Erstellen und benennen Sie ein Event-Profil für die Splunk Enterprise Event Ingestion -Integration

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

7 Minuten Lesedauer

Erstellen Sie ein Event-Profil in Ihrer Now Platform -Instanz, und bestimmen Sie, welche Splunk -Warnungen Security Incidents verursachen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Bevor Now Platform Security Incident Response (SIR) Security Incidents aus erfassten Warnungen erstellt werden, werden die Feldwerte aus Warnungen in einem Layout eines Now Platform Security Incident angezeigt, sodass Sie eine Vorschau des tatsächlichen Security Incident anzeigen können.

Aus Perspektive der Integration mit verfügbaren APIs werden Splunk -Events einzeln und manuell als diskrete Events weitergeleitet, oder sie werden zu ausgelösten Warnungen kombiniert, die automatisch in die Security Operations -Umgebung Ihrer Now Platform -Instanz erfasst werden. Die Integrations-Workflows erfassen verschiedene Arten von Warnungen, z. B. nicht autorisierte Zugriffsversuche und Malware.

Diese Warnungen werden basierend auf den Profilen erfasst, die Sie in der Security Operations -Umgebung Ihrer Instanz konfigurieren. Alle Warnungen werden anfänglich für einen konfigurierten Warnungstyp in einem Profil erfasst. Erfasste Warnungen können dann weiter gefiltert werden, um anzugeben, welche Warnungen Security Incidents verursachen. Beispielsweise könnten Sie Filter bevorzugen, die Security Incidents nur für Warnungen erstellen, die als hohes Risiko identifiziert wurden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten Warnungen erstellt, werden einzelne Feldwerte in den gefilterten Warnungen den entsprechenden Feldern in einem Layout von Security Incidents für eine Vorschau zugeordnet.

Warnungsnamen für Event-Profile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Event-Profil zugeordnet werden. Dies sind die Namen der ausgelösten Warnungen, die Sie in Ihrem Splunk -Service als Teil des Setups für die -Integration konfiguriert haben. Weitere Informationen zum Konfigurieren von Warnungen in Ihrer Umgebung Splunk Enterprise finden Sie unter Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration.

Now Platform erfasst bestimmte Warnungen mithilfe der Workflows der Integration. Alle Warnungen, die die Auswahlkriterien in Ihrer Splunk Enterprise-Konsole erfüllen, werden anfänglich in Ihrer Now Platform -Instanz erfasst.

Ein Profil in Now Platform ist eine Kapselung einer Splunk -Warnung in Ihrer Splunk Enterprise-Konsole. Zwischen Warnungen, die mit einem Profil erfasst werden, und Verbindungen zu Ihrer Splunk Enterprise-Konsole besteht eine 1:1-Beziehung: eine Warnung für eine Verbindung. In Ihrer Splunk Enterprise -Konsole besteht eine einzelne https-Verbindung zu einem Suchkopf. Mehrere Warnungen können aus einem einzelnen Suchkopf stammen. Wenn Sie eine Verbindung zu mehreren Suchköpfen in Ihrer Splunk Enterprise -Konsole herstellen, müssen Sie mehrere Profile in Ihrer Instanz von Now Platform erstellen, um diese Warnungen zu erfassen.

Schritte zum Erstellen von Profilen für die geplante Warnungserfassung

Prozedur

Um ein Event-Profil für eine Warnung zu erstellen, navigieren Sie in Ihrer Instanz Now Platform zu Splunk-Integration > Splunk-Ereignisprofil.
Wenn das Formular Splunk Event-Profil nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Name.
Klicken Sie auf Neu.

Füllen Sie die Felder aus.

Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

Feld	Beschreibung
Name	Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, werden doppelte Profilnamen nicht gespeichert. Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
Aktiv	Das Kontrollkästchen ist standardmäßig deaktiviert. Die Option Aktiv ist deaktiviert und erst verfügbar, wenn Sie alle Profilkonfigurationsschritte abgeschlossen und auf Fertigstellen geklickthaben.
Typ	Wählen Sie den Profiltyp aus der Auswahlliste aus. Geplante Warnungserfassung: Dieser Profiltyp unterstützt ausgelöste Warnungen, die nach einem von Ihnen konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus, und klicken Sie auf Fortfahren, um mit dem Schritt Warnungsauswahl des Profils fortzufahren. Manuelle Event-Weiterleitung: Dieser Profiltyp unterstützt einzelne Events, die bei Bedarf manuell von Ihrer Splunk Enterprise -Konsole weitergeleitet werden. Führen Sie die folgenden Schritte aus, um das Formular für diese Profiltypen auszufüllen.
Quelltyp	Splunk -Server oder -Suchende, die Sie für die Erfassung von Warnungen konfiguriert haben. Wenn Sie mehrere Splunk Server konfiguriert haben, wählen Sie den entsprechenden Server für die Warnungstypen aus, die Sie für das Profil erfassen möchten. Sie müssen einen Wert eingeben.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung. Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Ausgefülltes Formular „Profilname“ für eine geplante Warnung.

