Ordnen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration zu

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 10 Minuten Lesedauer

    • Während des Schritts der Event-Feldzuordnung ordnen Sie einzelne Event-Felder aus ausgelösten Warnungen oder importierten Event-Daten Feldern in einem Now Platform Security Incident Response (SIR) Security Incident zu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das vorkonfigurierte Zuordnungsraster der standardmäßigen Security Incident-Felder kann bearbeitet werden. Die Farbcodierung der Event-Felder hilft Ihnen, die Feldwerte zu überwachen, die Sie bereits zugeordnet haben. Dieser Schritt hilft Ihnen zu visualisieren, wie sich Ihre Änderungen auf die Felder des Security Incident auswirken.

    Ordnen Sie bis zu fünf Warnungen aus der Spalte „Erfassung von Warnungsbeispiel“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie Splunk Felder zuordnen, die nicht im Standardzuordnungsraster des Security Incident SIR angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Wählen Sie für ein Profil mit einer geplanten Warnung unter „Erfassung von Alarmbeispielen “ die Warnung im Warnungsnamen aus, und klicken Sie auf Beispieldaten abrufen, um die letzte Instanz einer ausgelösten Warnung aus der Konsole Splunk Enterprise abzurufen.

      Die Warnungen werden als Registerkarten angezeigt. Sie können bis zu fünf der letzten Warnungen erfassen.

      Der Abruf für Beispiel-Events kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      Hinweis:
      Das zusätzliche Zuordnungsfeld Splunk-Warnungsname wird durch die Integration hinzugefügt, um die Nachverfolgung eines Events zur Quellwarnungsregel in Splunkzu ermöglichen. Dies kann in Szenarien hilfreich sein, in denen mehrere Splunk Warnungen in einem einzigen Profil kombiniert werden.

      Wenn ein einzelnes Feld mehrere Werte enthält, werden diese Werte analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet. Beispielsweise können die Quell-IP-Adressen, Asset-Namen oder URLs mehrere erkennbare Feldeinträge oder mehrere CIs aufweisen, die analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet werden.

      In der folgenden Abbildung werden die Feldname-Wert-Paare für die erfasste Warnung oder das importierte Beispiel-Event nach Abschluss des Abrufs auf der linken Seite dieses Formulars angezeigt. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.

      Beispieldaten abrufen und erfasste Warnungswerte hervorgehoben.
    3. Fahren Sie für geplante Warnungsprofile mit Schritt 5 fort, um die Werte zuzuordnen.
    4. Alternativ führen Sie für ein Profil für einen Event-Typ, den Sie aus Ihrer Splunk Enterprise -Konsole exportieren möchten, diese Schritte aus, um Anhangdaten in Ihre Now Platform® -Instanz hochzuladen.
      1. Wenn Sie noch nicht angemeldet sind, melden Sie sich bei Ihrer Splunk Enterprise -Konsole an.
      2. Navigieren Sie zur Registerkarte Suche, und geben Sie einen Namen für eine Suche ein, die die Event-Daten enthält, die Sie exportieren möchten.

        Zum Beispiel ist Malware ein Suchbegriff, der für alle Malware-Ereignisse verwendet wird, die Sie mit dem Workflow dieser Integration weiterleiten können.

      3. Erweitern Sie das Event, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Seite „Zuordnung“ in Ihrer Instanz Now Platform® angezeigt werden.

      4. Klicken Sie in der Konsole Splunk Enterprise oben rechts auf der Suchseite auf das Symbol Exportieren.
      5. Klicken Sie in der Liste für das Feld Format im angezeigten Dialogfeld auf XML-Format.
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.
        Die Datei wird in Ihre Instanz Now Platform® heruntergeladen.
      8. Wenn die Zuordnungsseite in Ihrer Instanz Now Platform® noch nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
      9. Klicken Sie in der Spalte „Erfassung von Warnungsbeispiel“ auf Anhangdaten laden.
        Hervorgehobene Schaltfläche „Anhangdaten laden“.
      10. Klicken Sie im angezeigten Dialogfeld auf Dateien auswählen, navigieren Sie zur XML -Datei, die Sie exportiert haben, und klicken Sie auf Öffnen.
        Die Wertepaare für die Felder, die Sie für das Event exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.

        In der folgenden Abbildung werden die Datenpaare für eine erfasste geplante Warnung auf der linken Seite dieses Formulars angezeigt. Wertepaare für importierte Events werden auch auf dieser Seite des Formulars angezeigt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.

    5. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken und halten Sie einen blauen Feldnamen auf der linken Seite des Formulars.
    6. Ziehen Sie den Feldnamen, z. B. Kategorie, in ein Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident.
      Drag-and-Drop für Werte, die durch einen Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Kategorie dem Kategoriefeld im Security Incident zugeordnet. Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert während des Vorschauschritts dem Security Incident korrekt zugeordnet wurde.

      Um sicherzustellen, dass keine Events im Zuordnungsprozess übersehen oder dupliziert werden, sind die Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Feld ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie ein eingehendes Warnungsfeld mehr als einem Feld in einem Security Incident zuordnen.

      Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da Warnungsereignisfelder in bestimmten Fällen nur einmal zugewiesen werden können. Beispielsweise können Sie Feldern wie Kurzbeschreibung nur einmal Werte zuweisen. Sie können Listenfelder wie Arbeitsnotiz jedoch mehrmals zuweisen, indem Sie dem Zuordnungsraster zusätzliche Zeilen hinzufügen.

      Kategoriefeld und Wert für Security Incident hervorgehoben.
    7. Führen Sie die folgenden Schritte aus, um der Standardzuordnung des Security Incident auf der rechten Seite des Formulars Felder hinzuzufügen.
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ am unteren Rand des Rasters auf das Plus-Symbol.
        Fügen Sie Felder hinzu.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert dargestellt. In der folgenden Abbildung hat die Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für Warnungsfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite, die Zuordnung nachzuverfolgen.

        Standortfeld in Auswahlliste für neues Feld.
        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident eine Liste enthält, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Warnungs-ID im Feld Eingabeausdruck auszuwählen.
        Ordnen Sie es mit der Drag-Funktion neben Ihrem neuen Feld zu.
    8. Setzen Sie die Zuordnung fort, indem Sie Felder hinzufügen oder entfernen und der Zuordnung Werte hinzufügen.
      Die folgende Abbildung zeigt ein Beispiel für ein bearbeitetes Zuordnungsraster. Im unteren Feld auf der rechten Seite wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Die Werte werden durch Leerzeichen und Satzzeichen getrennt (Kategorie:${category} | Ziel-IP:78.146.73.180).
      Arbeitsnotizen mit mehreren hervorgehobenen Werten.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Raster hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Satzzeichen, die Sie in das Feld eingegeben haben, im Abschnitt „Zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt ein Beispiel dafür, wie die Werte in der vorherigen Abbildung im Security Incident angezeigt werden.

      Feldwert „Arbeitsnotiz“, der in einem Security Incident angezeigt wird.

      Filterbedingungen für die Incident-Generierung

    9. Wahlweise: Nachdem Sie die vorherigen Schritte der Zuordnung auf Feldebene abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Filterbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen SIR Security Incident zu erstellen.
      Führen Sie die folgenden Schritte aus, um Filterbedingungen festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Warnungsbeispielerfassung“ für die erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich abhängig von der Warnung Splunk, die Sie erfassen, oder dem Event, das Sie manuell weiterleiten. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten der Warnung oder des Ereignisses Splunk Enterprise übereinstimmen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu Ihrer Splunk Enterprise -Konsole zurück und überprüfen Ihre Warnungen und Events auf die Stichwörter.

        Generator für Filterbedingungen.
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND oder ODER.
        Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.

        Generator für Filterbedingungen.

        Sie haben die Auslösebedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Filterung hilft Ihnen, Sicherheits-Events zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt werden, werden nur erforderliche Warnungen erfasst, ohne dass die Abfrage Splunk oder die Konfiguration der ausgelösten Warnung geändert werden muss.

        Zusammenfassung von Warnungen zur Verhinderung doppelter Incidents

    10. Wahlweise: Um zu vermeiden, dass potenziell doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Incident-Feldkriterien, damit eingehende Warnungen zu einem offenen Security Incident zusammengefasst werden.
      Führen Sie die folgenden Schritte aus, um diese Kriterien festzulegen.
      1. Scrollen Sie im Formular zum Abschnitt „Warnungszusammenfassungskriterien“, und aktivieren Sie das Kontrollkästchen Bedingungen zusammenfassen, um diese Option zu aktivieren.

        Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle benutzerdefinierten Felder enthalten, die im Security Incident SIR konfiguriert wurden.

        Zusammenfassungskriterien Slushbucket.
      2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Now Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt.

        Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Wenn Sie Feldwerte für Security Incidents überprüfen möchten, um sie für diese Kriterien zu verwenden, navigieren Sie zu Incidents > Alle Incidents anzeigen.

        Wenn eine neue Warnung mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der an Security Incidents arbeitet, können Sie alle hinzugefügten zusammengefassten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Warnungen zu einem Security Incident werden in der zugehörigen Liste Splunk Event zu Aufgaben angezeigt. Diese Liste enthält die zugehörigen Zeitstempel und zusammengefassten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen zu vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

        Hervorgehobene zugehörige Liste „Splunk-Event zu Aufgaben“.
      3. Wahlweise: Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie diese Option.
        Die Arbeitsnotiz protokolliert, dass eine neue Warnung hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails.
      Sie haben Werte aus einer Splunk -Warnung oder einem []-Ereignis erfolgreich Feldern in einem SIR -Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien zu begrenzen. Sie haben auch Warnungen oder Events an vorhandene SIR Security Incidents angehängt.
    11. Wahlweise: Öffnen Sie den Skript-Editor, und setzen Sie die Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Warnungswerte für die Splunk Enterprise Event Ingestion -Integration zu formatieren.

    12. Wählen Sie eines aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Zuordnungsformular wird angezeigt.

      Vorschau wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR Security Incident zugeordnet haben.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste Splunk Ereignisprofile wird angezeigt.
      Zurück Das Warnungsauswahlformular wird angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste Splunk Event-Profile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.