Erstellen und benennen Sie ein Ereignisprofil für die Splunk Enterprise Security Ereigniserfassungsintegration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 46 Minuten Lesedauer

    • Sie erstellen ein Ereignisprofil in Ihrer Instanz Now Platform und bestimmen, welche wichtigen Splunk -Ereignisse Security Incidents erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Bevor -Security Incidents vom Typ Now Platform Security Incident Response (SIR) aus erfassten wichtigen Ereignissen erstellt werden, werden die Feldwerte aus Warnungen in einem Layout eines Now Platform -Security Incidents angezeigt, sodass Sie eine Vorschau auf die Erstellung des tatsächlichen Security Incidents anzeigen können.

    Aus der Perspektive der Integration mit den verfügbaren APIs werden Splunk ES wichtige Ereignisse einzeln und manuell als diskrete wichtige Ereignisse weitergeleitet oder je nach definiertem Profiltyp automatisch in der Umgebung [ Security Operations Ihrer Instanz Now Platform erfasst.

    Die Integrations-Workflows erfassen verschiedene Arten von wichtigen Ereignissen, wie z. B. nicht autorisierte Zugriffsversuche und Malware. Diese wichtigen Ereignisse werden basierend auf den Profilen erfasst, die Sie in der Umgebung Security Operations Ihrer -Instanz konfigurieren.

    Alle wichtigen Elemente werden anfänglich für einen konfigurierten Korrelationssuchtyp in einem Profil erfasst. Erfasste wichtige Elemente können dann weiter gefiltert werden, um anzugeben, welche wichtigen Elemente Security Incidents erstellen. Beispielsweise können Sie Filter bevorzugen, die Security Incidents nur für wichtige Ereignisse erstellen, die als hoch riskant eingestuft werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten wichtigen Ereignissen erstellt werden, werden einzelne Feldwerte in den wichtigen Ereignissen den entsprechenden Feldern in einem Layout des Security Incident zugeordnet, um eine Vorschau anzuzeigen.

    Prozedur

    1. Namen für die Ereignisprofile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Ereignisprofil zugeordnet werden.
    2. Now Platform erfasst bestimmte Notizen mithilfe der Workflows der -Integration.
      Alle wichtigen Ereignisse, die die Auswahlkriterien in Ihrer Splunk ES -Konsole erfüllen, werden zunächst in Ihrer Now Platform -Instanz erfasst.
    3. Ein Profil in Ihrem Now Platform ist eine Kapselung eines wichtigen Ereignisses in Ihrer Splunk ES -Konsole.
      Es besteht eine Eins-zu-eins-Beziehung zwischen beachtenswerten Ereignissen, die mit einem Profil und Verbindungen zu Ihrer Splunk ES -Konsole erfasst werden: einem beachtenswerten Ereignistyp für eine Verbindung.
    4. Informationen zum Erstellen von Profilen für geplante wichtige Ereignisse finden Sie unter Richten Sie ein Profil für die geplante Erfassung wichtiger Ereignisse ein.
    5. Informationen zum Erstellen von Profilen für die manuelle Ereignisweiterleitung finden Sie unter Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein.

    Richten Sie ein Profil für die geplante Erfassung wichtiger Ereignisse ein

    Je nach definiertem Profil werden Splunk ES wichtige Ereignisse automatisch in die Umgebung [ Security Operations Ihrer Instanz von Now Platform aufgenommen.

    Die folgende Tabelle zeigt die Liste der Aufgaben, die Sie ausführen müssen, um ein Profil für die geplante Erfassung wichtiger Ereignisse einzurichten:

    Tabelle : 1. Schritte zum Einrichten eines Profils für die geplante Erfassung wichtiger Ereignisse
    Aufgabe Abschnitt
    Erstellen Sie ein Ereignisprofil Siehe Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse
    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationssuche aus Siehe Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für die Integration der Splunk ES Ereigniserfassung aus
    Felder für wichtige Ereignisse zuordnen Siehe Zuordnung wichtiger Ereignisfelder für die Splunk Enterprise Security -Integration
    Erstellen Sie anwenderdefinierte Zuordnungen Siehe Zuordnungen für Splunk ES  – Überprüfung von Incidents für wichtige Ereignisse und Details zu beitragenden Ereignissen (geplante Erfassung) erstellen
    Zeigen Sie eine Vorschau des Security Incident an Siehe Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an
    Planen und rufen Sie neue und aktualisierte wichtige Ereignisse ab Siehe Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für die Splunk Enterprise Security Event Ingestion-Integration ab
    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse

    Sie können ein Profil einrichten, um wichtige Ereignisse automatisch zu erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Um ein Ereignisprofil für ein wichtiges Ereignis oder einen Korrelationsregeltyp in Ihrer Instanz Now Platform zu erstellen, navigieren Sie zu Splunk-Integration > Splunk-Ereignisprofilan.
    2. Wenn das Formular Splunk Ereignisprofil nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Name.
    3. Klicken Sie auf Neu.
    4. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Feld Beschreibung
      Name Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
      Aktiv Das Kontrollkästchen ist standardmäßig deaktiviert. Sie sollten alle Abschnitte im Profil abschließen, bevor Sie es aktivieren.
      Typ Wählen Sie den Profiltyp aus der Auswahlliste aus.
      • Geplante Ereigniserfassung: Dieser Profiltyp unterstützt wichtige Ereignisse, die nach einem konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus.
      • Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt wichtige Ereignisse, die bei Bedarf manuell von Ihrer Splunk Enterprise Security Incident Review-Konsole weitergeleitet werden. Führen Sie die folgenden Schritte aus, um das Formular für diese Profiltypen auszufüllen.
      Quelle Splunk Server oder Suche, die Sie für die Erfassung wichtiger Ereignisse konfiguriert haben. Wenn mehrere Splunk -Server konfiguriert sind, wählen Sie den entsprechenden Server für die wichtigen Ereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert eingeben.
      Bestellung Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für den Typ eines geplanten wichtigen Ereignis.
      Splunk ES Ereignisprofil
    5. Wählen Sie für ein Profil mit einem geplanten wichtigen Ereignis eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Speichern Sie das Profil, und fahren Sie mit dem Schritt „Ereignisauswahl“ fort.
      Aktualisierung Speichern Sie die Aktualisierungen in diesem Profil, und kehren Sie zur Liste der Splunk Ereignisprofile zurück.
      Speichern Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
      Löschen Löschen Sie diesen Profildatensatz, und kehren Sie zur Liste Splunk Ereignisprofile zurück.

    Nächste Maßnahme

    Der nächste Schritt besteht in der Auswahl wichtiger Ereignisse für die automatische Erfassung.

    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für die Integration der Splunk ES Ereigniserfassung aus

    Nachdem Sie ein Profil für die geplante Erfassung eines erkennbaren Ereignistyps erstellt haben, wählen Sie den Namen einer Korrelationsregel Splunk Enterprise Security für dieses Profil aus, für das Sie einem Security Incident Now Platform Security Incident Response entsprechende beachtenswerte Ereignisse zuordnen möchten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelationsregeln in Ihrer Instanz Now Platform an, damit Sie wissen, für welche wichtigen Ereignistypen Sie Security Incidents erfassen und erstellen möchten. Wählen Sie eine Korrelationsregel aus. Sie können ein oder mehrere wichtige Ereignisse aus der Liste in diesem Formular auswählen.

