Copier un profil d’événement pour l’intégration Splunk Enterprise Event Ingestion
Copiez un profil existant et ses paramètres associés au lieu de créer de nouveaux profils. Si vous créez plusieurs profils et que vous souhaitez réutiliser les paramètres d’un profil existant, vous préférerez peut-être copier les profils d’alarme pour gagner du temps.
Avant de commencer
Rôle requis : sn_si.ingestion_profile_admin
Pourquoi et quand exécuter cette tâche
La copie d’un profil existant et de ses paramètres associés est facultative.
Si vous copiez un profil, le nom du profil est initialement modifié pour éviter les doublons. De plus, le profil copié est désactivé (faux) il n’est donc pas activé accidentellement avant de terminer la configuration. Copiez les profils et utilisez les cartes existantes pour les incidents de sécurité que vous avez déjà prévisualisés et vérifiés.
Procédure
-
Dans la liste Profils d’événements Splunk qui s’affiche, sélectionnez un profil que vous souhaitez copier et, dans la liste de choix Actions sur les lignes sélectionnées, sélectionnez Copier.
Le profil est copié et affiché dans la liste. La copie contient tous les paramètres du profil d’origine, y compris la configuration du mappage et de la planification. Le nom du profil contient la copie. Bien que le profil d’origine soit activé (vrai), la copie est désactivée à ce stade (faux). Vous préférez peut-être modifier les valeurs du profil copié et le renommer afin que les paramètres de configuration s’appliquent au nouveau profil selon vos besoins.
Vous avez copié avec succès les paramètres d’un profil existant vers un nouveau profil.
Que faire ensuite
Vous êtes invité à activer le nouveau profil une fois les étapes de configuration terminées.