Definir Splunk configurações de segurança empresarial

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use as configurações Splunk Enterprise Security (ES) para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. Navegar até Todos > Splunk ES Integration > Configurações do Splunk ES.
    2. No formulário, preencha os campos.
      Tabela 1. Configurações do Splunk ES
      Campo Descrição
      Impor um limite ao número de eventos notáveis que podem ser agregados a um único incidente. Opção para impor um limite ao número de eventos notáveis que você deseja agregar a um único incidente.

      Por padrão, o valor é definido como 100.
      Impor um limite ao número de incidentes de segurança que podem ser criados em um período de 24 horas. Opção para impor um limite ao número de incidentes de segurança que podem ser criados em um período de 24 horas.

      Por padrão, o valor é definido como 1000.
      Impor um limite ao número de valores a serem analisados em cada campo recebido de Splunk. Opção para impor um limite ao número de valores que você deseja analisar para cada campo recebido de Splunk.

      Por padrão, o valor é definido como 1000.
      Número de regras de correlação a serem extraídas de Splunk. Opção para definir o número de regras de correlação a serem recuperadas de Splunk.

      Por padrão, o valor é definido como 500.
      O parâmetro de tempo de vida útil do trabalho de pesquisa Splunk em segundos. Opção para definir o parâmetro de tempo de vida para a pesquisa Splunk na forma de segundos.

      Por padrão, o valor é definido como 600.
      Número de tipos notáveis para lote em uma pesquisa. Opção para definir o número total de tipos notáveis que você deseja agrupar em uma única pesquisa.

      Por padrão, o valor é definido como 20.
      Número de dias para reter os metadados de trabalho de pesquisa [ Splunk em ServiceNow Opção para definir o número de dias que você deseja reter os metadados do trabalho de pesquisa do Splunk em ServiceNow.

      Por padrão, o valor é definido como 30.
      O caractere delimitador para dividir os valores em mapeamentos de campo. Opção para definir o caractere delimitador para dividir os valores em mapeamentos de campo.

      Por padrão, o valor é definido como (,).
      Número de minutos de sobreposição a serem adicionados ao buscar os eventos de Splunk (para superar o atraso de indexação do Splunk) Opção para definir o número de minutos de sobreposição a serem adicionados ao recuperar os eventos de Splunk para superar o atraso de indexação de Splunk.

      Por padrão, o valor é definido como 30.
      Extrair eventos notáveis atualizados Opção para recuperar eventos notáveis atualizados.

      Por padrão, o valor é definido como Não.
      Ative esta configuração para atualizar as configurações de origem Splunk existentes para suporte à autenticação baseada em token. Você deve atualizar a configuração de integração com detalhes do token depois que essa configuração for habilitada. Opção para atualizar a configuração de origem Splunk existente para suporte à autenticação baseada em token de uma versão existente.
      Nota:
      Depois de fazer upgrade para a nova versão, o campo de token ficará indisponível. Você deve habilitar esta configuração para obter a autenticação baseada em token e, em seguida, atualizar a configuração de integração com detalhes do token.

      Por padrão, o valor é definido como Não.
    3. Clique em Salvar.