    Prozedur

    1. Wenn die Seite „Auswahl wichtiger Ereignisse“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.
    2. Wählen Sie in der Liste der Korrelationsregeln eine der folgenden Optionen aus, um eine einzelne Korrelationsregel oder mehrere Korrelationsregeln auszuwählen und sie zu verschieben und sie aus der Spalte Verfügbar in die Spalte Ausgewählt zu verschieben.

      Die Liste der Korrelationsregeln in diesem Formular entspricht der Liste der Korrelationsregeln in Ihrer Incident-Review-Konsole Splunk ES. Bis zu 500 Korrelationsregeln werden in diesem Formular angezeigt. Wenn in Splunk ESmehr als 500 Korrelationsregeln aufgeführt sind, werden in diesem Formular nur die ersten 500 relevanten Ereignisse in Ihrer Instanz Now Platform angezeigt.

      Option Beschreibung
      Geben Sie im Suchfeld „Korrelationsregelliste“ Text ein. Die Spalte unter dem Suchfeld wird anhand der verfügbaren Optionen basierend auf dem von Ihnen eingegebenen Text gefiltert. Wählen Sie eine Korrelationsregel aus, und verschieben Sie den ausgewählten Alarm mit den Pfeiltasten von Verfügbar in Ausgewählt.
      Doppelklicken Sie in der Liste der Korrelationsregeln auf eine Korrelationsregel. Die Spalte Ausgewählt wird mit Ihrer Auswahl gefüllt.
      Klicken Sie in der Liste der Korrelationsregeln einmal auf eine Korrelationsregel. Die Korrelationsregel ist ausgewählt. Verschieben Sie die ausgewählte Korrelationsregel mit den Pfeiltasten von Verfügbar in Ausgewählt.

      Splunk ES Event Profile: Wählen Sie Bemerkbares Ereignis aus
    3. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fahren Sie fort, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung Das Zuordnungsformular wird angezeigt.

      Zuordnung ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, Felder für wichtige Ereignisse einem Security Incident SIR zuzuordnen.
      Aktualisierung Die Daten werden gespeichert, und die Liste „Bemerkbare Splunk-Ereignisprofile“ wird angezeigt.
      Zurück Der Schritt Name wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil. Die Liste „Bemerkbare Splunk-Ereignisprofile“ wird angezeigt.

    Nächste Maßnahme

    Sie haben erfolgreich eine Korrelationsregel für ein geplantes Splunk Enterprise Security Profil ausgewählt. Der nächste Schritt besteht darin, Feldern in einem Security Incident wichtige Ereigniswerte zuzuordnen.

    Zuordnung wichtiger Ereignisfelder für die Splunk Enterprise Security -Integration

    Nachdem Sie die spezifische Korrelationsregel und den Typ des beachtenswerten Ereignisses für das Profil identifiziert haben, besteht der nächste Schritt in der Zuordnung einzelner Felder für beachtenswerte Ereignisse zu den Feldern in einem Security Incident Now Platform Security Incident Response (SIR).

    Übersicht

    Für den Zuordnungsschritt können Sie wichtige Beispiele für wichtige Ereignisse für die ausgewählte Korrelationsregel erfassen oder Daten zu wichtigen Ereignissen für manuell weitergeleitete wichtige Ereignisse exportieren. Der Ereigniszuordnungsprozess ist unabhängig vom Profiltyp, den Sie erstellen, identisch.

    Die folgenden Abbildungen zeigen Beispiele für die standardmäßigen Zuordnungskonfigurationen, die für jeden Typ von Ereignisprofil bereitgestellt werden. Sie können die Felder anpassen, in denen der Security Incident ausgefüllt wird. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Felddaten für wichtige Ereignisse der entsprechenden Stelle im SIR-Incident-Formular zugeordnet sind, und anschließend den SIR-Incident im Vorschaubereich visualisieren.

    Wenn mehrere Korrelationen verwendet werden, können wichtige Ereignisse durch Auswahl des erforderlichen Ereignisses abgerufen werden. Verwenden Sie den Warnungsnamen, um Ihre Warnung auszuwählen, wenn Sie mehrere Warnungen für die Erfassung konfiguriert haben.

    Nachdem Sie auf geklickt haben, um Daten abzurufen, werden die Feldnamen des wichtigen Ereignisses Splunk und die entsprechenden Werte auf der linken Seite des Formulars ausgefüllt. Dies sind die Felder für wichtige Ereignisse Splunk, die für die Zuordnung zu den Feldern SIR für Security Incidents verfügbar sind. Einige Felder können den SIR-Security Incident-Feldern mehrmals zugeordnet werden.


    Standardzuordnung für geplante wichtige Ereignisse

    Möglicherweise möchten Sie einige wichtige Beispielereignisse in Ihrer Splunk -Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird auf dem Fortschrittsbalken als Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung. Sie können bis zu fünf erkennbare Beispielereignisse aus Splunk Enterprise Security erfassen, um den Feldzuordnungsprozess für beachtenswerte Ereignisse zu unterstützen. Es gibt Optionen, um entweder die fünf neuesten beachtenswerten Ereignisse für die ausgewählte Korrelationsregel oder bis zu fünf spezifische beachtenswerte Ereignisse basierend auf den IDs der beachtenswerten Ereignisse zu erfassen.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen wichtiger Ereignisse erforderlich sind:
    • Erfassung von Beispieldaten für geplante wichtige Ereignisse: Für Beispieldaten, die für automatisch erfasste Profile bedeutender Ereignisse verwendet werden, werden verfügbare Felder für wichtige Ereignisse und ihre entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt, sobald die Beispieldaten abgerufen wurden. Registerkarten werden angezeigt, auf denen Sie die Werte für eine bestimmte, von Ihnen abgerufene ID eines beachtenswerten Ereignisses anzeigen können. Stellen Sie sicher, dass alle kritischen Felder aus dem Abschnitt „Beispielerfassung für wichtige Ereignisse“ auf der linken Seite des Formulars den Feldern „Security Incident ServiceNow “ auf der rechten Seite des Formulars zugeordnet sind.
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Felder für wichtige Ereignisse aus der linken Seite ziehen und im Abschnitt ServiceNow SIR-Incident-Zuordnung auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das Feld für eingehende beachtenswerte Ereignisse einem Feld für ausgehende Security Incidents zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder über das Symbol + unten im Abschnitt „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder anhand der angegebenen Farbcodierung (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um festzulegen, welche wichtigen Ereignisse Security Incidents erstellen und welche wichtigen Ereignisse herausgefiltert werden sollen, z. B. wichtige Ereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für Incident-Generierung“, der sich unter dem Abschnitt „Zuordnung wichtiger Ereignisse“ befindet.
    • Kriterien für Ereigniszusammenfassung: Definieren Sie zusätzliche Kriterien für Ereigniszusammenfassung, die ein eingehendes wichtiges Ereignis zu einem vorhandenen SIR -Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen Sicherheitsereignissen in einem einzigen Security Incident zusammengefasst werden.
    • Formatfeldübersetzung: In bestimmten Fällen werden Ereignisfeldwerte in den Splunk wichtigen Enterprise-Ereignissen möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten. Beispielsweise können mit dem Skript-Editor die Kategoriewerte „Malware-Warnung“ und „Virusinfizierung“ unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe von in eine gemeinsame böswillige Code-Aktivität im Feld „Kategorie“ des Security Incident SIR übersetzt werden Formatfeldübersetzungsfunktion.

