Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion

Rversion finale: Xanadu

Mis à jour 1 août 2024

4 minutes de lecture

Pour les profils d’ingestion d’alertes automatisées, cette étape est la dernière étape de la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération d’alerte ou modifier la planification selon vos besoins. Cette étape vous permet de filtrer votre récupération d’alerte en fonction d’une plage de dates.

Avant de commencer

Rôle requis : rôle sn_si.admin

Pourquoi et quand exécuter cette tâche

Une fois que vous avez terminé toutes les étapes de la barre de progression de la configuration des profils, comme illustré dans la figure suivante, vous avez terminé la configuration des profils pour le transfert manuel des événements. Aucune planification n’est disponible pour les événements transférés manuellement à partir de votre Splunk Enterprise console. Pour les profils destinés à l’ingestion automatisée d’alertes, vous choisissez d’ingérer des alertes historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous procéderez à une interrogation pour les alertes futures qui correspondent à la configuration du profil d’alerte.

Pour les profils d’ingestion d’alertes automatisées, avant d’activer le profil, vous vérifiez et modifiez la planification et la récupération des alertes. Cette étape est la dernière étape du processus de configuration du profil d’événement pour les profils d’alerte planifiée.

Configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion Splunk d’événements sont impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être équilibrer la charge du système par rapport à l’urgence de l’incident. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

Dans la Splunk Enterprise console, vous définissez une alerte à déclencher en fonction d’incréments ou d’une heure spécifique. Utilisez ce paramètre pour vous aider à configurer la planification dans votre Now Platform instance afin que les incréments de temps de votre Splunk Enterprise console se synchronisent avec la planification que vous avez configurée dans votre Now Platform instance.

Procédure

Si la page Planification de la barre de progression n’est pas affichée, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les alertes sont extraites de la Splunk Enterprise console.

Option	Description
Champ d’alerte en cours sélectionné Champ de récupération ponctuelle effacé	Alerte en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du serveur pour de Splunk Enterprise nouvelles alertes toutes les cinq minutes. Les incidents de sécurité sont créés si des alertes déclenchées sont détectées et si les critères de filtrage sont respectés. Pour équilibrer l’ingestion d’alertes par rapport à la charge du serveur et pour extraire les données les plus récentes, cinq minutes est le paramètre que vous préférez. Toutefois, cette valeur peut être modifiée si nécessaire.
Champ d’alerte en cours effacé Champ de récupération ponctuelle sélectionné	Récupération ponctuelle Utilisez cette configuration si vous souhaitez une extraction unique pour ingérer des alertes basées sur des événements historiques. Lorsqu’il est configuré, un profil est utilisé une fois pour récupérer les alertes déclenchées, y compris les alertes d’événements historiques basés sur une plage de dates. À droite du champ Depuis date , cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début , les alertes déclenchées sont récupérées jusqu’à la date actuelle. Une fois les alertes extraites, ce paramètre ne récupérera pas les alertes déclenchées pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les alertes trouvées pour la plage que vous saisissez.

Option

Description

Champ d’alerte en cours sélectionné
Champ de récupération ponctuelle effacé

Alerte en cours

En fonction du paramètre par défaut, l’instance Now Platform extrait du serveur pour de Splunk Enterprise nouvelles alertes toutes les cinq minutes. Les incidents de sécurité sont créés si des alertes déclenchées sont détectées et si les critères de filtrage sont respectés. Pour équilibrer l’ingestion d’alertes par rapport à la charge du serveur et pour extraire les données les plus récentes, cinq minutes est le paramètre que vous préférez. Toutefois, cette valeur peut être modifiée si nécessaire.

Champ d’alerte en cours effacé
Champ de récupération ponctuelle sélectionné

Récupération ponctuelle

Utilisez cette configuration si vous souhaitez une extraction unique pour ingérer des alertes basées sur des événements historiques.

Lorsqu’il est configuré, un profil est utilisé une fois pour récupérer les alertes déclenchées, y compris les alertes d’événements historiques basés sur une plage de dates. À droite du champ Depuis date , cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début , les alertes déclenchées sont récupérées jusqu’à la date actuelle.

Une fois les alertes extraites, ce paramètre ne récupérera pas les alertes déclenchées pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les alertes trouvées pour la plage que vous saisissez.

Page de planification avec calendrier affiché.

Par exemple, pour la planification, si vous avez une alerte quotidienne Splunk qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’alerte correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement l’alerte et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion d’alerte initiale . Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’alerte pendant 24 heures à compter de l’ingestion d’alerte initiale. L’heure d’ingestion d’alerte initiale et l’heure d’ingestion d’alerte suivante sont affichées dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit.
1. Une fois la page Planification affichée, cochez la case Alerte en cours pour activer cette option.
2. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures).
3. Cochez la case Sélectionner l’ingestion d’alerte initiale pour activer la modification des champs d’ingestion d’alerte initiale et d’ingestion d’alerte suivante.
4. Dans le champ Ingestion d’alerte initiale, saisissez 04 05 00.
  Le champ Ingestion d’alerte suivante (estimée), l’heure de l’ingestion d’alerte suivante s’affiche.
Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Ce profil est activé et extrait des alertes de la Splunk Enterprise console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité qui peuvent être créés dans un délai de 24 heures. Jusqu’à 100 événements sont par alerte déclenchée. Les événements suivants seront ignorés une fois les limites atteintes.