Zuordnungswarnungen für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 10 Minuten Lesedauer

    • Während des Schritts der Ereignisfeldzuordnung ordnen Sie einzelne Ereignisfelder aus ausgelösten Warnungen oder importierten Ereignisdaten Feldern in einem Security Incident Now Platform Security Incident Response (SIR) zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das vorkonfigurierte Zuordnungsraster der Standardfelder für Security Incidents kann bearbeitet werden. Anhand der Farbcodierung der Ereignisfelder können Sie die Feldwerte überwachen, die Sie bereits zugeordnet haben. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Änderungen auf die Felder im Security Incident auswirken.

    Ordnen Sie bis zu fünf Warnungen aus der Spalte „Erfassung des Warnungsbeispiels“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk -Felder zuordnen, die nicht im Standardzuordnungsraster im Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Wählen Sie für ein Profil mit einer geplanten Warnung unter Erfassung des Alarmbeispiels die Warnung unter Warnungsname aus, und klicken Sie auf Beispieldaten abrufen, um die aktuelle Instanz einer ausgelösten Warnung aus der Konsole Splunk Enterprise abzurufen.

      Die Warnungen werden als Registerkarten angezeigt. Sie können bis zu fünf der neuesten Warnungen erfassen.

      Das Abrufen von Beispielereignissen kann einige Minuten dauern. Oben auf dem Bildschirm wird eine Meldung angezeigt, dass die Transaktion funktioniert.

      Hinweis:
      Die Integration fügt ein zusätzliches Zuordnungsfeld, Splunk-Warnungsname, hinzu, um die Nachverfolgung eines Ereignisses zur Quellwarnungsregel in Splunkzu ermöglichen. Dies kann in Szenarien hilfreich sein, in denen mehrere Warnungen Splunk in einem einzigen Profil kombiniert werden.

      Wenn ein einzelnes Feld mehrere Werte enthält, werden diese Werte analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet. Beispielsweise können die Quell-IP-Adressen, Asset-Namen oder URLs mehrere Feldeinträge für erkennbare Elemente oder mehrere CIs aufweisen, die analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet werden.

      In der folgenden Abbildung werden auf der linken Seite dieses Formulars die Feld-Name-Wert-Paare für die erfasste Warnung oder das importierte Beispielereignis angezeigt, nachdem der Abruf abgeschlossen wurde. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.

      „Beispieldaten abrufen“ und erfasste Warnungswerte hervorgehoben.
    3. Fahren Sie für geplante Warnungsprofile mit Schritt 5 fort, um die Werte zuzuordnen.
    4. Alternativ können Sie für ein Profil für einen Ereignistyp, das Sie aus Ihrer Splunk Enterprise -Konsole exportieren möchten, die folgenden Schritte ausführen, um Anhangdaten in Ihre Now Platform® -Instanz hochzuladen.
      1. Wenn Sie noch nicht angemeldet sind, melden Sie sich bei Ihrer Splunk Enterprise -Konsole an.
      2. Navigieren Sie zur Registerkarte Suchen, und geben Sie einen Namen für eine Suche ein, die die zu exportierenden Ereignisdaten enthält.

        Beispielsweise ist „Malware“ ein Suchbegriff, der für alle Malware-Ereignisse verwendet wird, die Sie mit dem Workflow dieser Integration weiterleiten können.

      3. Erweitern Sie das Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Seite „Zuordnung“ in Ihrer Instanz Now Platform® angezeigt werden.

      4. Klicken Sie in Ihrer Splunk Enterprise -Konsole oben rechts auf der Suchseite auf das Exportieren -Symbol.
      5. Klicken Sie in der Liste für das Feld Format im angezeigten Dialogfeld auf XML-Format.
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.
        Die Datei wird in Ihre Instanz Now Platform® heruntergeladen.
      8. Wenn die Seite „Zuordnung“ in Ihrer Instanz Now Platform® noch nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
      9. Klicken Sie in der Spalte Erfassung des Warnungsbeispiels auf Anhangdaten laden.
        Schaltfläche „Anhangdaten laden“ hervorgehoben.
      10. Klicken Sie im angezeigten Dialogfeld auf Dateien auswählen, navigieren Sie zu der exportierten XML -Datei, und klicken Sie auf Öffnen.
        Die Wertepaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.

        In der folgenden Abbildung werden auf der linken Seite des Formulars die Datenpaare für eine erfasste geplante Warnung angezeigt. Wertepaare für importierte Ereignisse werden auch auf dieser Seite des Formulars angezeigt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.

    5. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
    6. Ziehen Sie den Feldnamen, z. B. Kategorie, in ein Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“.
      Drag-and-Drop für Werte, die durch einen Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Kategorie dem Feld „Kategorie“ im Security Incident zugeordnet. Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet wurde.

      Um sicherzustellen, dass im Zuordnungsprozess keine Ereignisse übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass im Security Incident noch kein Feld ausgewählt und zugeordnet wurde. Unter Umständen möchten Sie ein Feld für eingehende Warnungen mehreren Feldern in einem Security Incident zuordnen.

      Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da Warnungsereignisfelder in bestimmten Fällen möglicherweise nur einmal zugewiesen werden. Beispielsweise können Sie Feldern wie „Kurzbeschreibung“ nur einmal Werte zuweisen. Sie können Listenfelder wie Arbeitsnotiz jedoch mehrmals zuweisen, indem Sie dem Zuordnungsraster zusätzliche Zeilen hinzufügen.