    Der nächste Schritt besteht darin, wichtige Ereignisse zu erfassen und den Security Incident-Feldern SIR Werte zuzuordnen.

    Zuordnungen für Splunk ES  – Überprüfung von Incidents für wichtige Ereignisse und Details zu beitragenden Ereignissen (geplante Erfassung) erstellen

    Während des Schritts der Zuordnung des Felds „Bemerkbares Ereignis“ ordnen Sie einzelne Ereignisfelder aus beachtenswerten Ereignissen Feldern in einem Now Platform Security Incident Response (SIR)-Security Incident zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Zuordnungsraster kann für den beachtenswerten Ereignistyp angepasst werden, der in der Auswahl der Korrelationsregel ausgewählt wurde. Die Farbcodierung der Ereignisfelder hilft Ihnen, die bereits zugeordneten Ereigniswerte nachzuverfolgen, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob wichtige Ereignisinformationen verbleiben.

    Ordnen Sie bis zu fünf wichtige Ereignisse aus der Spalte „Beispielerfassung für wichtige Ereignisse“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „Feldzuordnung für SIR-Incident“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Es werden Standardfelder angezeigt, die normalerweise als wichtige Felder im Security Incident Response-Formular ausgefüllt werden. Diese Felder können jedoch entfernt und zusätzliche Felder mit den Schaltflächen „+“ und „-“ angezeigt werden. Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk -Felder zuordnen, die nicht im Standardzuordnungsraster im Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Klicken Sie bei einem Profil mit einer geplanten Erfassung unter „Beispielerfassung für wichtiges Ereignis“ auf Beispieldaten abrufen, um die neuesten erkennbaren Ereignisse aus der Konsole Splunk Enterprise für die ausgewählte Korrelationsregel abzurufen.
      Hinweis:
      Sie können entweder die neuesten Beispiele für beachtenswerte Ereignisse abrufen oder die eindeutigen beachtenswerten Ereignis-IDs für die spezifischen beachtenswerten Ereignisse angeben, die Sie für die Zuordnung Ihrer beachtenswerten Ereignisse verwenden möchten.

      Die wichtigsten Ereignisfelder und -wertergebnisse werden als einzelne Registerkarten angezeigt. Sie können bis zu fünf wichtige Ereignisse erfassen.

      Das Abrufen von Beispielereignissen für wichtige Ereignisse kann einige Minuten dauern. Oben auf dem Bildschirm wird eine Meldung angezeigt, dass die Transaktion funktioniert.

      In der folgenden Abbildung werden auf der linken Seite dieses Formulars die Feld-Name-Wert-Paare für das erfasste wichtige Ereignis oder die importierten Beispielereignisse angezeigt, nachdem der Erfassungsabruf abgeschlossen wurde. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.


      Rufen Sie Beispieldaten und erfasste wichtige Ereignisse ab
    3. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
    4. Ziehen Sie den Feldnamen, z. B. src_category, in ein Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“.

      Drag-and-Drop für Werte, die durch einen Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird src_category dem Feld „Kategorie“ im Security Incident zugeordnet. Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet wurde.

      Um sicherzustellen, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass das Feld für ein wichtiges Ereignis noch nicht ausgewählt und dem Security Incident zugeordnet wurde. Unter Umständen möchten Sie ein eingehendes wichtiges Feld mehreren Feldern in einem Security Incident zuordnen.

      Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.


      Kategoriefeld und Wert für Security Incident hervorgehoben
    5. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist die Kategorie grau hinterlegt, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Felder für wichtige Ereignisse auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Felder für Security Incidents auf der rechten Seite, die bereits zugeordneten Felder für SIR-Incidents nachzuverfolgen.

        Zuordnung von Kategoriefeld

        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
      3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
      4. Klicken Sie auf der linken Seite des Formulars, um die Ereignis-ID auszuwählen, die Sie im Feld Eingabeausdruck verwenden möchten.
    6. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.
      Die folgende Abbildung zeigt ein Beispiel für eine bearbeitete Zuordnung. Im unteren Feld rechts wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Beachten Sie, dass Sie für ein langes Textzeichenfolgenfeld das Zuordnungsfeld erweitern können, um die vollständige Zeichenfolge anzuzeigen und die Größe nach Bedarf zu ändern, indem Sie an der rechten unteren Ecke des Felds ziehen (siehe Screenshot unten mit dem hinzugefügten Feld für Arbeitsnotizen):
      Arbeitsnotizen mit mehreren hervorgehobenen Werten
      Warnung:
      Beachten Sie, dass die im Abschnitt „ SIR-Incident-Feldzuordnung “ im Feld „ Eingabeausdruck “ angegebene URL und Portnummer nur ein Beispiel ist und nicht die sofort einsatzbereite URL oder Portnummer.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Zuordnungsabschnitt hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die von Ihnen in das Feld eingegebenen Leerzeichen und Interpunktionszeichen im Abschnitt „Zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt ein Beispiel dafür, wie die Werte in der vorherigen Abbildung für den Security Incident angezeigt werden.

      Wert im Feld „Arbeitsnotiz“, der in einem Security Incident angezeigt wird.
    7. Wahlweise: Öffnen Sie den Skript-Editor und setzen Sie die Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor zum Formatieren von Warnungswerten für die Integration Splunk Enterprise Event Ingestion ..

      Einschließlich Hyperlinks zur Überprüfung wichtiger Ereignis-Incidents und beitragender Ereignisse

      Zusätzlich zur Zuordnung von Feldern kann sn_si.admin einen Zeichenfolgenwert zuordnen, der es dem Sicherheitsanalysten, der an einem Incident arbeitet, ermöglicht, einen Hyperlink zurück zu Incident-Überprüfung für wichtige Ereignisse in der Konsole Splunk Enterprise Security und zu den zugrunde liegenden beitragenden Ereignissen zu erstellen, die Teil sind der Drilldown-Suche.

      Die folgenden Zeichenfolgenwerte enthalten den Servernamen Splunk Enterprise Security und entsprechende Variablen, die für die Hyperlink-Verknüpfung dieser Details verwendet werden können:

      • Hyperlink zur Überprüfung von Incidents für wichtige Ereignisse: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earriest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id} $

        wobei splunkes2.secops-eng.com:8000 die Splunk-Serverquelle und info_min_time und event_id Ereignisfeldwerte sind, die aus den wichtigen Ereignissen extrahiert wurden.

      • Bemerkbare Ereignisbeiträge (Drilldown-Suche) Hyperlink: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$

        wobei splunkes2.secops-eng.com:8000 die Splunk-Serverquelle und Drilldown_search der Wert eines Ereignisfelds ist, das aus den beachtenswerten Ereignissen extrahiert wurde.

