Zuordnung von Warnungen und Events für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Nachdem Sie die Quellen für die geplante Warnungserfassung oder die manuelle Event-Weiterleitung identifiziert haben, besteht der nächste Schritt darin, einzelne Event-Felder den Feldern in einem Now Platform Security Incident Response (SIR) Security Incident zuzuordnen.

    Übersicht

    Für den Zuordnungsschritt erfassen Sie als Benutzer mit der Rolle „sn_si.admin“ Beispielwarnungen aus Ihrer Splunk Enterprise -Konsole, oder exportieren Event-Daten für ein Splunk Enterprise -Event.

    Die folgenden Abbildungen sind Beispiele für die standardmäßigen Zuordnungsraster, die für jeden Typ von Event-Profil bereitgestellt werden. Diese Standardzuordnung kann bearbeitet werden. Mit dieser Änderung können Sie die Felder anpassen, die den Security Incident ausfüllen. Mit dem Zuordnungsschritt können Sie visualisieren, wie sich das Hinzufügen oder Entfernen von Event-Feldern auf die Feldwerte des SIR Security Incident auswirkt.

    Wählen Sie den Warnungsnamenaus. Nachdem Sie auf Beispieldaten abrufen geklickthaben, werden die Feldwerte der Warnung Splunk auf der linken Seite des Formulars ausgefüllt, wenn Beispielwarnungen vom Profil erfasst werden. Dies sind die Warnungsfelder von Splunk, die Sie den Security Incident-Feldern von SIR zuordnen.

    Abbildung : 1. Standardzuordnungsformular für Warnungen
    Standardzuordnungsformular für Warnungen.

    Nachdem Sie auf „Anhangdaten für weitergeleitete Events laden“ geklickt haben, werden die Event-Felder Splunk auf der linken Seite des Formulars ausgefüllt. Dies sind die Datenfelder Splunk ], die den Security Incident-Feldern SIR zugeordnet sind.

    Abbildung : 2. Standardzuordnungsformular für weitergeleitete Events
    Standardzuordnungsformular für Events.

    Möglicherweise ziehen Sie es vor, einige Beispielwarnungen in Ihrer Splunk -Konsole zu überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird in der Fortschrittsleiste mit Zuordnung gekennzeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.

    Das Zuordnen von Warnungen und das Exportieren von Events bei Bedarf aus Ihrer Splunk Enterprise-Konsole umfasst die folgenden Konzepte und Aufgaben:
    • Rufen Sie Beispieldaten für automatisch erfasste Warnungsprofile ab. Nachdem Daten aus einer ausgelösten Warnung in der Konsole Splunk Enterprise abgerufen (abgerufen) wurden, werden verfügbare Warnungsfelder und ihre entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt. Registerkarten werden angezeigt, um die Werte für eine von Ihnen abgerufene Warnungs-ID anzuzeigen. Vergewissern Sie sich, dass alle kritischen Felder aus dem Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars dem Raster auf der rechten Seite des Formulars zugeordnet sind.
    • Laden Sie bei Bedarf Event-Beispieldaten für manuell weitergeleitete Event-Profile. Beispieldaten für diese Events werden in eine XML -Datei aus der Konsole Splunk Enterprise exportiert und in Ihre Instanz Now Platform® ] geladen. Die importierten Daten werden im Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars angezeigt.
    • Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungen von der linken Seite ziehen und im Zuordnungsraster auf der rechten Seite ablegen. Das Zuordnungsraster auf der rechten Seite ordnet das eingehende Warnungsfeld einem ausgehenden Security Incident-Feld zu.
    • Passen Sie das Zuordnungsraster an, indem Sie Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder anhand der bereitgestellten Farbcodierung nach.
    • Legen Sie Filterbedingungen fest, damit Sie angeben können, welche Warnungen in der Anwendung SIR erfasst und welche herausgefiltert werden.
    • Definieren Sie zusätzliche Incident-Feldkriterien, die eine eingehende Warnung zu einem vorhandenen SIR Security Incident zusammenfassen, um doppelte Incidents zu verhindern. Durch diese zusätzliche Filterung kann die Anzahl der aktiven, sich überschneidenden Security Incidents reduziert werden, indem alle zugehörigen Sicherheitsereignisdaten in einem einzigen Security Incident platziert werden.
    • In bestimmten Fällen werden Event-Feldwerte in der Splunk Enterprise-Konsole möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Mit dem Skript-Editor werden beispielsweise die Feldwerte Malware-Warnung und Virusinfection in der Konsole Splunk beide in Böswillige Codeaktivität im Feld Kategorie des Security Incident SIR übersetzt.

    Geplante Warnungsprofile

    Nach dem Erstellen eines geplanten Warnungsprofils wird der Prozessablauf für die Konfiguration in der folgenden Abbildung dargestellt.

    Abbildung : 3. Prozess-Flow für geplante Warnungsprofile
    Prozess-Flow für geplante Warnung.

    Manuelle Event-Weiterleitungsprofile

    Nach dem Erstellen eines Profils für ein Event wird der Prozessablauf für die Konfiguration in der folgenden Abbildung dargestellt.

    Abbildung : 4. Prozess-Flow für Event-Profile
    Prozess-Flow für Event-Export.

    Der nächste Schritt besteht darin, ausgelöste Warnungen zu erfassen oder Daten zu exportieren und Werte den SIR Security Incident-Feldern zuzuordnen.