Erstellen und benennen Sie ein Ereignisprofil für die Splunk Enterprise Event Ingestion -Integration

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

7 Minuten Lesedauer

Erstellen Sie ein Ereignisprofil in Ihrer Instanz Now Platform, und bestimmen Sie, welche Splunk -Warnungen Security Incidents erstellen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Bevor -Security Incidents vom Typ Now Platform Security Incident Response (SIR) aus erfassten Warnungen erstellt werden, werden die Feldwerte aus Warnungen in einem Layout eines Now Platform -Security Incidents angezeigt, sodass Sie eine Vorschau auf die Darstellung des tatsächlichen Security Incidents anzeigen können.

Aus Sicht der Integration mit verfügbaren APIs werden Splunk -Ereignisse einzeln und manuell als diskrete Ereignisse weitergeleitet, oder sie werden zu ausgelösten Warnungen kombiniert, die automatisch in der Security Operations -Umgebung Ihrer Instanz von Now Platform erfasst werden. Die Integrations-Workflows erfassen verschiedene Arten von Warnungen, z. B. solche zu nicht autorisierten Zugriffsversuchen und zu Malware.

Diese Warnungen werden basierend auf den Profilen erfasst, die Sie in der Umgebung Security Operations Ihrer -Instanz konfigurieren. Alle Warnungen werden anfänglich für einen konfigurierten Warnungstyp in einem Profil erfasst. Erfasste Warnungen können dann weiter gefiltert werden, um anzugeben, welche Warnungen Security Incidents erstellen. Beispielsweise können Sie Filter bevorzugen, die Security Incidents nur für Warnungen erstellen, die als hoch riskant eingestuft werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten Warnungen erstellt, werden einzelne Feldwerte in den gefilterten Warnungen für eine Vorschau den entsprechenden Feldern in einem Layout von Security Incidents zugeordnet.

Warnungsnamen für Ereignisprofile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Ereignisprofil zugeordnet werden. Dies sind die Namen der ausgelösten Warnungen, die Sie in Ihrem Splunk -Service als Teil des Setups für die Integration konfiguriert haben. Weitere Informationen zum Konfigurieren von Warnungen in Ihrer Splunk Enterprise -Umgebung finden Sie unter Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration.

Now Platform erfasst bestimmte Warnungen mithilfe der Workflows der -Integration. Alle Warnungen, die die Auswahlkriterien in Ihrer -Unternehmenskonsole Splunk erfüllen, werden zunächst in Ihrer -Instanz Now Platform erfasst.

Ein Profil in Ihrem Now Platform ist eine Kapselung einer Splunk -Warnung in Ihrer Splunk -Enterprise-Konsole. Es besteht eine 1:1-Beziehung zwischen Warnungen, die mit einem Profil erfasst werden, und Verbindungen mit Ihrer Splunk -Enterprise-Konsole: eine Warnung für eine Verbindung. In Ihrer Splunk Enterprise -Konsole besteht eine einzelne HTTPS-Verbindung zu einem Suchheader. Mehrere Warnungen können von einem einzigen Suchkopf stammen. Wenn Sie in der Konsole Splunk Enterprise eine Verbindung zu mehreren Suchköpfen herstellen, müssen Sie in der Instanz Now Platform mehrere Profile erstellen, um diese Warnungen zu erfassen.

Schritte zum Erstellen von Profilen für die geplante Warnungserfassung

Prozedur

Um ein Ereignisprofil für eine Warnung zu erstellen, navigieren Sie in Ihrer Instanz Now Platform zu Splunk-Integration > Splunk-Ereignisprofilan.
Wenn das Formular Splunk Ereignisprofil nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Name.
Klicken Sie auf Neu.

Füllen Sie die Felder aus.

Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

Feld	Beschreibung
Name	Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, werden keine doppelten Profilnamen gespeichert. Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
Aktiv	Checkbox ist standardmäßig deaktiviert. Die Option „Aktiv“ ist deaktiviert und erst verfügbar, wenn Sie alle Profilkonfigurationsschritte abgeschlossen haben und auf „Fertigstellen“ klicken.
Typ	Wählen Sie den Profiltyp aus der Auswahlliste aus. Geplante Warnungserfassung: Dieser Profiltyp unterstützt ausgelöste Warnungen, die nach einem von Ihnen konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus, und klicken Sie auf „ Fortsetzen“, um mit dem Schritt „Warnungsauswahl“ des Profils fortzufahren. Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt einzelne Ereignisse, die bei Bedarf manuell von Ihrer Splunk Enterprise -Konsole weitergeleitet werden. Führen Sie die folgenden Schritte aus, um das Formular für diese Profiltypen auszufüllen.
Quelltyp	Splunk Server oder Suche, die Sie für die Erfassung von Warnungen konfiguriert haben. Wenn Sie mehrere Splunk -Server konfiguriert haben, wählen Sie den entsprechenden Server für die Warnungstypen aus, die Sie für das Profil erfassen möchten. Sie müssen einen Wert eingeben.
Bestellung	Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard. Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Ausgefülltes Profilnamenformular für eine geplante Warnung.