      Die folgende Abbildung zeigt die URL zur Überprüfung von Incidents für wichtige Ereignisse, die dem Feld „Arbeitsnotiz“ zugeordnet sind, und den Hyperlink für beitragende Ereignisse für wichtige Ereignisse (Drilldown-Suche), der einem anwenderdefinierten Feld mit der Bezeichnung „URL für Incidents für wichtige Ereignisse“ zugeordnet ist:


      URL zur Überprüfung von Incidents für beachtenswerte Ereignisse, die der Arbeitsnotiz zugeordnet sind
      Die folgende Abbildung zeigt die SIR-Incident-Vorschau mit dem Hyperlink zur Überprüfung von Incidents für wichtige Ereignisse und der URL für beitragende Ereignisse: Hyperlink für
      die Überprüfung von Incidents für wichtige Ereignisse und Hyperlink für beitragende Ereignisse:

      Filterbedingungen für die Incident-Generierung

    8. Wahlweise: Nachdem Sie die vorhergehenden Schritte zur Feldzuordnung abgeschlossen haben, können Sie dieselben Feldwerte im Builder für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes wichtiges Event erfüllen muss, um einen SIR -Security Incident zu erstellen.
      Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Beispielerfassung für wichtiges Ereignis“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich abhängig von den Splunk erkennbaren Ereignissen, die Sie erfassen, oder abhängig von dem Ereignis, das Sie für die manuell weitergeleiteten Beispiele für wichtige Ereignisse auswählen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des wichtigen Ereignisses Splunk Enterprise Security übereinstimmen. Wenn Sie sich bei den Werten, die Sie in die Filterfelder eingeben sollen, nicht sicher sind, kehren Sie möglicherweise zu Ihrer Splunk Enterprise Security -Konsole zurück und überprüfen Ihre wichtigen Ereignisse auf die Stichwörter.


        Generator für Filterbedingungen
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
        Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.


        Generator für Filterbedingungen:2

        Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn die beiden von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche oder Filter in Splunkzu ändern. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur nennenswerte Ereignisse, die allen Kriterien entsprechen, Incidents zugeordnet.

        Hinweis:
        Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche ('), Unterstriche (-), At-Zeichen (@) oder kaufmännische Und-Zeichen (&) enthält, müssen diese Zeichen möglicherweise zu Zuordnungsübersetzungszwecken und möglicherweise ersetzt werden einen doppelten Ereignisnamen erstellen. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Beispiel: Wenn das erste Ereignisfeld alerts.alert und das zweite Ereignisfeld alerts @alerts ist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Ereignisfeld ein Suffix hinzugefügt, und das Feld wird in alerts@alert(1)umbenannt.

      Ereignis-Zusammenfassungskriterien zur Verarbeitung ähnlicher bedeutender Elemente und zur Verhinderung doppelter Incidents

    9. Wahlweise: Um zu vermeiden, dass doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Kriterien für die Zusammenfassung von Ereignissen, damit eingehende wichtige Ereignisse zu einem offenen Security Incident zusammengefasst werden.
      Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Ereignis-Zusammenfassungskriterien“, und aktivieren Sie das Kontrollkästchen Bedingungen zusammenfassen, um diese Option zu aktivieren.

        Die Incident-Felder mit übereinstimmenden Werten werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.

      2. Wählen Sie im Eingabefeld mit Mehrfachauswahl die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Now Platformabgleichen möchten.
      3. Verwenden Sie Neues Kriterium hinzufügen, um mehrere Felder auszuwählen, die den Bedingungen entsprechen.
        Alle Feldwerte, die Sie im Eingabefeld für Mehrfachauswahl auswählen, werden anhand der UND-Bedingung mit Aggregationskriterien abgeglichen. Klicken Sie auf Neue Kriterien hinzufügen, um mehrere Feldabgleichsbedingungen auszuwählen, bei denen die Zusammenfassung erfolgt, wenn eine der definierten mehrfach ausgewählten Feldbedingungen mit der ODER-Bedingung erfüllt wird.

        Zusammenfassungskriterien

        Wenn ein neues beachtenswertes Ereignis mit allen Werten übereinstimmt, die in den Bedingungen des Zusammenfassungsfelds im Zuordnungsschritt ausgewählt sind, wird das neue erkennbare Ereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten wichtigen Ereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten wichtigen Ereignisse für einen Security Incident werden in der zugehörigen Liste Splunk Ereignis für Aufgaben angezeigt. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese wichtigen Ereignisse zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „Zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.


        Zugehörige Liste „Splunk-Ereignis zu Aufgaben“ hervorgehoben
      4. Wahlweise: Um eine Arbeitsnotiz für ein neues wichtiges Ereignis zu protokollieren, das dem Security Incident kürzlich hinzugefügt wurde, aktivieren Sie das Kontrollkästchen zur Aktivierung dieser Option.
        Die Arbeitsnotiz protokolliert, dass ein neuer Notable hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und allen anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.
      Sie haben erfolgreich Werte aus einem wichtigen Ereignis Splunk Feldern in einem Security Incident SIR zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch wichtige Ereignisse an vorhandene SIR Security Incidents angehängt, wenn Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.
    10. Wählen Sie eine aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Zuordnungsformular wird angezeigt.

      Vorschau ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht in der Vorschau der Felder, die Sie im Security Incident SIR zugeordnet haben.
      Aktualisierung Die Daten werden gespeichert, und die Liste „Splunk-Ereignisprofile“ wird angezeigt.
      Zurück Das Formular „Auswahl relevanter Ereignisse“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste der Splunk-Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht in der Vorschau der Werte, die Sie dem Security Incident zugeordnet haben.

    Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an

    Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie im Security Incident Now Platform® Security Incident Response (SIR) zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle wichtigen Felder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung bei Bedarf erneut, um Felder mit Fehlern zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wird, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen auf Security Incidents SIR werden nicht als tatsächliche Incidents im Produkt SIR gespeichert.

    Prozedur

    1. Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie in der Auswahlliste Ereignisname ein Element aus, wenn mehrere Ereignisse verwendet wurden.
    3. Wählen Sie in der Auswahlliste „Beispiel für IDs wichtiger Ereignisse“ Ereignis-IDs aus.
    4. Wählen Sie in der Auswahlliste Beispiel für IDs wichtiger Ereignisse ein Element aus.

      Auswahlliste für Ereignis auswählen erweitert.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.

    5. Überprüfen Sie die Feldzuordnung der wichtigsten Ereigniswerte im Security Incident.

      Fehlermeldung zu einem Security Incident in der Vorschau.

      Das vorherige Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem wichtigen Ereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Es wird eine Fehlermeldung angezeigt, die darauf hinweist, dass für das Feld Konfigurationselement in der ServiceNow® Customer Management Database (CMDB) kein Eingabewert gefunden wurde. Daher wird dieser zugeordnete Feldwert nicht ohne weitere Änderung im Formular „SIR-Security Incident“ angezeigt.

    6. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    7. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    8. Zeigen Sie erneut eine Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in den -Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte eines SIR -Security Incidents, nachdem alle Fehlermeldungen gelöst wurden. Für dieses Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren gefüllt, die aus den Beispielen für wichtige Ereignisse Splunk Enterprise Security abgerufen wurden. Das erste Feld „Arbeitsnotizen“ enthält keinen Wert. Dieses Feld wurde im Zuordnungsraster während des Zuordnungsschritts leer gelassen. Die zusätzlichen Arbeitsnotizfelder, die Werte enthalten, wurden dem Zuordnungsabschnitt hinzugefügt.


      Arbeitsnotiz und Beschreibung in der Vorschau des Security Incidents
    9. Nachdem Sie alle Fehler behoben und verifiziert haben, dass die Felder Ihren Vorstellungen entsprechen, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten wichtigen Ereignissen angezeigt.

