtige Ereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Bei Profilen für die automatisierte Erfassung wichtiger Ereignisse wählen Sie, ob Sie während des Schritts „Zeitplanung“ historische Ereignisse erfassen möchten. Sie können auch auswählen, wie oft zukünftige neue wichtige Ereignisse und aktualisierte wichtige Ereignisse, die der Warnungsprofilkonfiguration entsprechen, abgefragt werden sollen.

    Bei automatisierten Profilen für die Erfassung wichtiger Ereignisse überprüfen und ändern Sie die Zeitplanung und den Warnungsabruf, bevor das Profil aktiviert wird. Dies ist ein erforderlicher Schritt für den gesamten Event-Profil-Konfigurationsprozess für geplante Warnungsprofile.

    Sie konfigurieren diese Abfrageintervalle pro Profil. Die Leistung der Splunk -Integration der Event-Erfassung kann durch die unterschiedlichen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrage-Overheads auf dem Splunk Enterprise Security -Server gegen den Wunsch ausgleichen, so schnell wie möglich benachrichtigt zu werden, wenn ein wichtiges Event erstellt oder aktualisiert wird. Für jedes Profil wird ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.

    Neue und aktualisierte wichtige Ereignisse werden abgerufen

    Wenn der Abfragezeitplan festgelegt ist, ruft die regelmäßige Aufgabe sowohl neue als auch aktualisierte wichtige Events ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllt haben. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die bei der ersten Erstellung eines wichtigen Ereignisses möglicherweise nicht vorhanden sind, aber nach einer Aktualisierung verfügbar werden, z. B. während der Untersuchungsphase. Sobald ein Incident für ein bestimmtes wichtiges Ereignis erstellt wurde, werden seine nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass der wichtige Hinweis jetzt als aktiver ServiceNow® Security Incident behandelt wird. Alle anderen Notables, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incident werden.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zeitplanungaus.
    2. Wählen Sie einen aus, um zu planen, wie und wann wichtige Ereignisse aus der Konsole Splunk Enterprise Security abgerufen werden.
      OptionBeschreibung
      • Feld „Laufende Event-Erfassung“ ausgewählt
      • Feld „Einmaliger Abruf“ gelöscht
      		 Laufendes Event

      Basierend auf der Standardeinstellung ruft die Instanz Now PlatformSplunk Enterprise Security ] alle fünf Minuten neue und aktualisierte wichtige Ereignisse vom Server ab. Security Incidents werden erstellt, wenn wichtige Ereignisse gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen und die aktuellsten Daten zu erhalten, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
      • Feld „Laufendes wichtiges Ereignis“ gelöscht
      • Feld Einmaliger Abruf ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um historische wichtige Ereignisse zu erfassen.

      Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um wichtige Ereignisse aus Verlaufsereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert Seit werden wichtige Ereignisse bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie ab dem aktuellen Datum bis zu sieben Tage zurückziehen können. Diese Funktionalität ist nicht dazu gedacht, nennenswerte Mengen historischer Events aus Splunk Enterprise Security aus Archivierungsgründen abzurufen, sondern eine minimale Menge von Events während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die wichtigen Ereignisse abgerufen wurden, werden mit dieser Einstellung keine weiteren wichtigen Ereignisse für dieses Profil ab dem aktuellen Datum abgerufen. Diese Einstellung füllt den Security Incident mit allen wichtigen Ereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden wurden.

      Planungsseite mit angezeigtem Kalender.

