Copiar um perfil de evento para a integração de ingestão de eventos Splunk Enterprise Security

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Copie um perfil existente e suas configurações associadas em vez de criar novos perfis. Se você estiver criando vários perfis e quiser reutilizar as configurações de um perfil existente, talvez prefira copiar os perfis de alarme para economizar tempo.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Se você copiar um perfil, o nome do perfil será modificado inicialmente para evitar perfis duplicados. Além disso, o perfil copiado é desativado (falso) para que não seja ativado acidentalmente antes de concluir a configuração. Copie perfis e use mapas existentes para incidentes de segurança que você já visualizou e verificou.

    Procedimento

    1. Navegar até Todos > Splunk Integration > Perfil de eventos do Splunk.
    2. Na lista Splunk Perfis de eventos exibida, selecione um perfil que você deseja copiar e, na lista de seleção Ações nas linhas selecionadas, clique em Copiar.

      Copiar perfil de evento: 1
      O perfil é copiado e exibido na lista. A cópia tem todas as configurações do perfil original, incluindo a configuração de mapeamento e programação. O nome do perfil contém cópia. Embora o perfil original esteja ativado (verdadeiro), a cópia está desabilitada neste ponto (falso). Você pode preferir editar valores do perfil copiado e renomeá-lo para que as definições de configuração se apliquem ao novo perfil conforme necessário.

      Novo perfil realçado

      Você copiou com sucesso as configurações de um perfil existente para um novo perfil.

    O que Fazer Depois

    Você será solicitado a ativar (habilitar) o novo perfil depois de concluir a etapa de configuração.