      Auf dem Fortschrittsbalken ist„Zeitplanung“ ausgewählt.
      Fertigstellen Klicken Sie bei Profilen, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Fertig stellen. Es gibt keinen Zeitplanungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus der Konsole Splunk Enterprise Security exportiert werden.
      Aktualisierung Ihre Daten werden gespeichert, und Sie kehren zur Liste Splunk Ereignisprofile zurück.
      Zurück Der Zuordnungsschritt auf dem Fortschrittsbalken wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung im Security Incident zufrieden sind, fahren Sie als Nächstes mit Planen Sie Warnungen für die Integration Splunk Enterprise Event Ingestion, und rufen Sie sie abfort.

    Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für die Splunk Enterprise Security Event Ingestion-Integration ab

    Bei automatisierten Profilen zur Erfassung wichtiger Ereignisse ist dieser Schritt in der Ereignisprofilkonfiguration erforderlich. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf wichtiger Ereignisse überprüfen oder die Zeitplanung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische beachtenswerte Ereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Bei Profilen für die automatisierte Erfassung bedeutender Ereignisse wählen Sie aus, ob Sie historische beachtenswerte Ereignisse während des Schritts „Zeitplanung“ erfassen möchten. Sie können auch auswählen, wie häufig Sie zukünftige neue wichtige Ereignisse und aktualisierte wichtige Ereignisse abfragen möchten, die der Konfiguration des Warnungsprofils entsprechen.

    Bei Profilen zur automatisierten Erfassung wichtiger Ereignisse überprüfen und ändern Sie vor der Aktivierung des Profils die Zeitplanung und den Warnungsabruf. Dies ist ein erforderlicher Schritt für den gesamten Konfigurationsprozess für Ereignisprofile für geplante Warnungsprofile.

    Sie konfigurieren diese Abrufintervalle für einzelne Profile. Die Leistung der Splunk -Ereigniserfassungsintegration kann durch die verschiedenen Abfrageintervalle beeinflusst werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem Server Splunk Enterprise Security mit dem Wunsch in Einklang bringen, so bald wie möglich benachrichtigt zu werden, wenn ein wichtiges Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein Standardwert von fünf Minuten festgelegt. Bei Bedarf können Sie diese Einstellung jedoch auch auf einen Wert von nur einer Minute ändern.

    Es werden neue und aktualisierte wichtige Ereignisse abgerufen

    Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte wichtige Ereignisse ab, die zuvor abgerufen wurden, aber die Filterkriterien für Incidents nicht erfüllt haben. Dies gibt Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die bei der ersten Erstellung eines wichtigen Ereignisses möglicherweise nicht vorhanden sind, aber nach einem Update verfügbar werden, z. B. während der Untersuchungsphase. Sobald ein Incident für ein bestimmtes wichtiges Ereignis erstellt wurde, werden seine nachfolgenden Aktualisierungen ignoriert, da zu erwarten ist, dass das wichtige Ereignis jetzt als aktiver ServiceNow® Security Incident behandelt wird. Alle anderen beachtenswerten Elemente, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incidents werden.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie „ Zeitplanung“ aus.
    2. Wählen Sie eine aus, um zu planen, wie und wann wichtige Ereignisse aus der Konsole Splunk Enterprise Security abgerufen werden.
      OptionBeschreibung
      • Feld „Laufende Ereigniserfassung“ ausgewählt
      • Feld für einmaligen Abruf gelöscht
      		 Laufendes Ereignis

      Basierend auf der Standardeinstellung ruft die Instanz Now PlatformSplunk Enterprise Security ] alle fünf Minuten neue und aktualisierte wichtige Ereignisse vom Server ab. Security Incidents werden erstellt, wenn wichtige Ereignisse gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead-Wunsch für die Erfassungsabfrage nach dem Abrufen der neuesten Daten auszugleichen, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
      • Feld „Laufendes wichtiges Ereignis“ gelöscht
      • Feld „Einmaliger Abruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um wichtige historische Ereignisse zu erfassen.

      Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um wichtige Ereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert „Seit“ werden wichtige Ereignisse bis zum aktuellen Datum abgerufen. Beachten Sie, dass der Pull rückwirkend ab dem aktuellen Datum bis zu sieben Tage möglich ist. Diese Funktionalität ist nicht dazu gedacht, signifikante Mengen historischer Ereignisse von Splunk Enterprise Security zu Archivierungszwecken abzurufen, sondern eine minimale Menge von Ereignissen während der Ausführung, an denen zum Zeitpunkt der Profilaktivierung aktiv gearbeitet wird.

      Nachdem die wichtigen Ereignisse abgerufen wurden, werden mit dieser Einstellung keine weiteren wichtigen Ereignisse für dieses Profil abgerufen, die ab dem aktuellen Datum beginnen. Mit dieser Einstellung wird der Security Incident mit allen wichtigen Ereignissen ausgefüllt, die für den von Ihnen eingegebenen Bereich gefunden wurden.

      Seite „Zeitplanung“ mit angezeigtem Kalender.

      Um ein Beispiel für die Planung der ersten Erfassungszeit eines wichtigen Ereignisse zu geben: Wenn Sie eine tägliche Sicherheitsprüfung Splunk haben, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Profil für ein wichtiges Ereignis in Ihrer Instanz Now Platform so einrichten, dass es um 4 Uhr ausgeführt wird :05 Uhr Ortszeit, um das Sicherheitsfehlerereignis sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie 04 05 00 in das Feld Anfängliche Ereigniserfassung ein. Geben Sie im Feld Inkrement (Minuten) den Wert 1440 (24 Stunden) ein, um die nächste Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung zu planen. Sowohl die Zeit der ersten Ereigniserfassung als auch die Zeit der nächsten Ereigniserfassung werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Aktivieren Sie auf der Seite „Zeitplanung“ das Kontrollkästchen Fortlaufende Ereigniserfassung, um diese Option zu aktivieren.
      2. Geben Sie im Feld Schritt (Minuten) den Wert 1440 (24 Stunden) ein.
      3. Klicken Sie auf das Kontrollkästchen Erste Ereigniserfassung auswählen, um die Bearbeitung der Felder „Erste Ereigniserfassung“ und „Nächste Ereigniserfassung“ zu aktivieren.
      4. Geben Sie im Feld Erste Ereigniserfassung 04 05 00ein.
        Im Feld Nächste Ereigniserfassung (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.
    4. Klicken Sie auf eine der folgenden Optionen, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zusätzliche Optionen“ wird angezeigt. Auf dem Fortschrittsbalken sindZusätzliche Optionen ausgewählt. Der nächste Schritt besteht darin, die wichtigen Ereignisse zu aktualisieren, wenn der SIR-Incident erstellt und/oder geschlossen wird.
      Aktualisierung Ihre Daten werden gespeichert, und die Liste Splunk Ereignissicherheitsprofile wird angezeigt.
      Zurück Das Formular „Zeitplanung“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk Enterprise Security Ereignisprofile wird angezeigt.

    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Security Incidents können erstellt und aktualisiert werden, nachdem sie mit einer bidirektionalen Schnittstelle mit der -Integration Splunk Enterprise Security erstellt wurden.

    Vorbereitungen

    Die Splunk Enterprise Security -Integration verfügt über eine bidirektionale Schnittstelle, über die wichtige Ereignisse Security Incidents erstellen und wichtige Ereignisse aktualisieren können, nachdem der Security Incident erstellt und/oder geschlossen wurde.