      Beispiel für die Planung einer ersten Erfassungszeit für wichtige Ereignisse: Wenn Sie eine tägliche Splunk Sicherheitsprüfung haben, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Profil für wichtige Ereignisse in Ihrer Instanz von Now Platform so einrichten, dass es um 16 Uhr ausgeführt wird :05 Uhr Ortszeit, um das Sicherheitsfehler-Event sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie 04 05 00 in das Feld Anfängliche Event-Erfassung ein. Geben Sie im Feld Increment (Minutes) (Schritt (Minuten)) 1440 (24 Stunden) ein, um die nächste Event-Erfassung für 24 Stunden nach der ersten Event-Erfassung zu planen. Sowohl die anfängliche Event-Erfassungszeit als auch die nächste Event-Erfassungszeit werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Aktivieren Sie bei angezeigter Seite „Zeitplanung“ das Kontrollkästchen Ongoing event ingestion (Laufende Event-Erfassung), um diese Option zu aktivieren.
      2. Geben Sie im Feld Schritt (Minuten) den Wert 1440 (24 Stunden) ein.
      3. Klicken Sie auf das Kontrollkästchen Anfängliche Event -Erfassung auswählen, um die Bearbeitung der Felder Anfängliche Event-Erfassung und Nächste Event-Erfassung zu aktivieren.
      4. Geben Sie im Feld Anfängliche Event-Erfassung 04 05 00ein.
        Im Feld Nächste Event-Erfassung (geschätzt) wird die Zeit der nächsten Event-Erfassung angezeigt.
    4. Klicken Sie auf eine der folgenden Optionen, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zusätzliche Optionen“ wird angezeigt. Zusätzliche Optionen wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, die wichtigen Ereignisse zu aktualisieren, wenn der SIR-Incident erstellt und/oder geschlossen wird.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste Splunk Event-Sicherheitsprofile wird angezeigt.
      Zurück Das Formular „Zeitplanung“ wird angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste Splunk Enterprise Security Event-Profile wird angezeigt.

    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Security Incidents können erstellt und aktualisiert werden, nachdem sie mit einer bidirektionalen Schnittstelle mit der Splunk Enterprise Security -Integration erstellt wurden.

    Vorbereitungen

    Die Splunk Enterprise Security -Integration verfügt über eine bidirektionale Schnittstelle, die es wichtigen Ereignissen ermöglicht, Security Incidents zu erstellen und die wichtigen Ereignisse zu aktualisieren, nachdem der Security Incident erstellt und/oder geschlossen wurde.

    Zu den relevanten Incident-Details gehören SIR Incident-Nummer, Zuweisungsgruppe, SIR Incident-URL. Dieser Abschnitt ist der letzte Teil des Setups der Profilkonfiguration, der optionale Funktionen zum Aktualisieren der wichtigen Splunk Enterprise Security Events bereitstellt.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
    2. Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung wichtiger Ereignisse basierend auf Security Incident-Updates abzuschließen.
      Option oder FeldBeschreibung
      Aktualisieren Sie wichtige Ereignisse bei SIR-Incident-Erstellung Wählen Sie diese Option aus, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Anmerkungen hinzufügen möchten, wenn ein Security Incident aus dem wichtigen Ereignis erstellt wird. Dies kann sowohl für die anfänglichen auslösenden wichtigen Ereignisse auftreten, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse.
      Anfängliche Statusaktualisierungen für wichtige Ereignisse Sie müssen eine Statusoption aus dem Menü auswählen, das alle verfügbaren Statuswerte anzeigt, die vom Server Splunk Enterprise Security abgerufen wurden. Dies kann einen benutzerdefinierten erstellten Status umfassen, z. B. ServiceNow – Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes wichtiges Ereignis erstellt wird. Dies umfasst wichtige Elemente, die neue Incidents erstellen, und wichtige Elemente, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Anfangskommentare, die an das wichtige Ereignis zurückgesendet werden Sie können nicht nur den Statuswert für ein wichtiges Ereignis aktualisieren, sondern auch Kommentare im Incident-Überprüfungsverlauf für ein wichtiges Ereignis veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten, einschließlich des Hinzufügens oder Änderns der Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im Incident-Formular Security Incident Response.
      Schließen Sie wichtige Ereignisse nach Abschluss des SIR-Incidents Wählen Sie diese Option aus, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Anmerkungen hinzufügen möchten, wenn ein Security Incident für das wichtige Ereignis geschlossen wird. Dies geschieht sowohl für die anfänglichen auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse.
      Statusaktualisierung für wichtiges Abschlussereignis Sie müssen eine Statusoption aus dem Listenmenü auswählen, das alle verfügbaren Statuswerte anzeigt, die vom Server Splunk Enterprise Security abgerufen werden. Dies kann einen benutzerdefinierten erstellten Status umfassen, z. B. ServiceNow – Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes wichtiges Ereignis erstellt wird. Dies umfasst wichtige Elemente, die neue Incidents erstellen, sowie wichtige Elemente, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Abschlusskommentare werden an das wichtige Ereignis zurückgesendet Sie können nicht nur den Statuswert für das notenbare Ereignis aktualisieren, sondern auch Abschlusskommentare im Überprüfungsverlauf des Notification Event Incident veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten, einschließlich des Hinzufügens oder Änderns der Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im Incident-Formular Security Incident Response.
    3. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um basierend auf Ihrer Planung wichtige Ereignisse aus der Konsole Splunk Enterprise Security abzurufen. Es gibt ein Limit von 1.000 Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Bis zu 100 wichtige Ereignisse pro ausgelöster Warnung. Nachfolgende wichtige Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht sind.
      Die folgende Abbildung zeigt die Registerkarte „Zusätzliche Optionen“ mit ausgefüllten Standardwerten:
      Zusätzliche Optionen:1
      Wenn die Konfiguration „Zusätzliche Optionen“ aktiviert ist, zeigt die Überprüfung von Incidents für wichtige Ereignisse die Statusänderung und eine Aktualisierung der Verlaufskommentare an:
      Zusätzliche Optionen: 2

