Configurer les Splunk paramètres de sécurité d’entreprise

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez les paramètres de sécurité d’entreprise Splunk (ES) pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à la Tout > Intégration de Splunk ES > Paramètres Splunk ES.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres Splunk ES
      Champ Description
      Appliquez une limite au nombre d’événements notables qui peuvent être regroupés en un seul incident. Option permettant d’appliquer une limite au nombre de vos événements notables que vous souhaitez regrouper en un seul incident.

      Par défaut, cette valeur est définie sur 100.
      Appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans un délai de 24 heures. Option permettant d’appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures.

      Par défaut, cette valeur est définie sur 1 000.
      Appliquer une limite au nombre de valeurs à analyser dans chaque champ reçu de Splunk. Option permettant d’appliquer une limite au nombre de valeurs que vous souhaitez analyser pour chaque champ reçu de Splunk.

      Par défaut, cette valeur est définie sur 1 000.
      Nombre de règles de corrélation à extraire Splunk. Option permettant de définir le nombre de règles de corrélation à extraire de .Splunk

      Par défaut, cette valeur est définie sur 500.
      Paramètre de durée de vie de la Splunk tâche de recherche, en secondes. Option permettant de définir le paramètre Time-to-Live pour la Splunk recherche sous la forme de secondes.

      Par défaut, cette valeur est définie sur 600.
      Nombre de types notables à regrouper en une seule recherche. Option permettant de définir le nombre total de types notables que vous souhaitez regrouper en une seule recherche.

      Par défaut, cette valeur est définie sur 20.
      Nombre de jours de conservation des métadonnées de la Splunk tâche de recherche dans ServiceNow Option permettant de définir le nombre de jours pendant lesquels vous souhaitez conserver les métadonnées de la tâche de recherche Splunk dans ServiceNow.

      Par défaut, cette valeur est définie sur 30.
      Caractère de délimitation pour diviser les valeurs dans les mappages de champs. Option permettant de définir le caractère de délimitation pour fractionner les valeurs dans les mappages de champs.

      Par défaut, la valeur est définie sur (,).
      Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements Splunk (pour surmonter le délai d’indexation de Splunk) Option permettant de définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements Splunk pour surmonter le délai d’indexation à partir de Splunk.

      Par défaut, cette valeur est définie sur 30.
      Transmettre par pull les événements notables mis à jour Option permettant de récupérer les événements notables mis à jour.

      Par défaut, cette valeur est définie sur Non.
      Activez ce paramètre pour mettre à jour les configurations sources existantes Splunk pour la prise en charge de l’authentification basée sur le jeton. Vous devez mettre à jour la configuration d’intégration avec les détails du jeton après l’activation de ce paramètre. Option permettant de mettre à jour la configuration source existante Splunk vers la prise en charge de l’authentification basée sur le jeton à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ Jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, cette valeur est définie sur Non.
    3. Cliquez sur Enregistrer.