    Relevante Incident-Details umfassen SIR Incident-Nummer, Zuweisungsgruppe, SIR Incident-URL. Dieser Abschnitt ist der letzte Teil der Profilkonfigurations-Einrichtung, die optionale Funktionen zum Aktualisieren der wichtigen Splunk Enterprise Security -Ereignisse bereitstellt.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
    2. Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung wichtiger Ereignisse auf Grundlage von Updates zu Security Incidents abzuschließen.
      Option oder FeldBeschreibung
      Aktualisiert wichtige Ereignisse bei Erstellung des SIR-Incidents Wählen Sie diese Option aus, wenn Sie den Status eines wichtigen Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus diesem ein Security Incident erstellt wird. Dies kann sowohl für die ersten auslösenden wichtigen Ereignisse gelten, die den Security Incident erstellen, als auch für aggregierte Ereignisse.
      Statusaktualisierung für anfängliches wichtiges Ereignis Sie müssen eine Statusoption aus dem Menü auswählen, das alle verfügbaren Statuswerte anzeigt, die vom Server Splunk Enterprise Security abgerufen wurden. Dies kann einen anwenderdefinierten Erstellungsstatus enthalten, z. B. ServiceNow – Zugewiesen“, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes wichtiges Ereignis erstellt wird. Dies umfasst wichtige Elemente, die neue Incidents erstellen, und wichtige Elemente, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Anfangskommentare, die an ein wichtiges Ereignis zurückgesendet werden Sie können nicht nur den Statuswert für das beachtenswerte Ereignis aktualisieren, sondern auch Kommentare im Incident-Überprüfungsverlauf für das beachtenswerte Ereignis veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten und Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld im Incident-Formular Security Incident Response hinzufügen oder ändern.
      Schließen Sie wichtige Ereignisse bei Abschluss des SIR-Incidents ab Wählen Sie diese Option aus, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident über das wichtige Ereignis geschlossen wird. Dies gilt sowohl für die ersten auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse.
      Statusaktualisierung für Abschlussereignis für wichtiges Ereignis Sie müssen eine Statusoption aus dem Listenmenü auswählen, das alle verfügbaren Statuswerte anzeigt, die vom Server Splunk Enterprise Security abgerufen werden. Dies kann einen anwenderdefinierten Erstellungsstatus enthalten, z. B. ServiceNow – Zugewiesen“, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes wichtiges Ereignis erstellt wird. Dies umfasst wichtige Elemente, die neue Incidents erstellen, sowie wichtige Elemente, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Abschlusskommentare, die an das wichtige Ereignis zurückgesendet werden Zusätzlich zur Aktualisierung des Statuswerts für das beachtenswerte Ereignis können Sie auch Abschlusskommentare im Incident-Überprüfungsverlauf für das beachtenswerte Ereignis veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten und Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld im Incident-Formular Security Incident Response hinzufügen oder ändern.
    3. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um wichtige Ereignisse basierend auf Ihrer Planung aus der Konsole Splunk Enterprise Security abzurufen. Innerhalb von 24 Stunden können maximal 1.000 Security Incidents erstellt werden. Bis zu 100 wichtige Ereignisse pro ausgelöste Warnung. Nachfolgende wichtige Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht sind.
      Die folgende Abbildung zeigt die Registerkarte Zusätzliche Optionen mit ausgefüllten Standardwerten:
      Zusätzliche Optionen:1
      Wenn die Konfiguration „Zusätzliche Optionen“ aktiviert ist, zeigt die Incident-Überprüfung für ein wichtiges Ereignis die Statusänderung und eine Aktualisierung des Verlaufskommentars an:
      Zusätzliche Optionen: 2

    Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein

    Je nach definiertem Profil werden wichtige Ereignisse Splunk ES manuell als diskrete wichtige Ereignisse in die Umgebung [ Security Operations Ihrer Instanz von Now Platform weitergeleitet.

    So richten Sie ein Profil für die manuelle Weiterleitung wichtiger Ereignisse ein:

    Aufgabe Abschnitt
    Erstellen Sie ein Ereignisprofil Siehe Erstellen Sie Profile für manuell weitergeleitete Ereignisse
    Felder für wichtige Ereignisse zuordnen Siehe Zuordnung wichtiger Ereignisfelder für die Splunk Enterprise Security -Integration
    Erstellen Sie anwenderdefinierte Zuordnungen Siehe Zuordnungen für Splunk ES zur Überprüfung eines wichtigen Ereignis-Incidents und beitragende Ereignisdetails erstellen (manuelle Weiterleitung)
    Zeigen Sie eine Vorschau des Security Incident an Siehe Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an

    Richten Sie Ihre Splunk -Umgebung für die manuelle Erfassung ein

    		 Siehe Richten Sie Ihre Umgebung Splunk für die manuelle Ereigniserfassung für die Integration Splunk Enterprise Security „ Notable Event Ingestion ein
    Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie die Aktualisierung und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für manuell weitergeleitete Ereignisse

    Sie können ein Profil für manuell weitergeleitete Ereignisse einrichten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

    Für Ereignisse, die Sie bei Bedarf von Ihrer -Konsole Splunk Enterprise Security aus weiterleiten, können Sie die individuelle Feldzuordnung auf einem beliebigen vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

    1. Wenn dies noch nicht ausgewählt ist, wählen Sie in der Auswahlliste für das Feld Typ die Option Manuelle Ereignisweiterleitungaus.
    2. Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.
      Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen finden Sie in den folgenden Abbildungen und Tabellen.
      Splunk: Manuelle Ereignisweiterleitung
      Tabelle : 2. Erstellen Sie eine neue Feldzuordnungsoption
      Option oder Feld Beschreibung
      Erstellen Sie eine neue Feldzuordnungsoption Neue Feldzuordnung für Ihr Ereignis.

      Wenn Sie keine ähnliche Feldzuordnung wie das von Ihnen erstellte Profil haben, wählen Sie diese Option, um eine neue Zuordnung zu erstellen.
      Standardprofil

      Standardprofil für die Ereignisweiterleitung für alle Splunk -Ereignisse. Standard ist gelöscht (deaktiviert).

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil wird verwendet, wenn es keine Übereinstimmung für die Quelle aus dem manuell weitergeleiteten Ereignis gibt. Es wird zum Standardprofil für alle Ereignisse mit unbekannten Quellen.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld „Bemerkungswertes Ereignis“) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die die wesentlichen Elemente ausgelöst hat, z. B. Brute-Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Wenn verfügbar, ermöglicht dieses Feld eine eindeutige Zuordnung von Ereignisfeldern zu Security Incident-Feldern basierend auf der Splunk-Korrelationsregel, die normalerweise für verschiedene Ereignistypen unterschiedlich ist.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie basierend auf der Korrelationsregel verschiedene Profilereignisprofile erstellen, um diese Anforderung zu erfüllen.
      Automatisieren Sie die Aktualisierung wichtiger Ereignisse Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein SIR-Incident aus dem wichtigen Ereignis erstellt wird und/oder wenn der SIR-Incident geschlossen wird. Dies gilt sowohl für die ersten auslösenden nennenswerten Ereignisse, die den SIR-Incident erstellen, als auch für aggregierte Ereignisse.