Wählen Sie für ein Profil mit einer geplanten Warnung eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung
Fortsetzen	Speichern Sie das Profil, und fahren Sie mit dem Schritt Warnungsauswahl fort.
Aktualisierung	Speichern Sie die Aktualisierungen in diesem Profil, und kehren Sie zur Liste der Splunk Ereignisprofile zurück.
Speichern	Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
Löschen	Löschen Sie diesen Profildatensatz, und kehren Sie zur Liste Splunk Ereignisprofile zurück.

Schritte zum Erstellen von Profilen für die manuelle Ereignisweiterleitung

Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

Für Ereignisse, die Sie bei Bedarf von Ihrer Unternehmenskonsole Splunk aus weiterleiten, können Sie die einzelnen Feldzuordnungen auf einem vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

Wenn dies noch nicht ausgewählt ist, wählen Sie in der Auswahlliste für das Feld Typ die Option Manuelle Ereignisweiterleitungaus.

Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.

Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen finden Sie in den folgenden Abbildungen und Tabellen.

Feld „Zuordnungsoption“ hervorgehoben. — Abbildung : 1. Erstellen Sie eine neue Feldzuordnungsoption

Tabelle : 1. Erstellen Sie eine neue Feldzuordnungsoption
Option oder Feld	Beschreibung
Erstellen Sie eine neue Feldzuordnungsoption	Neue Feldzuordnung für Ihr Ereignis. Wenn Sie keine ähnliche Feldzuordnung wie das von Ihnen erstellte Profil haben, wählen Sie diese Option, um eine neue Zuordnung zu erstellen.
Standardprofil	Standardprofil für die Ereignisweiterleitung für alle Splunk -Ereignisse. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige Profil, das aktiv ist und für jede Splunk -Ereignisfeldzuordnung zu einem SIR -Security Incident verwendet wird. Ein Profil für alle weitergeleiteten Ereignisse. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist. Wenn verfügbar, ermöglicht die Option Quelltyp die eindeutige Zuordnung von Ereignisfeldern zu Security Incident-Feldern auf Grundlage des Splunk Quelltyps . Wenn Sie Firewall-Protokollereignisse anders als Endpunkterkennungsereignisse verwalten möchten und diese unterschiedliche Splunk Quelltypen haben, können Sie unterschiedliche Ereignisprofile basierend auf den Quelltypen erstellen, um diese Anforderung zu erfüllen.
Bestellung	Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard. Wenn Sie eine große Anzahl von Profilen erstellt haben, gibt dieser Wert eine Laufzeit-Ausführungspriorität an, wenn zwei oder mehr Profile auslösende Bedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Vergewissern Sie sich bei einem Profil mit einer neuen Feldzuordnung, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fortfahren, um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.

Suchsymbol für Option zum Kopieren vorhandener Zuordnung hervorgehoben. — Abbildung : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus

Tabelle : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
Option oder Feld	Beschreibung
Wählen Sie ein vorhandenes Profil für die Feldzuordnung aus	Eine vorhandene Feldzuordnung für Ihr Ereignis Das Feld Aus Profil kopieren wird angezeigt. Führen Sie diese Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren. Klicken Sie links neben dem angezeigten Feld Kopieren aus Profil auf das Suchsymbol. Klicken Sie in der angezeigten Liste Ereignisprofile Splunk auf den Profilnamen, der die zu kopierende Karte enthält. Der Profilname wird im Feld Von Profil kopieren angezeigt.
Standardprofil	Standardprofil für die Ereignisweiterleitung für alle Splunk -Ereignisse. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige aktive Profil. Es wird für jedes Splunk -Ereignisfeld verwendet, das einem SIR -Security Incident zugeordnet ist. Ein Profil für alle weitergeleiteten Ereignisse. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption ausgewählt ist. Wenn verfügbar, ermöglicht die Option Quelltyp die eindeutige Zuordnung von Ereignisfeldern zu Security Incident-Feldern auf Grundlage des Splunk Quelltyps . Wenn Sie Firewall-Protokollereignisse anders als Endpunkterkennungsereignisse verwalten möchten und diese unterschiedliche Splunk Quelltypen haben, können Sie unterschiedliche Ereignisprofile basierend auf den Quelltypen erstellen, um diese Anforderung zu erfüllen.
Bestellung	Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard. Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile auslösende Bedingungen gemeinsam nutzen. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Fertigstellen, um die Profilkonfiguration abzuschließen.

Nächste Maßnahme

Sie haben die Schritte zum Erstellen von Profilen sowohl für geplante Warnungen als auch für die manuelle Ereignisweiterleitung erfolgreich abgeschlossen. Sie haben die Profilkonfiguration für Profile für die manuelle Ereignisweiterleitung abgeschlossen. Der nächste Schritt besteht im Laden der Anhangdaten im Zuordnungsschritt.

Bei Profilen für geplante Warnungen besteht der nächste Schritt in der Auswahl von Warnungen für die automatische Erfassung.