Splunk Enterprise Security 設定の構成
Splunk Enterprise Security (ES) 設定を使用して、事前設定された構成とその値を要件に従って変更します。
始める前に
必要なロール:sn_si.ingestion_profile_admin
注:
sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。
手順
- 移動先 すべて > Splunk ES 統合 > Splunk ES 設定.
-
フォームの各フィールドに入力します。
表 : 1. Splunk ES の設定 フィールド 説明 単一のインシデントに集計できる注目イベント数の制限を強制します。 単一のインシデントに集計する注目イベント数の制限を強制するオプション。 デフォルト値は 100 に設定されています。
24 時間内に作成できるセキュリティインシデント数の制限を強制します。 24 時間内に作成できるセキュリティインシデント数の制限を強制するオプション。 デフォルト値は 1000 に設定されています。
Splunk から受信する各フィールドで解析する値の数の制限を強制します。 Splunk から受信する各フィールドで解析する値の数の制限を強制するオプション。 デフォルト値は 1000 に設定されています。
Splunk からプルする相関ルールの数 Splunk から取得する相関ルールの数を定義するオプション。 デフォルト値は 500 に設定されています。
Splunk 検索ジョブの存続時間パラメーター (秒) Splunk 検索の存続時間パラメーターを秒の形式で定義するオプション。 デフォルト値は 600 に設定されています。
1 回の検索で一括処理する注目タイプの数 1 回の検索で一括処理する注目タイプの合計数を定義するオプション。 デフォルト値は 20 に設定されています。
ServiceNow で Splunk 検索ジョブメタデータを保持する日数 ServiceNow で Splunk 検索ジョブメタデータを保持する日数を定義するオプション。 デフォルト値は 30 に設定されています。
フィールドマッピングで値を分割する区切り文字 フィールドマッピングで値を分割する区切り文字を定義するオプション。 デフォルト値は (,) に設定されています。
Splunk からイベントをフェッチする際に追加する重複時間 (分) (Splunk からのインデックス作成の遅延を解消するため) Splunk からのインデックス作成の遅延を解消するために、Splunk からイベントを取得する際に追加する重複時間 (分) を定義するオプション。 デフォルト値は 30 に設定されています。
更新された注目イベントをプル 更新された注目イベントを取得するオプション。 更新された注目イベントをフェッチするには、次のシステムプロパティを設定します。- sn_sec_splunkes.pull_updated
- True に設定します。
- デフォルト:True
- sn_sec_splunkes.fetch_new_updated_notables
- バージョン 8.0.x 以降の場合は True に設定します。
- 8.0.x より前のバージョンの場合は False に設定
デフォルト値は [いいえ] に設定されています。
トークンベースの認証をサポートする既存の Splunk ソース構成を更新するには、この設定をアクティブ化します。この設定を有効にしたら、トークンの詳細を使用して統合構成を更新する必要があります。 既存のバージョンからトークンベースの認証をサポートする既存の Splunk ソース構成を更新するオプション。 注:新しいバージョンにアップグレードすると、トークンフィールドは使用できなくなります。トークンベースの認証を取得するには、この設定を有効にし、その後、トークンの詳細を使用して統合構成を更新する必要があります。デフォルト値は [いいえ] に設定されています。
取り込み中にクローズされた注目をプルするには、チェックボックスをオンにします。 クローズ済みイベントを ServiceNow Splunk ES インスタンスにプルするオプション。オフにすると、アクティブなイベントのみがインスタンスにプルされます。 デフォルト値は [いいえ] に設定されています。
- sn_sec_splunkes.pull_updated
- [保存] を選択します。