Criar e nomear um perfil de evento para a integração Splunk Enterprise Event Ingestion
Crie um perfil de evento em sua instância Now Platform e determine quais alertas Splunk criam incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Antes que Now Platform Security Incident Response (SIR) incidentes de segurança sejam criados a partir de alertas ingeridos, os valores de campos de alertas são exibidos em um layout de um incidente de segurança Now Platform para que você possa visualizar como o incidente de segurança real será exibido.
De uma perspectiva de integração usando as APIs disponíveis, os eventos Splunk são encaminhados individual e manualmente como eventos discretos ou são combinados em alertas acionados que são ingeridos automaticamente no ambiente Operações de segurança da sua instância Now Platform. Os fluxos de trabalho de integração ingerem diferentes tipos de alertas, como tentativas de acesso não autorizado e malware, por exemplo.
Esses alertas são ingeridos com base nos perfis que você configura no ambiente Operações de segurança da sua instância. Todos os alertas são ingeridos inicialmente para um tipo de alerta configurado em um perfil. Os alertas ingeridos podem ser filtrados para especificar quais alertas criam incidentes de segurança. Por exemplo, você pode preferir filtros que criam incidentes de segurança somente para alertas identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de alertas ingeridos, os valores de campos individuais nos alertas filtrados são mapeados para campos correspondentes em um layout de incidente de segurança para uma visualização.
Os nomes de alerta para perfis de evento em sua instância Now Platform devem ser exclusivos e só podem ser mapeados para um perfil de evento ativo por vez. Estes são os nomes de alertas acionados que você configurou no serviço Splunk como parte da configuração da integração. Para obter mais informações sobre como configurar alertas no ambiente Splunk Enterprise, consulte Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion.
O Now Platform ingere alertas específicos usando os fluxos de trabalho da integração. Todos os alertas que atendem aos critérios de seleção no console empresarial Splunk são ingeridos inicialmente na instância Now Platform.
Um perfil em seu Now Platform é um encapsulamento de um alerta [ Splunk no console empresarial Splunk. Há um relacionamento de um para um entre alertas que são ingeridos com um perfil e conexões com o console do Enterprise Splunk : um alerta para uma conexão. Há uma única conexão https para um cabeçalho de pesquisa no console Splunk Enterprise. Vários alertas podem vir de um único cabeçalho de pesquisa. Se você se conectar a vários cabeçalhos de pesquisa no console Splunk Enterprise, deverá criar vários perfis na instância Now Platform para ingerir esses alertas.
Etapas para criar perfis para ingestão de alertas programada
Procedimento
-
Preencha os campos.
Um exemplo de um formulário preenchido segue a tabela.
Campo Descrição Nome Nome exclusivo do perfil. Se os nomes não forem exclusivos, os nomes de perfil duplicados não serão salvos. Os nomes de perfil em sua instância Now Platform devem ser exclusivos.
Ativo A caixa de seleção está desmarcada por padrão. A opção Ativa está desabilitada e não está disponível para seleção até que você conclua todas as etapas de configuração do perfil e clique em Concluir.
Tipo Selecione o tipo de perfil na lista de seleção. - Ingestão de alertas programada - Este tipo de perfil oferece suporte a alertas acionados que são ingeridos em uma programação que você configura. Preencha os campos e clique em Continuar para prosseguir para a etapa de Seleção de alerta do perfil.
- Encaminhamento manual de eventos - Este tipo de perfil oferece suporte a eventos individuais que são encaminhados manualmente do console Splunk Enterprise sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
Tipo de Origem Splunk servidor ou extremidade da pesquisa que você configurou para ingerir alertas. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de alerta que você planeja ingerir para o perfil. É necessário inserir um valor. Ordem O padrão é 100. Deixe esta configuração no padrão. Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. A figura a seguir é um exemplo de um formulário preenchido para um alerta programado.
-
Para criar um perfil que ofereça suporte ao encaminhamento manual de eventos, siga estas etapas.
Para eventos que você encaminha sob demanda do console empresarial Splunk, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos encaminhados manualmente não são programados no perfil de eventos.
-
No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
Consulte as imagens e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.
Figura 1. Criar nova opção de mapeamento de campo Tabela 1. Criar nova opção de mapeamento de campo Opção ou campo Descrição Criar nova opção de mapeamento de campo Novo mapeamento de campo para seu evento. Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
Perfil padrão Perfil de encaminhamento de eventos padrão para todos os eventos Splunk. O padrão é limpo (desabilitado).
Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este é o único perfil ativo e usado para cada mapeamento de campo de evento Splunk para um incidente de segurança SIR. Um perfil se ajusta a todos os eventos encaminhados.
O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Tipo de origem Splunk servidor.
Este campo não estará disponível se a opção de perfil padrão estiver habilitada.
Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base no tipo de origem Splunk.
Se você quiser gerenciar eventos de log do firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes tipos de origem Splunk, você poderá criar perfis de evento diferentes com base nos tipos de origem para atender a esse requisito.
Ordem O padrão é 100. Deixe esta configuração no padrão. Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.
Para um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.
Figura 2. Selecione o perfil existente para a opção de mapeamento de campo Tabela 2. Selecione o perfil existente para a opção de mapeamento de campo Opção ou campo Descrição Selecionar perfil existente para mapeamento de campo Um mapeamento de campo existente para o seu evento. O campo Copiar do perfil é exibido.
Siga estas etapas para copiar um mapeamento de campo existente para este perfil.
- À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa.
- Na lista Splunk Perfis de eventos exibida, clique no nome do perfil que tem o mapa que você deseja copiar.
O nome do perfil é exibido no campo Copiar do perfil.
Perfil padrão Perfil de encaminhamento de eventos padrão para todos os eventos Splunk. O padrão é limpo (desabilitado).
Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é o único que está ativo. Ele é usado para cada mapeamento de campo de evento Splunk para um incidente de segurança SIR. Um perfil se ajusta a todos os eventos encaminhados.
O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Tipo de origem Splunk servidor.
Este campo não estará disponível se a opção de perfil padrão estiver selecionada.
Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base no tipo de origem Splunk.
Se você quiser gerenciar eventos de log do firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes tipos de origem Splunk, você poderá criar perfis de evento diferentes com base nos tipos de origem para atender a esse requisito.
Ordem O padrão é 100. Deixe esta configuração no padrão. Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. Na parte inferior do formulário para selecionar um mapeamento existente para o seu perfil, clique em Concluir para concluir a configuração do perfil.
-
No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
O que Fazer Depois
Para perfis de alertas programados, a próxima etapa é selecionar alertas para ingestão automática.