Splunk Enterprise Security 設定の構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • Splunk Enterprise Security (ES) 設定を使用して、事前設定された構成とその値を要件に従って変更します。

    始める前に

    必要なロール:admin

    手順

    1. 次のように移動する。 All (すべて) > Splunk ES 統合 > Splunk ES の設定.
    2. フォームの各フィールドに入力します。
      表 : 1. Splunk ES の設定
      フィールド 説明
      単一のインシデントに集計できる注目イベント数の制限を強制します。 単一のインシデントに集計する注目イベント数の制限を強制するオプション。

      デフォルト値は 100 に設定されています。
      24 時間内に作成できるセキュリティインシデント数の制限を強制します。 24 時間内に作成できるセキュリティインシデント数の制限を強制するオプション。

      デフォルト値は 1000 に設定されています。
      Splunk から受信する各フィールドで解析する値の数の制限を強制します。 Splunk から受信する各フィールドで解析する値の数の制限を強制するオプション。

      デフォルト値は 1000 に設定されています。
      Splunk からプルする相関ルールの数 Splunk から取得する相関ルールの数を定義するオプション。

      デフォルト値は 500 に設定されています。
      Splunk 検索ジョブの存続時間パラメーター (秒) Splunk 検索の存続時間パラメーターを秒の形式で定義するオプション。

      デフォルト値は 600 に設定されています。
      1 回の検索で一括処理する注目タイプの数 1 回の検索で一括処理する注目タイプの合計数を定義するオプション。

      デフォルト値は 20 に設定されています。
      ServiceNowSplunk 検索ジョブメタデータを保持する日数 ServiceNow で Splunk 検索ジョブメタデータを保持する日数を定義するオプション。

      デフォルト値は 30 に設定されています。
      フィールドマッピングで値を分割する区切り文字 フィールドマッピングで値を分割する区切り文字を定義するオプション。

      デフォルト値は (,) に設定されています。
      Splunk からイベントをフェッチする際に追加する重複時間 (分) (Splunk からのインデックス作成の遅延を解消するため) Splunk からのインデックス作成の遅延を解消するために、Splunk からイベントを取得する際に追加する重複時間 (分) を定義するオプション。

      デフォルト値は 30 に設定されています。
      更新された注目イベントをプル 更新された注目イベントを取得するオプション。

      デフォルト値は [いいえ] に設定されています。
      トークンベースの認証をサポートする既存の Splunk ソース構成を更新するには、この設定をアクティブ化します。この設定を有効にしたら、トークンの詳細を使用して統合構成を更新する必要があります。 既存のバージョンからトークンベースの認証をサポートする既存の Splunk ソース構成を更新するオプション。
      注:
      新しいバージョンにアップグレードすると、トークンフィールドは使用できなくなります。トークンベースの認証を取得するには、この設定を有効にし、その後、トークンの詳細を使用して統合構成を更新する必要があります。

      デフォルト値は [いいえ] に設定されています。
    3. [保存] をクリックします。