    Richten Sie ein Profil für die manuelle Event-Weiterleitung ein

    Abhängig vom definierten Profil werden Splunk ES Notable-Events manuell als diskrete Notable-Events an die Security Operations -Umgebung Ihrer Now Platform -Instanz weitergeleitet.

    So richten Sie ein Profil für die manuelle Weiterleitung wichtiger Ereignisse ein:

    Aufgabe Abschnitt
    Erstellen Sie ein Event-Profil Siehe Erstellen Sie Profile für manuell weitergeleitete Events
    Ordnen Sie Felder für wichtige Ereignisse zu Siehe Zuordnung wichtiger Event-Felder für die Splunk Enterprise Security -Integration
    Erstellen Sie benutzerdefinierte Zuordnungen Siehe Zuordnungen für Splunk ES Incident-Überprüfung eines wichtigen Ereignisses und beitragende Ereignisdetails erstellen (manuelle Weiterleitung)
    Zeigen Sie eine Vorschau des Security Incident an Siehe Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an

    Richten Sie Ihre Splunk -Umgebung für die manuelle Erfassung ein

    		 Siehe Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Integration von Splunk Enterprise Security Notable Event Ingestion ein
    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für manuell weitergeleitete Events

    Sie können ein Profil für manuell weitergeleitete Events einrichten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Event-Weiterleitung unterstützt.

    Für Events, die Sie bei Bedarf von Ihrer Splunk Enterprise Security -Konsole aus weiterleiten, können Sie die einzelne Feldzuordnung auf ein vorhandenes Profil stützen. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangdaten erstellen. Events, die Sie manuell weiterleiten, werden nicht im Event-Profil geplant.

    1. Wenn dies noch nicht geschehen ist, wählen Sie in der Auswahlliste für das Feld Typ die Option Manuelle Event-Weiterleitungaus.
    2. Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.
      In den folgenden Abbildungen und Tabellen finden Sie weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen.
      Splunk: Manuelle Event-Weiterleitung
      Tabelle : 2. Neue Feldzuordnungsoption erstellen
      Option oder Feld Beschreibung
      Neue Feldzuordnungsoption erstellen Neue Feldzuordnung für Ihr Event.