Wählen Sie für ein Profil mit einer geplanten Warnung eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung
Fortsetzen	Speichern Sie das Profil, und fahren Sie mit dem Schritt Warnungsauswahl fort.
Aktualisieren	Speichern Sie Aktualisierungen in diesem Profil, und kehren Sie zur Liste der Ereignisprofile Splunk zurück.
Speichern	Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
Löschen	Löschen Sie diesen Profildatensatz, und kehren Sie zur Liste Splunk Ereignisprofile zurück.

Schritte zum Erstellen von Profilen für die manuelle Event-Weiterleitung

Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Event-Weiterleitung unterstützt.

Für Events, die Sie bei Bedarf von Ihrer Splunk Enterprise-Konsole aus weiterleiten, können Sie die einzelne Feldzuordnung auf ein vorhandenes Profil stützen. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangdaten erstellen. Events, die Sie manuell weiterleiten, werden nicht im Event-Profil geplant.

Wenn dies noch nicht geschehen ist, wählen Sie in der Auswahlliste für das Feld Typ die Option Manuelle Event-Weiterleitungaus.

Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.

In den folgenden Abbildungen und Tabellen finden Sie weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen.

Hervorgehobenes Feld „Zuordnungsoption“. — Abbildung : 1. Neue Feldzuordnungsoption erstellen

Tabelle : 1. Neue Feldzuordnungsoption erstellen
Option oder Feld	Beschreibung
Neue Feldzuordnungsoption erstellen	Neue Feldzuordnung für Ihr Event. Wenn keine Feldzuordnung vorhanden ist, die dem von Ihnen erstellten Profil ähnelt, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.
Standardprofil	Standardmäßiges Event-Weiterleitungsprofil für alle Splunk -Events. Der Standardwert ist deaktiviert. Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Event-Weiterleitung. Dieses Profil ist das einzige Profil, das aktiv ist und für jede Splunk Event-Feldzuordnung zu einem SIR Security Incident verwendet wird. Ein Profil passt zu allen weitergeleiteten Events. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk -Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist. Wenn verfügbar, ermöglicht die Option Quelltyp die eindeutige Zuordnung von Event-Feldern zu Security Incident-Feldern basierend auf dem Splunk Quelltyp . Wenn Sie Firewall-Protokoll-Events anders verwalten möchten als Endpunkt-Erkennungs-Events, und sie unterschiedliche Splunk Quelltypen haben, können Sie verschiedene Event-Profile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung. Wenn Sie eine große Anzahl von Profilen erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Vergewissern Sie sich bei einem Profil mit einer neuen Feldzuordnung, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fortsetzen, um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

Für ein Profil mit einer vorhandenen Feldzuordnung finden Sie weitere Informationen in der folgenden Abbildung und Tabelle.

Hervorgehobenes Suchsymbol für Option „Vorhandene Zuordnung kopieren“. — Abbildung : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus

Tabelle : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
Option oder Feld	Beschreibung
Wählen Sie ein vorhandenes Profil für die Feldzuordnung aus	Eine vorhandene Feldzuordnung für Ihr Event. Das Feld Aus Profil kopieren wird angezeigt. Befolgen Sie diese Schritte, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren. Klicken Sie links neben dem angezeigten Feld Aus Profil kopieren auf das Suchsymbol. Klicken Sie in der angezeigten Liste Splunk Event-Profile auf den Profilnamen mit der zu kopierenden Karte. Der Profilname wird im Feld Aus Profil kopieren angezeigt.
Standardprofil	Standardmäßiges Event-Weiterleitungsprofil für alle Splunk -Events. Der Standardwert ist deaktiviert. Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Event-Weiterleitung. Dieses Profil ist das einzige Profil, das aktiv ist. Sie wird für jedes Splunk Event-Feld verwendet, das einem SIR Security Incident zugeordnet ist. Ein Profil passt zu allen weitergeleiteten Events. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk -Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption ausgewählt ist. Wenn verfügbar, ermöglicht die Option Quelltyp die eindeutige Zuordnung von Event-Feldern zu Security Incident-Feldern basierend auf dem Splunk Quelltyp . Wenn Sie Firewall-Protokoll-Events anders verwalten möchten als Endpunkt-Erkennungs-Events, und sie unterschiedliche Splunk Quelltypen haben, können Sie verschiedene Event-Profile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung. Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Fertigstellen, um die Profilkonfiguration abzuschließen.

Nächste Maßnahme

Sie haben die Schritte zum Erstellen von Profilen für geplante Warnungen und die manuelle Event-Weiterleitung erfolgreich abgeschlossen. Für Profile für die manuelle Event-Weiterleitung haben Sie die Profilkonfiguration abgeschlossen. Der nächste Schritt besteht darin, Anhangdaten im Zuordnungsschritt zu laden.

Bei Profilen für geplante Warnungen besteht der nächste Schritt darin, Warnungen für die automatische Erfassung auszuwählen.