Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die folgenden Schritte zum Speichern von Suchen in der Konsole Splunk Enterprise werden für Benutzer mit der Administratorrolle Splunk Enterprise bereitgestellt.

    Vorbereitungen

    Wenn Sie bereits gespeicherte Suchen und ausgelöste Warnungen in Ihrer Splunk Enterprise -Konsole haben, müssen Sie diese Suchen für diese Integration nicht ändern.

    Durch die Integration des Produkts Now Platform® Security Operations mit dem Ereignisbenachrichtigungsservice Splunk werden Ereignis- und Warnungsinformationen aus Splunkabgerufen.

    Bevor Sie Warnungen in Ihrer Security Operations -Umgebung erfassen, konfigurieren Sie Suchvorgänge in Ihrer Splunk Enterprise -Konsole, um automatisch die relevanten Sicherheitsereignisse in Splunk Enterprise abzurufen, die Sie als Warnungen speichern möchten.

    Wenn Sie keine gespeicherten Suchen und keine ausgelösten Warnungen für Benachrichtigungen bei wichtigen Sicherheits-Ereignisse in der Splunk Enterprise -Konsole eingerichtet haben, führen Sie die folgenden Schritte aus, um Suchen zu speichern.

    Erforderliche Rolle: Splunk Enterprise Administrator

    Prozedur

    1. Melden Sie sich bei Ihrem Splunk Enterprise-Konto an.
    2. Klicken Sie auf die Registerkarte Suchen.
    3. Geben Sie im angezeigten Feld Neue Suche einen Wert für die Warnung ein, z. B. Malware.
    4. Um die Ereignisse im Zusammenhang mit Ihrer Suche anzuzeigen, klicken Sie rechts neben dem Feld Neue Suche auf das Suchsymbol, oder drücken Sie die Eingabetaste.
      Die Suchergebnisse mit Ereignissen werden angezeigt.
    5. Um die Suche als Warnung zu speichern, erweitern Sie oben rechts auf der Seite die Auswahlliste Speichern unter, und wählen Sie Warnungaus.
    6. Füllen Sie die Felder im angezeigten Formular aus.
      FeldBeschreibung
      Titel Beschreibender Name für die Warnung, z. B. Malware-Ereignisse. Nachdem Sie diese Suche als Warnung gespeichert haben, werden Ereignisse aus einer ausgelösten Warnung im Service Splunk mithilfe dieser Suchdaten automatisch zu ausgelösten Warnungen verarbeitet. Dieser Titel der ausgelösten Warnung wird in dem Ereignisprofil verwendet, das Sie in Ihrer Instanz Now Platform erstellen, um zu identifizieren, welche Ereignisse in Ihrer Instanz für die Erstellung von Security Incidents Now Platform® Security Incident Response SIR erfasst werden.
      (Optional) Beschreibung Text, der Ihnen hilft, diese Warnung von anderen Warnungen zu unterscheiden.
      Warntyp Wählen Sie in den angezeigten Feldern Geplant aus, um anhand eines Zeitplans nach dieser Warnung zu suchen, oder Echtzeit, um kontinuierlich nach dieser Warnung zu suchen.
      Ergebnisse auslösen Sie können eine der folgenden Filterbedingungen festlegen:
      • Anzahl der Ergebnisse ist größer als oder kleiner als
      • Einmalig (einmal) für jedes Ergebnis
      Auslöseraktionen Fügen Sie Aktionen hinzu, um diese Warnung auszulösen. Erweitern Sie die Auswahlliste Hinzufügen, und klicken Sie auf Zu ausgelösten Warnungen hinzufügen, damit dies im Formular angezeigt wird. Möglicherweise bevorzugen Sie diese Einstellung für die Warnungen, die Sie in Ihrer Instanz Now Platform erfassen.
    7. Klicken Sie auf Speichern.
      Ihre Warnung wird gespeichert und auf der Suchseite auf der Registerkarte Warnungen angezeigt.
      Der Service Splunk ruft die Ereignisse ab, indem er die Kriterien erfüllt, die Sie in der Warnung konfiguriert haben. Die Ereignisse werden zwischengespeichert, und Sie fordern diese Ereignisse dann von Ihren Profilen an, die Sie in Ihrer Instanz Now Platform eingerichtet haben. Da der Erfassungsabruf von Ereignissen aus einem Cache im Service Splunk erfolgt, wirkt sich diese Erfassung von Ihrem Now Platform nicht auf die Leistung Ihrer Plattform Splunk aus.

    Nächste Maßnahme

    Sie haben das erforderliche Setup für die Integration in Ihrer Splunk Enterprise -Konsole erfolgreich abgeschlossen. Wenn Sie die Anwendung für die Integration noch nicht aus ServiceNow Storeinstalliert haben, besteht der nächste Schritt darin, die Anwendung für die Integration zu installieren und zu konfigurieren.