      Wenn keine Feldzuordnung vorhanden ist, die dem von Ihnen erstellten Profil ähnelt, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.
      Standardprofil

      Standardmäßiges Event-Weiterleitungsprofil für alle Splunk -Events. Der Standardwert ist deaktiviert.

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Event-Weiterleitung. Dieses Profil wird verwendet, wenn es keine Übereinstimmung mit der Quelle aus dem manuell weitergeleiteten Event gibt. Es wird zum Standardprofil für alle Events mit unbekannten Quellen.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld „Bemerkenswertes Ereignis“) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die den erkennbaren Wert ausgelöst hat, z. B. Brute-Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Falls verfügbar, ermöglicht dieses Feld eine eindeutige Event-Feldzuordnung zu Security Incident-Feldern basierend auf der Splunk-Korrelationsregel, die normalerweise für verschiedene Event-Typen unterschiedlich ist.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie basierend auf der Korrelationsregel verschiedene Profilereignisprofile erstellen, um diese Anforderung zu erfüllen.
      Automatisieren Sie die Aktualisierung wichtiger Ereignisse Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein SIR-Incident aus dem wichtigen Ereignis erstellt wird und/oder wenn der SIR-Incident geschlossen wird. Dies geschieht sowohl für die anfänglichen auslösenden nennenswerten Ereignisse, die den SIR-Incident erstellen, als auch für zusammengefasste Ereignisse.

      Quelle (Splunk Server)

      Der Server Splunk, den Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn Sie mehrere Splunk Server konfiguriert haben, wählen Sie den entsprechenden Server für die wichtigsten Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung.

      Wenn Sie eine große Anzahl von Profilen erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Vergewissern Sie sich bei einem Profil mit einer neuen Feldzuordnung, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fortfahren, um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

      Für ein Profil mit einer vorhandenen Feldzuordnung finden Sie weitere Informationen in der folgenden Abbildung und Tabelle.
      Manuell: vorhandenes Profil
      Tabelle : 3. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
      Option oder Feld Beschreibung
      Wählen Sie ein vorhandenes Profil für die Feldzuordnung aus Verwenden Sie eine vorhandene Feldzuordnung für Ihr neues Profil für wichtige Ereignisse erneut. Das Feld Aus Profil kopieren wird angezeigt.

      Befolgen Sie diese Schritte, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren.

      1. Klicken Sie links neben dem angezeigten Feld Aus Profil kopieren auf das Suchsymbol.
      2. Klicken Sie in der angezeigten Liste Splunk ES-Ereignisprofile auf den Profilnamen mit der zu kopierenden Karte.

        Der Profilname wird im Feld Aus Profil kopieren angezeigt.
      Standardprofil

      Standardmäßiges Event-Weiterleitungsprofil für alle Splunk wichtigen Events mit nicht abgeglichener Quelle. Der Standardwert ist deaktiviert.

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Event-Weiterleitung.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld „Bemerkenswertes Ereignis“) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die den erkennbaren Wert ausgelöst hat, z. B. Brute-Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Falls verfügbar, ermöglicht dieses Feld eine eindeutige Event-Feldzuordnung zu Security Incident-Feldern basierend auf der Splunk-Korrelationsregel, die normalerweise für verschiedene Event-Typen unterschiedlich ist.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie basierend auf der Korrelationsregel verschiedene Profilereignisprofile erstellen, um diese Anforderung zu erfüllen.
      Automatisieren Sie wichtige Ereignisse Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Anmerkungen hinzufügen möchten, wenn ein Security Incident aus dem wichtigen Ereignis erstellt wird oder wenn der Security Incident geschlossen wird. Dies geschieht sowohl für die anfänglichen auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse.

      Quelle (Splunk Server)

      Splunk -Server oder -Suchende, die Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn Sie mehrere Splunk Server konfiguriert haben, wählen Sie den entsprechenden Server für die wichtigsten Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung.

      Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Fertigstellen, um die Profilkonfiguration abzuschließen.