      Kategoriefeld und Wert für Security Incident hervorgehoben.
    7. Führen Sie die folgenden Schritte aus, um der Standardzuordnung des Security Incident auf der rechten Seite des Formulars Felder hinzuzufügen.
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
        Felder hinzufügen.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist die Kategorie grau hinterlegt, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für Warnungsfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Felder für Security Incidents auf der rechten Seite beim Nachverfolgen der Zuordnung.

        Standortfeld in Auswahlliste für neues Feld.
        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
      3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
      4. Wählen Sie auf der linken Seite des Formulars mit der linken Maustaste die Warnungs-ID aus, die Sie im Feld Eingabeausdruck verwenden möchten.
        Ordnen Sie es mit der Ziehfunktion neben Ihrem neuen Feld zu.
    8. Setzen Sie die Zuordnung fort, indem Sie Felder hinzufügen oder entfernen und Werte zur Zuordnung hinzufügen.
      Die folgende Abbildung zeigt ein Beispiel für ein bearbeitetes Zuordnungsraster. Im unteren Feld rechts wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Die Werte sind durch Leerzeichen und Satzzeichen getrennt (Kategorie:${category} | Ziel-IP:78.146.73.180).
      Arbeitsnotizen mit mehreren hervorgehobenen Werten.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Raster hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die von Ihnen in das Feld eingegebenen Leerzeichen und Interpunktionszeichen im Abschnitt „Zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt ein Beispiel dafür, wie die Werte in der vorherigen Abbildung für den Security Incident angezeigt werden.

      Wert im Feld „Arbeitsnotiz“, der in einem Security Incident angezeigt wird.

      Filterbedingungen für die Incident-Generierung

    9. Wahlweise: Nachdem Sie die vorhergehenden Zuordnungsschritte auf Feldebene abgeschlossen haben, können Sie dieselben Feldwerte im Filterbedingungsgenerator verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen SIR Security Incident zu erstellen.
      Führen Sie die folgenden Schritte aus, um Filterbedingungen festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Erfassung des Warnungsbeispiels“ für die von Ihnen erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach der Warnung Splunk, die Sie erfassen, oder je nach Ereignis, das Sie manuell weiterleiten. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau den Werten der Warnung oder des Ereignisses Splunk Enterprise entsprechen. Wenn Sie sich bei den Werten, die Sie in die Filterfelder eingeben sollen, nicht sicher sind, kehren Sie möglicherweise zu Ihrer Splunk Enterprise -Konsole zurück und überprüfen Ihre Warnungen und Ereignisse auf die Stichwörter.

        Generator für Filterbedingungen.
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
        Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.

        Generator für Filterbedingungen.

        Sie haben die Auslösebedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn die beiden von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Filterung hilft Ihnen, Sicherheitsereignisse zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur erforderliche Warnungen erfasst, ohne dass die Abfrage Splunk oder die Konfiguration der ausgelösten Warnung geändert werden muss.

        Zusammenfassung von Warnungen zur Verhinderung doppelter Incidents

    10. Wahlweise: Um zu vermeiden, dass doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Incident-Feldkriterien, damit eingehende Warnungen zu einem offenen Security Incident zusammengefasst werden.
      Führen Sie die folgenden Schritte aus, um diese Kriterien festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt Kriterien für Warnungszusammenfassung, und aktivieren Sie das Kontrollkästchen Bedingungen zusammenfassen, um diese Option zu aktivieren.

        Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.

        Slushbucket für Zusammenfassungskriterien.
      2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die mit vorhandenen Security Incidents in Now Platform abgeglichen werden sollen, und verschieben Sie sie in die Liste Ausgewählt.

        Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, damit diese eingehende Warnung an einen vorhandenen Security Incident angehängt wird. Wenn Sie Feldwerte zu Security Incidents überprüfen möchten, die für diese Kriterien verwendet werden sollen, navigieren Sie zu Incidents > Alle Incidents anzeigenan.

        Wenn eine neue Warnung allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, die mit Security Incidents arbeiten, können Sie alle hinzugefügten aggregierten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle aggregierten Warnungen zu einem Security Incident werden in der zugehörigen Liste Splunk Ereignis für Aufgaben angezeigt. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen zu vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „Zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

        Zugehörige Liste „Splunk-Ereignis zu Aufgaben“ hervorgehoben.
      3. Wahlweise: Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die dem Security Incident kürzlich hinzugefügt wurde, aktivieren Sie das Kontrollkästchen zur Aktivierung dieser Option.
        Die Arbeitsnotiz protokolliert, dass eine neue Warnung hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails.
      Sie haben erfolgreich Werte aus einer Warnung oder einem Ereignis [ Splunk Feldern in einem Security Incident SIR zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents anhand von Filterkriterien einzuschränken. Sie haben Warnungen oder Ereignisse auch an vorhandene SIR Security Incidents angehängt.
    11. Wahlweise: Öffnen Sie den Skript-Editor und setzen Sie die Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor zum Formatieren von Warnungswerten für die Integration Splunk Enterprise Event Ingestion ..

    12. Wählen Sie eine aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Zuordnungsformular wird angezeigt.

      Vorschau ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht in der Vorschau der Felder, die Sie im Security Incident SIR zugeordnet haben.
      Aktualisierung Ihre Daten werden gespeichert, und die Liste Splunk Ereignisprofile wird angezeigt.
      Zurück Das Formular „Warnungsauswahl“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht in der Vorschau der Werte, die Sie dem Security Incident zugeordnet haben.