Planen und rufen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration ab

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Für automatisierte Warnungserfassungsprofile ist dieser Schritt der letzte Schritt der Event-Profilkonfiguration. Während dieses Schritts können Sie die Standardeinstellungen für den Warnungsabruf überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie Ihren Warnungsabruf basierend auf einem Datumsbereich filtern.

    Vorbereitungen

    Erforderliche Rolle: Rolle sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Nachdem Sie alle Schritte im Fortschrittsbalken für die Profilkonfiguration abgeschlossen haben (siehe folgende Abbildung), haben Sie die Konfiguration für Profile für die manuelle Event-Weiterleitung abgeschlossen. Für Events, die manuell über die Konsole Splunk Enterprise weitergeleitet werden, ist keine Zeitplanung verfügbar. Bei Profilen für die automatisierte Warnungserfassung wählen Sie während des Schritts „Zeitplanung“ aus, ob Sie historische Warnungen erfassen möchten. Sie können auch auswählen, wie oft zukünftige Warnungen abgefragt werden sollen, die der Konfiguration des Warnungsprofils entsprechen.

    Abbildung : 1. Fortschrittsbalken
    Fortschrittsbalken.

    Bei Profilen für die automatisierte Warnungserfassung überprüfen und ändern Sie die Zeitplanung und den Warnungsabruf, bevor das Profil aktiviert wird. Dieser Schritt ist der letzte Schritt des Event-Profilkonfigurationsprozesses für geplante Warnungsprofile.

    Konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung der Splunk -Integration der Event-Erfassung wird durch die unterschiedlichen Abfrageintervalle beeinflusst. Bei der Planung möchten Sie möglicherweise die Systemlast mit der Dringlichkeit von Incidents in Einklang bringen. Für jedes Profil wird ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch je nach Dringlichkeit des Incident und der erwarteten Auslastung Ihres Systems ändern.

    In der Konsole Splunk Enterprise legen Sie eine Warnung so fest, dass sie basierend auf Inkrementen oder zu einem bestimmten Zeitpunkt ausgelöst wird. Verwenden Sie diese Einstellung, um die Zeitplanung in Ihrer Now Platform -Instanz so zu konfigurieren, dass die Zeitschritte in Ihrer Splunk Enterprise -Konsole mit der Zeitplanung synchronisiert werden, die Sie in Ihrer Now Platform -Instanz eingerichtet haben.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zeitplanungaus.
    2. Wählen Sie einen aus, um zu planen, wie und wann Warnungen aus der Konsole Splunk Enterprise abgerufen werden.
      OptionBeschreibung
      • Feld „Laufende Warnung“ ausgewählt
      • Feld „Einmaliger Abruf“ gelöscht
      		 Laufende Warnung

      Basierend auf der Standardeinstellung ruft die Instanz Now Platform ] alle fünf Minuten neue Warnungen vom Server Splunk Enterprise ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und die Filterkriterien übereinstimmen. Um die Warnungserfassung mit der Serverlast auszugleichen und die aktuellsten Daten abzurufen, ist eine Einstellung von fünf Minuten möglicherweise die richtige. Dieser Wert kann jedoch nach Bedarf geändert werden.
      • Feld „Laufende Warnung“ gelöscht
      • Feld Einmaliger Abruf ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um Warnungen basierend auf historischen Ereignissen zu erfassen.

      Nach der Konfiguration wird ein Profil einmal verwendet, um ausgelöste Warnungen abzurufen, einschließlich Warnungen aus Verlaufsereignissen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert Seit werden ausgelöste Warnungen bis zum aktuellen Datum abgerufen.

      Nachdem die Warnungen abgerufen wurden, werden mit dieser Einstellung keine ausgelösten Warnungen für dieses Profil ab dem aktuellen Datum abgerufen. Diese Einstellung füllt den Security Incident mit allen Warnungen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

      Planungsseite mit angezeigtem Kalender.

      Wenn Sie beispielsweise eine tägliche Splunk -Warnung haben, die einmal täglich um 4:05 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Warnungsprofil in Ihrer Now Platform -Instanz so einrichten, dass es um 4:05 Uhr Ortszeit ausgeführt wird, um die zu erfassen sofort eine Warnung ausführen und einen Security Incident erstellen. Geben Sie 04 05 00 in das Feld Anfängliche Warnungserfassung ein. Geben Sie im Feld Increment (Minutes) (Schrittweite (Minuten))1440 (24 Stunden) ein, um die nächste Warnungserfassung für 24 Stunden nach der ersten Warnungserfassung zu planen. Sowohl die anfängliche als auch die nächste Warnungserfassungszeit werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Aktivieren Sie bei angezeigter Seite „Zeitplanung“ das Kontrollkästchen Ongoing alert (Laufende Warnung), um diese Option zu aktivieren.
      2. Geben Sie im Feld Schritt (Minuten) den Wert 1440 (24 Stunden) ein.
      3. Klicken Sie auf das Kontrollkästchen Anfängliche Warnungserfassung auswählen, um die Bearbeitung der Felder Anfängliche Warnungserfassung und Nächste Warnungserfassung zu aktivieren.
      4. Geben Sie im Feld Anfängliche Warnungserfassung 04 05 00ein.
        Im Feld Nächste Warnungserfassung (geschätzt) wird die Zeit der nächsten Warnungserfassung angezeigt.
    4. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Dieses Profil ist aktiviert und ruft basierend auf Ihrer Planung Warnungen aus der Konsole Splunk Enterprise ab. Es gibt ein Limit von 1.000 Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Bis zu 100 Events pro ausgelöster Warnung. Nachfolgende Events werden ignoriert, nachdem die Grenzwerte erreicht sind.