    Zuordnungen für Splunk ES Incident-Überprüfung eines wichtigen Ereignisses und beitragende Ereignisdetails erstellen (manuelle Weiterleitung)

    Während des Zuordnungsschritts für das Feld für ein wichtiges Event ordnen Sie einzelne Event-Felder aus den Feldern für einen Now Platform Security Incident Response (SIR) Security Incident zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Ordnen Sie bis zu fünf wichtige Events aus der Spalte „Beispiel für wichtiges Ereignis“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die in der Regel wichtige Felder zum Ausfüllen des SIR-Incident-Formulars sind, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mithilfe der Schaltflächen + und - angezeigt werden. Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk Felder zuordnen, die nicht im Standardzuordnungsraster des Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Befolgen Sie diese Schritte, um Anhangdaten in Ihre Now Platform® -Instanz hochzuladen.
      1. Wenn Sie noch nicht angemeldet sind, melden Sie sich bei Ihrer Splunk Enterprise -Konsole an.
      2. Navigieren Sie zur Registerkarte Suche, und geben Sie einen Namen für eine Suche ein, die die Daten zu wichtigen Ereignissen enthält, die Sie exportieren möchten.
        Ein Beispiel für ein Suchformat zum Abrufen von wichtigen Ereignissen für die Korrelationsregel für das Brute-Force-Zugriffsverhalten wäre: „notable“ | search source = „Zugriff – Brute-Force-Zugriffsverhalten erkannt – Regel“.
      3. Erweitern Sie das wichtige Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Seite „Zuordnung“ in Ihrer Instanz Now Platform® angezeigt werden.


        Splunk ES: Wählen Sie wichtige Ereignisse für den Export aus
      4. Klicken Sie in der Konsole Splunk Enterprise oben rechts auf der Suchseite auf das Symbol Exportieren.
      5. Klicken Sie in der Auswahlliste für das Feld Format im angezeigten Dialogfeld auf XML-Format.
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.

        Splunk ES: XML-Datei exportieren
        Die exportierte Splunk XML-Datei für wichtige Ereignisse muss jetzt in Ihre Instanz Now Platform® hochgeladen werden.
      8. Wenn die Zuordnungsseite in Ihrer Instanz Now Platform® noch nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
      9. Klicken Sie in der Spalte „Beispiel für wichtiges Ereignis“ auf Anhangdatenladen.

        Splunk ES: Anhangdaten laden
      10. Klicken Sie im angezeigten Dialogfeld auf Dateien auswählen, navigieren Sie zur XML -Datei, die Sie exportiert haben, und klicken Sie auf Öffnen.
        Nachdem Sie auf klicken, um Anhangdaten für manuell weitergeleitete Ereignisse zu laden, werden die Felder für wichtige Ereignisse Splunk ES auf der linken Seite des Formulars ausgefüllt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
        Die Wertepaare für die Felder, die Sie für das Event exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.
    3. Führen Sie die Schritte 5 bis 10 im Abschnitt Zuordnungen für Splunk ES Incident-Überprüfung für wichtiges Event und beitragende Event-Details erstellen (geplante Erfassung) aus.

    Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Integration von Splunk Enterprise Security Notable Event Ingestion ein

    Installieren und richten Sie die Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security in Ihrer Splunk Enterprise-Konsole oder Splunk Cloud-Instanz ein, wenn Sie Events manuell und bei Bedarf aus Ihrer Splunk Enterprise Security -Konsole für diese Integration exportieren möchten.

    Vorbereitungen

    Die Installation und Einrichtung der Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security in Ihrer Splunk Unternehmenskonsole oder Splunk Cloud-Instanz ist optional.

