TISC-Add-on wird in konfiguriert Splunk

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Befolgen Sie die nachstehenden Schritte, um die Anwendung zu konfigurieren.

    Vorbereitungen

    Erforderliche Rolle: Splunk-Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Das folgende Verfahren beschreibt die Konfiguration des TISC-Add-ons in Splunk.

    Prozedur

    1. Suchen Sie in der linken Navigationsleiste nach der App Threat Intelligence Security Center for Splunk.
    2. Klicken Sie in der Spalte Aktionen auf Einrichten.
      Die Konfigurationsseite wird angezeigt, und Sie können Ihr ServiceNow TISC-Konto einrichten.
    3. Wählen Sie Hinzufügen.
    4. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Konten hinzufügen
      Name Ein eindeutiger Name für den Account
      Anwendername Geben Sie den Anwendernamen für Ihren Account ServiceNow an. Sie können den gleichen Anwendernamen verwenden, der für die Anwender verwendet wird, die während der Rollenerstellung sn_sec_tisc.api_obs_read_access im obigen Schritt erstellt werden.
      Passwort Geben Sie das Account-Passwort ServiceNow an .
      Instanz-URL Geben Sie die URL-Adresse der Instanz ServiceNow an.
    5. Klicken Sie auf Hinzufügen.
      Der Instanz-Account ServiceNow wird dem Splunkhinzugefügt.
    6. Navigieren Sie zur Seite „Eingaben“, um Sammlungen zu erstellen und Ihre Dateneingaben für Ihren Account ServiceNow zu verwalten.
    7. Klicken Sie auf Neue Eingabe erstellen.
      Das Dialogfeld „Eingabe hinzufügen“ wird angezeigt, damit Sie die Eingaben Ihrem Account ServiceNow hinzufügen können.

      Sobald der Eingabesatz definiert ist, sendet die Anwendung die Informationen an die TISC-Instanz, um eine bestimmte Anzahl von erkennbaren Elementen abzurufen, die die Kriterien erfüllen.

    8. Füllen Sie die Eingabedetails entsprechend aus.
      Feld Beschreibung
      Name Ein eindeutiger Name für Ihre Eingabe. Beispiel: Liste schädlicher IPs.
      Account Geben Sie den Anwendernamen für Ihren Account ServiceNow an. Sie können denselben Anwendernamen verwenden, der für die Anwender verwendet wird, die im obigen Schritt mit der Rolle sn_sec_tisc.api_obs_read_access erstellt wurden.
      Intervall Legen Sie das Zeitintervall in Sekunden fest, um die Daten von TISC abzurufen.
      Ablaufzeitraum (in Tagen) Option zum Festlegen des Ablaufzeitraums in Tagen.
      Hinweis:
      Der Ablauf des Beispiels ist auf 30 Tage festgelegt. Wenn beispielsweise Daten an einem bestimmten Datum abgerufen werden, kann ein Satz von 10.000 Datensätzen abgerufen werden. Diese Datensätze werden im KV-Speicher (Key-Value) in Splunkgespeichert. Ab dem Erfassungsdatum werden die Datensätze 30 Tage lang aufbewahrt. Am 31. Tag werden sie automatisch aus dem KV-Speicher gelöscht.
      Läuft nie ab Wählen Sie diese Option aus, wenn die erfassten Datensätze nicht ablaufen sollen.
      Filter Definieren Sie die Bedingungen, auf deren Grundlage importierte Daten gefiltert werden sollen.

      Um die Filterbedingungen festzulegen, können Sie die Kriterien basierend auf den -Feldern wie Bedrohungsbewertung, Konfidenzniveau und Typ definieren.

      Für einfache Filterbedingungen können Sie diese Filteroption verwenden. Wenn die Filterbedingungen jedoch komplexer sind und erweiterte Filterung erforderlich ist, können Sie JSON-Filter hinzufügen.
      • Die zulässigen Ganzzahloperatoren sind:

        "=", "!=", ">", "<", ">=", "<="

      • Die zulässigen Zeichenfolgenoperatoren sind:

        „=“, „!=", „IN“

      Nachfolgend finden Sie ein Beispiel für einen einfachen Filter:

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Mit JSON-basierten Filtern können Sie komplexere Bedingungen definieren. Der Status des JSON-Objekts muss aktiv sein.

      Aktivieren Sie das Kontrollkästchen JSON -Filter, um zu erweiterten Filtern zu wechseln, bei denen JSON zum Anwenden von Filterbedingungen verwendet werden kann.

      Beispiel für einen erweiterten Filter:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Hinweis:
      Konten sind standardmäßig aktiv, aber Eingaben sind standardmäßig inaktiv. Sie müssen sie aktivieren, um mit dem Importieren der Daten zu beginnen. Informationen zu möglichen Filtern finden Sie im Abschnitt „Observable_filters“ in Fügt der Anwendung Threat Intelligence Security Center (TISC) Quelldatensätze erkennbarer Elemente hinzu.
    9. Klicken Sie auf Hinzufügen, um die Eingaben hinzuzufügen.
    10. Klicken Sie auf Klonen oder kopieren, um das vorhandene Konto zu kopieren und ein neues zu erstellen.
      Stellen Sie sicher, dass die Eingabe vor dem Klonen deaktiviert ist, um zu vermeiden, dass beim Importieren von Daten mit denselben Kriterien doppelte Einträge erstellt werden.
    11. Sobald die Daten abgerufen wurden, werden die folgenden Informationen abgerufen und zusammen mit den aus TISC abgerufenen Datensätzen im KV-Speicher in Splunk gespeichert:
      Feld Beschreibung
      Bedrohungsbewertung Die Punktzahl, die die einem Datensatz zugeordnete Bedrohungsstufe angibt.
      Vertrauen Gibt das Konfidenzniveau an, das der Genauigkeit der Bedrohungsbewertung zugeordnet ist.
      Ablaufzeitraum Die Dauer, für die der Datensatz in der Anwendung gültig ist, bevor er abläuft.
      Bedrohungsstufe Gibt den Schweregrad der Bedrohung an.
      Reputation Gibt die Reputation der beteiligten Entität an.
      Aktualisiert von Stellt Informationen darüber bereit, wer den Datensatz zuletzt aktualisiert hat.
      Updatezeit Gibt den Zeitstempel der letzten Aktualisierung des Datensatzes an.
      Erstellt um Gibt die Datensatzerstellungszeit an.
      Days_til_expiry Gibt die Anzahl der Tage an, nach der der Datensatz aus dem KV-Speicher gelöscht wird.
      Source_reported_score Die Punktzahl der gemeldeten Quelle von TISC.
      Sys_id Sys-ID des Datensatzes, der über TISC kommt.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad des erkennbaren Elements an.
      Wert Wert des Datensatzes. Zum Beispiel IP, Hash usw.

      Diese Felder sind zusammen mit allen anderen, die durch Ihre Kriterien definiert wurden, in Splunk verfügbar und können über die Registerkarte „Suchen“ angezeigt, durchsucht und analysiert werden.