Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Para perfis de ingestão de alertas automatizados, esta etapa é a etapa final da configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de alerta ou modificar a programação conforme necessário. Esta etapa permite filtrar a recuperação do alerta com base em um intervalo de datas.

    Antes de Iniciar

    Função necessária: função sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Depois de concluir todas as etapas na barra de andamento da configuração do perfil, conforme mostrado na figura a seguir, você concluiu a configuração dos perfis para encaminhamento manual de eventos. Não há programação disponível para eventos encaminhados manualmente do console Splunk Enterprise. Para perfis de ingestão de alertas automatizados, você escolhe se deseja incluir alertas históricos durante a etapa de Programação. Você também escolhe com que frequência pesquisará alertas futuros que correspondam à configuração do perfil de alerta.

    Figura 1. Barra de andamento
    Barra de andamento.

    Para perfis de ingestão de alertas automatizados, antes de o perfil ser ativado, você verifica e modifica a programação e a recuperação do alerta. Esta etapa é a etapa final do processo de configuração do perfil de evento para perfis de alerta programado.

    Configure esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de eventos Splunk é afetado pelos diferentes intervalos de pesquisa. Ao programar, talvez você prefira equilibrar a carga do sistema em relação à urgência do incidente. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração com base na urgência do incidente e na carga antecipada em seu sistema.

    No console Splunk Enterprise, você define um alerta a ser acionado com base em incrementos ou em um horário específico. Use esta configuração para ajudá-lo a configurar a programação na instância Now Platform para que os incrementos de tempo no console Splunk Enterprise sejam sincronizados com a programação configurada na instância Now Platform.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação.
    2. Escolha um para programar como e quando os alertas são extraídos do console Splunk Enterprise.
      OpçãoDescrição
      • Campo de alerta em andamento selecionado
      • Campo de recuperação única limpo
      		 Alerta em andamento

      Com base na configuração padrão, a instância Now Platform extrai do servidor Splunk Enterprise novos alertas a cada cinco minutos. Os incidentes de segurança serão criados se os alertas acionados forem encontrados e os critérios de filtragem forem correspondidos. Para equilibrar a ingestão de alertas em relação à carga do servidor e extrair os dados mais atuais, cinco minutos é a configuração que você pode preferir. No entanto, este valor pode ser modificado conforme necessário.
      • Campo de alerta em andamento limpo
      • Campo de recuperação única selecionado
      		 Recuperação única

      Use esta configuração se quiser que uma extração única para ingerir alertas com base em eventos históricos.

      Quando configurado, um perfil é usado uma vez para recuperar alertas acionados, incluindo alertas de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com o valor de data Desde, os alertas acionados são recuperados até a data atual.

      Depois que os alertas forem extraídos, esta configuração não recuperará alertas acionados para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os alertas encontrados para o intervalo inserido.

      Página de programação com o calendário exibido.

      Como exemplo de programação, se você tiver um alerta diário Splunk que é executado uma vez por dia às 4h no horário local, é possível configurar o perfil de alerta correspondente em sua instância Now Platform para ser executado às 4h05 no horário local para capturar o alerta imediatamente e cria um incidente de segurança. Insira 04 05 00 no campo Ingestão de alerta inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de alerta por 24 horas a partir da ingestão de alerta inicial. O tempo de ingestão do alerta inicial e o próximo tempo de ingestão do alerta são exibidos nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, marque a caixa de seleção Alerta contínuo para habilitar esta opção.
      2. No campo Incrementar (minutos), insira 1440 (24 horas).
      3. Clique na caixa de seleção Selecionar ingestão de alerta inicial para habilitar a edição dos campos Ingestão de alerta inicial e Próxima ingestão de alerta.
      4. No campo Ingestão de alerta inicial, insira 04 05 00.
        No campo Próxima ingestão de alerta (estimada), a hora da próxima ingestão de alerta é exibida.
    4. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com êxito a instalação e a configuração da integração. Este perfil está ativado e extrai alertas do console Splunk Enterprise com base na sua programação. Há um limite de 1.000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos são por alerta acionado. Os eventos subsequentes serão ignorados depois que os limites forem atingidos.