    Vergewissern Sie sich, dass Sie die Anwendung für diese Integration aus dem ServiceNow Store installiert haben, bevor Sie das Add-on-Plugin von splunkbase installieren, das für die manuelle Event-Erfassung erforderlich ist. Wenn Sie die Anwendung für die Integration von ServiceNow Storenicht installiert haben, lesen Sie Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Security Notable Event Ingestion, und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: Splunk Enterprise Security Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Events manuell und bei Bedarf aus Ihrer Splunk Enterprise -Konsole für die -Integration exportieren möchten, laden Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Security aus splunkbase in Ihrer Splunk Enterprise Security -Konsole herunter, installieren Sie es und richten Sie es ein. Dieses Erweiterungs-Add-on ServiceNow ist erforderlich, damit Security Incidents aus manuell exportierten Events in Ihrer Now Platform -Instanz erstellt werden können. Diese Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security ist auf splunkbaseverfügbar.

    Für die manuelle Event-Weiterleitung können Sie bis zu zwei verschiedene Now Platform -Endpunkte (Instanzen) in Ihrer Splunk Enterprise Security -Konsole identifizieren. Sie leiten die Events manuell an den Endpunkt oder die Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise sowohl eine Staging-Instanz (Entwicklungsinstanz) als auch eine Produktionsinstanz angeben. Indem Sie separate Instanzen angeben und primäre und sekundäre Workflows für jede Instanz benennen, können Sie auswählen, wohin Sie verschiedene Events weiterleiten möchten.

    Prozedur

    1. Wenn Sie das Add-on „ ServiceNow Security Operations Event Ingestion“ für Splunk Enterprise Securitynoch nicht installiert haben, führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu splunkbase.
      2. Suchen Sie nach dem Add-on „ ServiceNow Security Operations Security Operations Event Ingestion“ für Splunk Enterprise Security.
        Hinweis:
        Stellen Sie sicher, dass Sie ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Securityausgewählt haben. Es gibt zusätzliche ServiceNow Add-ons, die in dieser Liste angezeigt werden. Diese Add-ons sind für verschiedene ServiceNow Splunk -Integrationen vorgesehen und für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihr Konto Splunk Enterprise Security.
      5. Klicken Sie auf der Seite „Apps“ in der Dropdown-Liste des Menüs auf das Zahnradsymbol oder die Verknüpfung Apps verwalten.
      6. Klicken Sie oben links auf der angezeigten Seite „Apps“ auf App aus Datei installieren.
      7. Klicken Sie auf Dateiauswählen, wählen Sie ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Securityaus, und klicken Sie auf Hochladen.
      8. Wenn Sie dazu aufgefordert werden, starten Sie Splunk Enterpriseneu.
        Das Add-on ServiceNow Security Operations Event Ingestion für Splunk Enterprise Security wird in Ihrer Splunk Enterprise Security -Konsole installiert. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das Add-on einzurichten.
      1. Klicken Sie in Splunk Enterprise Securityauf das Zahnradsymbol für Apps oder auf Apps verwalten in der Dropdown-Liste des Menüs.
      2. Klicken Sie in der Liste der angezeigten Anwendungen in der Spalte Aktionen auf Setup für ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular in der Konsole Splunk Enterprise Security.
        API-Endpunkte
      Feld im Abschnitt „Primäre ServiceNow-Instanz angeben“.Beschreibung
      Bezeichnung der Workflow-Aktion Name des Now Platform -Workflows für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name einer Now Platform -Instanz, die Ihre Benutzer, die Splunk -Events überwachen, als primäre Instanz identifizieren, z. B. ServiceNow Event Ingestion (Produktion).

      Der Standardwert für dieses Feld ist ServiceNow Event Ingestion (Produktion).

      In Ihrer Konsole Splunk Enterprise Security wird dieser Workflow-Name für die Produktionsinstanz (primär) in der erweiterten Dropdown-Liste Event-Aktionen einer Suche angezeigt. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorherigen Bezeichnungsfeld der Workflow-Aktion eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Weitere Informationen finden Sie in der Abbildung nach der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt Ihrer Produktionsinstanz Now Platform haben, führen Sie die folgenden Schritte aus.

