Configurer les Splunk paramètres de sécurité d’entreprise

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez les paramètres de sécurité d’entreprise Splunk (ES) pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tous > Intégration Splunk ES > Paramètres Splunk ES.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres Splunk ES
      Champ Description
      Appliquez une limite au nombre d’événements notables qui peuvent être regroupés en un seul incident. Option permettant d’appliquer une limite au nombre d’événements notables que vous souhaitez regrouper en un seul incident.

      Par défaut, la valeur est définie sur 100.
      Appliquez une limite au nombre d’incidents de sécurité qui peuvent être créés dans un délai de 24 heures. Option permettant d’appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés sur une période de 24 heures.

      Par défaut, la valeur est définie sur 1000.
      Appliquer une limite au nombre de valeurs à analyser dans chaque champ reçu de Splunk. Option permettant d’appliquer une limite au nombre de valeurs que vous souhaitez analyser pour chaque champ reçu de Splunk.

      Par défaut, la valeur est définie sur 1000.
      Nombre de règles de corrélation à extraire à partir de Splunk. Option permettant de définir le nombre de règles de corrélation à extraire à partir de Splunk.

      Par défaut, la valeur est définie sur 500.
      Paramètre de durée de vie de la Splunk tâche de recherche en secondes. Option permettant de définir le paramètre Time-to-Live pour la Splunk recherche au format de secondes.

      Par défaut, la valeur est définie sur 600.
      Nombre de types notables à mettre en lot dans une seule recherche. Option permettant de définir le nombre total de types notables que vous souhaitez regrouper en une seule recherche.

      Par défaut, la valeur est définie sur 20.
      Nombre de jours pendant lesquels conserver les métadonnées de la Splunk tâche de recherche ServiceNow Option permettant de définir le nombre de jours pendant lesquels vous souhaitez conserver les métadonnées des tâches de recherche Splunk dans ServiceNow.

      Par défaut, la valeur est définie sur 30.
      Caractère de délimitation pour diviser les valeurs dans les mappages de champs. Option permettant de définir le caractère de délimitation pour diviser les valeurs dans les mappages de champs.

      Par défaut, la valeur est définie sur (,).
      Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements ( Splunk pour surmonter le délai d’indexation à partir de Splunk) Option permettant de définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements à partir de Splunk pour surmonter le délai d’indexation à partir de Splunk.

      Par défaut, la valeur est définie sur 30.
      Extraire les événements notables mis à jour Option permettant de récupérer les événements notables mis à jour.

      Par défaut, la valeur est définie sur Non.
      Activez ce paramètre pour mettre à jour les configurations sources existantes Splunk pour la prise en charge de l’authentification basée sur le jeton. Vous devez mettre à jour la configuration d’intégration avec les détails du jeton après l’activation de ce paramètre. Option permettant de mettre à jour la configuration source existante Splunk pour la prise en charge de l’authentification basée sur le jeton à partir d’une version existante.
      Remarque :
      Une fois la mise à niveau vers la nouvelle version, le champ Jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
    3. Cliquez sur Enregistrer.