Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die folgenden Schritte zum Speichern von Suchen in Ihrer Splunk Enterprise -Konsole werden für einen Benutzer mit der Splunk Enterprise ]-Administratorrolle bereitgestellt.

    Vorbereitungen

    Wenn Sie bereits gespeicherte Suchen und ausgelöste Warnungen in Ihrer Konsole Splunk Enterprise haben, müssen Sie diese Suchen für diese Integration nicht ändern.

    Durch die Integration des Produkts Now Platform® Security Operations mit dem Event-Benachrichtigungsservice Splunk werden Event- und Warnungsinformationen aus Splunkabgerufen .

    Konfigurieren Sie vor der Erfassung von Warnungen in Ihrer Security Operations -Umgebung Suchen in Ihrer Splunk Enterprise -Konsole, damit Sie automatisch die relevanten Sicherheits-Events in Splunk Enterprise abrufen, die Sie als Warnungen speichern möchten.

    Wenn Sie keine gespeicherten Suchen und keine ausgelösten Warnungen für die Benachrichtigung eingerichtet haben, wenn in Ihrer Konsole Splunk Enterprise wichtige Sicherheits-Ereignisse auftreten, führen Sie die folgenden Schritte aus, um Suchen zu speichern.

    Erforderliche Rolle: Splunk Enterprise Administrator

    Prozedur

    1. Melden Sie sich bei Ihrem Splunk Enterprise-Konto an.
    2. Klicken Sie auf die Registerkarte Suche.
    3. Geben Sie im angezeigten Feld Neue Suche einen Wert für die Warnung ein, z. B. Malware.
    4. Um die Events anzuzeigen, die sich auf Ihre Suche beziehen, klicken Sie rechts neben dem Feld Neue Suche auf das Suchsymbol, oder drücken Sie die Eingabetaste.
      Die Suchergebnisse mit Events werden angezeigt.
    5. Um die Suche als Warnung zu speichern, erweitern Sie oben rechts auf der Seite die Auswahlliste Speichern unter, und wählen Sie Warnungaus.
    6. Füllen Sie die Felder im angezeigten Formular aus.
      FeldBeschreibung
      Titel Beschreibender Name für die Warnung, z. B. Malware-Ereignisse. Nachdem Sie diese Suche als Warnung gespeichert haben, werden Events aus einer ausgelösten Warnung im Service Splunk mit diesen Suchdaten automatisch zu ausgelösten Warnungen verarbeitet. Dieser ausgelöste Warnungstitel wird in dem Event-Profil verwendet, das Sie in Ihrer Instanz Now Platform erstellen, um zu identifizieren, welche Events in Ihrer Instanz für die Erstellung von Now Platform® Security Incident Response SIR Security Incidents erfasst werden.
      (Optional) Beschreibung Text, der Ihnen hilft, diese Warnung von anderen Warnungen zu unterscheiden.
      Warnungstyp Wählen Sie in den angezeigten Feldern Geplant aus, um nach einem Zeitplan nach dieser Warnung zu suchen, oder Echtzeit, um kontinuierlich nach dieser Warnung zu suchen.
      Ergebnisse auslösen Möglicherweise möchten Sie eine der folgenden Filterbedingungen festlegen:
      • Anzahl der Ergebnisse ist größer oder kleiner als
      • Einmalig (einmal) für jedes Ergebnis
      Auslöseraktionen Fügen Sie Aktionen hinzu, um diese Warnung auszulösen. Erweitern Sie die Auswahlliste Hinzufügen, und klicken Sie auf Zu ausgelösten Warnungen hinzufügen, damit sie im Formular angezeigt wird. Möglicherweise bevorzugen Sie diese Einstellung für die Warnungen, die Sie in Ihrer Now Platform -Instanz erfassen.
    7. Klicken Sie auf Speichern.
      Ihre Warnung wird gespeichert und auf der Suchseite auf der Registerkarte Warnungen angezeigt.
      Der Service Splunk ruft die Events ab, indem er die Kriterien abgleicht, die Sie in der Warnung konfiguriert haben. Die Events werden zwischengespeichert, und Sie fordern diese Events dann von Ihren Profilen an, die Sie in Ihrer Now Platform -Instanz eingerichtet haben. Da der Erfassungsabruf von Events aus einem Cache im Splunk -Service erfolgt, wirkt sich diese Erfassung aus Ihrem Now Platform nicht auf die Leistung auf Ihrer Splunk -Plattform aus.

    Nächste Maßnahme

    Sie haben das erforderliche Setup für die -Integration in Ihrer Splunk Enterprise -Konsole erfolgreich abgeschlossen. Wenn Sie die Anwendung für die Integration von ServiceNow Storenoch nicht installiert haben, besteht der nächste Schritt darin, die Anwendung für die Integration zu installieren und zu konfigurieren.