      Quelle (Splunk Server)

      Der Server Splunk, den Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn mehrere Splunk -Server konfiguriert sind, wählen Sie den entsprechenden Server für die wichtigen Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Bestellung Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard.

      Wenn Sie eine große Anzahl von Profilen erstellt haben, gibt dieser Wert eine Laufzeit-Ausführungspriorität an, wenn zwei oder mehr Profile auslösende Bedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Vergewissern Sie sich bei einem Profil mit einer neuen Feldzuordnung, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fortfahren, um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

      Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.
      Manuell: vorhandenes Profil
      Tabelle : 3. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
      Option oder Feld Beschreibung
      Wählen Sie ein vorhandenes Profil für die Feldzuordnung aus Verwenden Sie eine vorhandene Feldzuordnung für Ihr neues Profil für wichtige Ereignisse. Das Feld Aus Profil kopieren wird angezeigt.

      Führen Sie diese Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren.

      1. Klicken Sie links neben dem angezeigten Feld Kopieren aus Profil auf das Suchsymbol.
      2. Klicken Sie in der angezeigten Liste Splunk ES-Ereignisprofile auf den Profilnamen, der die zu kopierende Zuordnung enthält.

        Der Profilname wird im Feld Von Profil kopieren angezeigt.
      Standardprofil

      Standard-Ereignisweiterleitungsprofil für alle Splunk wichtigen Ereignisse mit nicht abgeglichener Quelle. Standard ist gelöscht (deaktiviert).

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld „Bemerkungswertes Ereignis“) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die die wesentlichen Elemente ausgelöst hat, z. B. Brute-Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Wenn verfügbar, ermöglicht dieses Feld eine eindeutige Zuordnung von Ereignisfeldern zu Security Incident-Feldern basierend auf der Splunk-Korrelationsregel, die normalerweise für verschiedene Ereignistypen unterschiedlich ist.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie basierend auf der Korrelationsregel verschiedene Profilereignisprofile erstellen, um diese Anforderung zu erfüllen.
      Automatisieren Sie wichtige Ereignisse Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des wichtigen Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus dem wichtigen Ereignis ein Security Incident erstellt oder wenn der Security Incident geschlossen wird. Dies gilt sowohl für die ersten auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse.

      Quelle (Splunk Server)

      Splunk Server oder Suche, die Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn mehrere Splunk -Server konfiguriert sind, wählen Sie den entsprechenden Server für die wichtigen Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Bestellung Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard.

      Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile auslösende Bedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Fertigstellen, um die Profilkonfiguration abzuschließen.

    Zuordnungen für Splunk ES zur Überprüfung eines wichtigen Ereignis-Incidents und beitragende Ereignisdetails erstellen (manuelle Weiterleitung)

    Während des Schritts der Zuordnung des Felds „Bemerkungswertes Ereignis“ ordnen Sie einzelne Ereignisfelder aus beachtenswerten Ereignissen Feldern in einem Now Platform Security Incident Response (SIR)-Security Incident zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Ordnen Sie bis zu fünf wichtige Ereignisse aus der Spalte „Beispielerfassung für wichtige Ereignisse“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „Feldzuordnung für SIR-Incident“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Es werden Standardfelder angezeigt, die normalerweise als wichtige Felder im SIR-Incident-Formular ausgefüllt werden müssen. Diese Felder können jedoch entfernt und zusätzliche Felder mit den Schaltflächen „+“ und „-“ angezeigt werden. Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk -Felder zuordnen, die nicht im Standardzuordnungsraster im Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Führen Sie diese Schritte aus, um Anhangdaten in Ihre Instanz Now Platform® hochzuladen.
      1. Wenn Sie noch nicht angemeldet sind, melden Sie sich bei Ihrer Splunk Enterprise -Konsole an.
      2. Navigieren Sie zur Registerkarte Suche und geben Sie einen Namen für eine Suche ein, die die wichtigen Ereignisdaten enthält, die Sie exportieren möchten.
        Ein Beispielsuchformat zum Abrufen erkennbarer Ereignisse für die Korrelationsregel für das Brute-Force-Zugriffsverhalten wäre: `notable`|search source="Access - Brute-Force-Zugriffsverhalten erkannt - Regel".
      3. Erweitern Sie das wichtige Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Seite „Zuordnung“ in Ihrer Instanz Now Platform® angezeigt werden.


        Splunk ES: Wählen Sie wichtige Ereignisse für den Export aus
      4. Klicken Sie in Ihrer Splunk Enterprise -Konsole oben rechts auf der Suchseite auf das Exportieren -Symbol.
      5. Klicken Sie in der Auswahlliste für das Feld Format Format im angezeigten Dialogfeld auf XML-Format.
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.

        Splunk ES: XML-Datei exportieren
        Die exportierte Splunk XML-Datei für das wichtige Ereignis muss jetzt in Ihre Instanz Now Platform® hochgeladen werden.
      8. Wenn die Seite „Zuordnung“ in Ihrer Instanz Now Platform® noch nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
      9. Klicken Sie in der Spalte „Beispielerfassung für wichtiges Ereignis“ auf Anhangdatenladen .

        Splunk ES: Anhangdaten laden
      10. Klicken Sie im angezeigten Dialogfeld auf Dateien auswählen, navigieren Sie zu der exportierten XML -Datei, und klicken Sie auf Öffnen.
        Nachdem Sie auf geklickt haben, um Anhangdaten für manuell weitergeleitete Ereignisse zu laden, werden die Felder für wichtige Ereignisse Splunk ES auf der linken Seite des Formulars ausgefüllt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
        Die Wertepaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.
    3. Führen Sie die Schritte 5 bis 10 im Abschnitt Zuordnungen für Splunk ES  – Überprüfung von Incidents für wichtige Ereignisse und Details zu beitragenden Ereignissen (geplante Erfassung) erstellen aus.

    Richten Sie Ihre Umgebung Splunk für die manuelle Ereigniserfassung für die Integration Splunk Enterprise Security „ Notable Event Ingestion ein

    Installieren und richten Sie die Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security in Ihrer Splunk Enterprise-Konsole oder Splunk-Cloud-Instanz ein, wenn Sie für diese Integration Ereignisse manuell und bei Bedarf von Ihrer Splunk Enterprise Security -Konsole exportieren möchten.

    Vorbereitungen

    Das Installieren und Einrichten der Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise Security in Ihrer Unternehmenskonsole Splunk oder in der Splunk-Cloud-Instanz ist optional.

    Stellen Sie sicher, dass Sie die Anwendung für diese Integration von ServiceNow Store installiert haben, bevor Sie das Add-on-Plugin von splunkbase installieren, das für die manuelle Ereigniserfassung erforderlich ist. Wenn Sie die Anwendung für die -Integration aus ServiceNow Storenicht installiert haben, rufen Sie Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Security „ Notable Event Ingestion auf und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: Splunk Enterprise Security Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Ereignisse für die Integration manuell und bei Bedarf von Ihrer Konsole Splunk Enterprise exportieren möchten, laden Sie das Add-on ServiceNow „ Security Operations Event Ingestion“ für Splunk Enterprise Security aus splunkbase in Ihrer Konsole Splunk Enterprise Security herunter, installieren und richten Sie es ein. Dieses Erweiterungs-Add-on ServiceNow ist erforderlich, damit Security Incidents aus manuell exportierten Ereignissen in Ihrer Instanz Now Platform erstellt werden können. Dieses ServiceNow Security Operations Event Ingestion Add-on für die Anwendung Splunk Enterprise Security ist auf splunkbaseverfügbar.