      1. Melden Sie sich bei Ihrer Produktionsinstanz Now Platform als Benutzer mit der Systemadministratorrolle (admin) an.
      2. Geben Sie im Navigationsbereich Scripted REST APIs ein.
      3. Nachdem der Navigationsbereich aktualisiert wurde, wählen Sie das angezeigte Modul Scripted REST APIs aus.
      4. Wenn Event Ingestion nicht in der Spalte Name der angezeigten Liste der Scripted REST APIs aufgeführt ist, geben Sie im Suchfeld oben Event Ingestionein.
      5. Kopieren Sie in der Spalte Base API path (Basis-API-Pfad) auf der aktualisierten Seite diesen Wert, und fügen Sie ihn in das Feld Endpunkt des Formulars ein. Ein Beispiel für den Basis-API-Pfad ist /api/sn_sec_splunk_v2/event_ingestion.
      Benutzername Benutzername für Ihre Instanz Now Platform. Dieser Name ist der Benutzername für die Instanz Now Platform, in der Sie einem Benutzer die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Event-Weiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihre Now Platform -Instanz für die Splunk Enterprise Event Ingestion -Integration ein.
      Passwort Passwort für Ihre Instanz Now Platform.

      Dieses Passwort ist das Passwort für die Instanz Now Platform, in der Sie einem Benutzer die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Event-Weiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt Sekundäre ServiceNow-Instanz angeben Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Bezeichnung der Workflow-Aktion Name des Now Platform -Workflows für Ihre sekundäre Instanz (Staging-Instanz). Dieser Name ist der Name einer Now Platform Instanz, die Ihre Benutzer, die Splunk Events überwachen, als sekundäre Instanz identifizieren, z. B. ServiceNow Event Ingestion (Staging).

      In Ihrer Konsole Splunk Enterprise Security wird dieser Workflow-Name für die Staging-Instanz (sekundär) in der erweiterten Dropdown-Liste „Event-Aktionen“ einer Suche angezeigt. Diese Instanz Now Platform ist Ihre Staging-Instanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorherigen Bezeichnungsfeld der Workflow-Aktion für die sekundäre Instanz Now Platform ] eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Dieser Wert für den Basis-API-Pfad für Ihre sekundäre Instanz ist derselbe Wert wie der Basis-API-Pfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorherigen Abbildung des Formulars.
      Benutzername Benutzername für Ihre Bereitstellungsinstanz Now Platform. Der Benutzer muss über die Rolle (sn_sec_splunk_v2.api_account_access) verfügen.
      Passwort Passwort für Ihre Staging-Instanz Now Platform. Der Benutzer muss über die Rolle (sn_sec_splunkes.api_account_access) verfügen.
      Die folgende Abbildung zeigt ein Beispiel für die Liste der Scripted REST APIs in Now Platform. In der Liste wird die Position des Endpunktwerts einer Now Platform -Instanz angezeigt, die Sie im Formular als Teil des Setups für die Erweiterung ServiceNow „ Security Operations Event Ingestion Add-on for Splunk Enterprise Security “ in Ihrer Splunk Enterprise Security -Konsole eingegeben haben.
      Hervorgehobener API-Basispfad.
    3. Klicken Sie im Setup-Formular in der Konsole Splunk Enterprise Security auf Speichern, um Ihre Änderungen zu speichern.

      Nach einigen Minuten wird oben links im Formular in Ihrer Splunk Enterprise Security -Konsole eine Meldung angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, sind die Namen (Workflow-Aktionsbezeichnungen) für Ihre Now Platform Instanzen, die Sie im Formular erstellt haben, in der Auswahlliste Ereignisaktionen für ein ausgewähltes Event einer Suche in Ihrer Splunk Enterprise Security -Konsole verfügbar.

    Nächste Maßnahme

    Wenn Sie Suchen noch nicht in Ihrer Splunk Enterprise Security -Konsole gespeichert haben, besteht der nächste Schritt darin, Suchen als Warnungen in Ihrer Splunk Enterprise Security -Konsole zu speichern.