    Für die manuelle Ereignisweiterleitung können Sie bis zu zwei verschiedene Now Platform -Endpunkte (Instanzen) in Ihrer Splunk Enterprise Security -Konsole identifizieren. Sie leiten die Ereignisse manuell an den Endpunkt oder die Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise eine Staging-Instanz (Entwicklungsinstanz) und eine Produktionsinstanz angeben. Durch Angabe separater Instanzen und Benennung primärer und sekundärer Workflows für jede Instanz können Sie auswählen, wohin Sie verschiedene Ereignisse weiterleiten möchten.

    Prozedur

    1. Wenn Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Securitynoch nicht installiert haben, führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu splunkbase.
      2. Suchen Sie nach dem ServiceNow Security Operations Security Operations Event Ingestion Add-on für Splunk Enterprise Security.
        Hinweis:
        Stellen Sie sicher, dass Sie ServiceNow Security Operations Add-on zur Ereigniserfassung für Splunk Enterprise Securityausgewählt haben. Es gibt zusätzliche ServiceNow Add-ons, die in dieser Liste angezeigt werden. Diese Add-ons gelten für verschiedene ServiceNow Splunk -Integrationen und sind für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihr Splunk Enterprise Security -Konto.
      5. Klicken Sie auf der Seite „Apps“ auf das Zahnradsymbol oder auf die Verknüpfung Apps verwalten in der Dropdown-Liste des Menüs.
      6. Klicken Sie oben links auf der angezeigten Seite „Apps“ auf App aus Datei installieren.
      7. Klicken Sie auf Dateiauswählen, wählen Sie ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Securityaus, und klicken Sie auf Hochladen.
      8. Starten Sie Splunk Enterpriseneu, wenn Sie dazu aufgefordert werden.
        Das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Security wird in Ihrer Splunk Enterprise Security -Konsole installiert. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das -Add-on einzurichten.
      1. Klicken Sie in Splunk Enterprise Securityauf das Zahnradsymbol Apps, oder klicken Sie in der Dropdown-Liste des Menüs auf Apps verwalten.
      2. Klicken Sie in der Liste der Anwendungen, die angezeigt wird, in der Spalte Aktionenauf Für ServiceNow Security Operations Add-on zur Ereigniserfassung für Splunk Enterprise Security] einrichten.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes -Formular in Ihrer -Konsole Splunk Enterprise Security.
        API-Endpunkte
      Feld im Abschnitt „Primäre ServiceNow-Instanz angeben“.Beschreibung
      Workflow-Aktionsbezeichnung Name des Now Platform -Workflows für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name einer Instanz Now Platform, die von Ihren Anwendern, die Splunk -Ereignisse überwachen, als primäre Instanz identifiziert wird, z. B. ServiceNow Event Ingestion (Produktion).

      Der Standardwert für dieses Feld ist „ServiceNow Event Ingestion (Produktion)“.

      In Ihrer Splunk Enterprise Security -Konsole wird dieser Workflow-Name für die Produktionsinstanz (primär) in der erweiterten Dropdown-Liste Ereignisaktionen einer Suche angezeigt. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorangegangenen Feld für die Workflow-Aktionsbezeichnung eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Weitere Informationen finden Sie in der Abbildung unter der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt Ihrer Produktionsinstanz Now Platform haben, führen Sie die folgenden Schritte aus.

      1. Melden Sie sich bei Ihrer Produktionsinstanz Now Platform als Benutzer mit der Rolle „Systemadministrator“ (admin) an.
      2. Geben Sie im Navigationsbereich Geskriptete REST APIs ein.
      3. Wählen Sie nach der Aktualisierung des Navigationsbereichs das angezeigte Modul Scripted REST APIs (Geskriptete REST-APIs) aus.
      4. Wenn Ereigniserfassung in der Spalte Name der angezeigten Liste der geskripteten REST APIs nicht aufgeführt ist, geben Sie im Suchfeld oben den Wert Ereigniserfassungein.
      5. Kopieren Sie diesen Wert in der Spalte Base API path auf der aktualisierten Seite, und fügen Sie ihn in das Feld Endpunkt im Formular ein. Ein Beispiel für den API-Basispfad ist /api/sn_sec_splunk_v2/event_ingestion.
      Anwendername Benutzername für Ihre Instanz Now Platform. Dies ist der Name des Anwendernamens für die Instanz Now Platform, in der Sie einen Anwender mit der Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Event Ingestion ein.
      Passwort Passwort für Ihre Instanz Now Platform.

      Dieses Passwort ist das Passwort für die Instanz Now Platform, in der Sie einen Benutzer mit der Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt „Sekundäre ServiceNow-Instanz angeben“. Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Workflow-Aktionsbezeichnung Name des Now Platform -Workflows für Ihre sekundäre Instanz (Bereitstellungsinstanz). Dieser Name ist der Name einer Instanz Now Platform, die von Ihren Benutzern, die Splunk -Ereignisse überwachen, als sekundäre Instanz identifiziert wird, z. B. ServiceNow Ereigniserfassung (Bereitstellung).

      In Ihrer Splunk Enterprise Security -Konsole wird dieser Workflow-Name für die Bereitstellungsinstanz (sekundär) in der erweiterten Dropdown-Liste Ereignisaktionen einer Suche angezeigt. Diese Now Platform -Instanz ist Ihre Bereitstellungsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorhergehenden Bezeichnungsfeld Workflow-Aktion für die sekundäre Instanz Now Platform ] eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Dieser Wert für den API-Basispfad für Ihre sekundäre Instanz entspricht dem API-Basispfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorherigen Abbildung des Formulars.
      Anwendername Anwendername für Ihre Bereitstellungsinstanz Now Platform. Dazu benötigen Benutzer die Rolle (sn_sec_splunk_v2.api_account_access).
      Passwort Passwort für Ihre Bereitstellungsinstanz Now Platform. Dazu benötigen Benutzer die Rolle (sn_sec_splunkes.api_account_access).
      Die folgende Abbildung zeigt ein Beispiel für die Liste der geskripteten REST APIs in Ihrem Now Platform. In der Liste wird die Position des Endpunktwerts einer Now Platform -Instanz angezeigt, die Sie im Rahmen der Einrichtung des ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Security in Ihrer Splunk Enterprise Security -Konsole in das Formular eingeben.
      API-Basispfad hervorgehoben.
    3. Klicken Sie im Setup-Formular in der Konsole Splunk Enterprise Security auf Speichern, um Ihre Änderungen zu speichern.

      Nach einigen Minuten wird oben links im Formular in der Splunk Enterprise Security -Konsole eine Meldung angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, sind die Namen (Workflow-Aktionsbezeichnungen) für die von Ihnen im Formular erstellten Instanzen Now Platform in der Auswahlliste Ereignisaktionen für ein ausgewähltes Ereignis einer Suche in Ihrer Konsole Splunk Enterprise Security verfügbar.

    Nächste Maßnahme

    Wenn Sie Suchen noch nicht in der Konsole Splunk Enterprise Security gespeichert haben, besteht der nächste Schritt darin, Suchen als Warnungen in der Konsole Splunk Enterprise Security zu speichern.