Mapear alertas para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 11 min. de leitura

    • Durante a etapa de mapeamento de campo de evento, você mapeia campos de evento individuais de alertas acionados ou dados de eventos importados para campos em um incidente de segurança Now Platform Security Incident Response (SIR).

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A grade de mapeamento pré-configurada dos campos de incidente de segurança padrão pode ser editada. A codificação de cores dos campos de evento ajuda a monitorar os valores de campo que você já mapeou. Esta etapa ajuda a visualizar como suas edições afetam os campos no incidente de segurança.

    Mapeie até cinco alertas da coluna Ingestão de amostra de alerta à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente de SIR à direita.

    Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no incidente de segurança SIR.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Para um perfil com um alerta programado, abaixo de Ingestão de amostra de alarme, selecione o alerta no Nome do alerta e clique em Buscar dados de amostra para extrair a instância mais recente de um alerta disparado do console Splunk Enterprise.

      Os alertas são exibidos como guias. Você pode ingerir até cinco dos alertas mais recentes.

      A extração de eventos de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Nota:
      Um campo de mapeamento adicional, Splunk Alert Name, é adicionado pela integração para permitir o rastreamento de um evento para a regra de alerta de origem em Splunk. Isso pode ser útil em cenários em que vários Splunk alertas são combinados em um único perfil.

      Quando um único campo contém vários valores, esses valores são analisados e mapeados para entradas de campo individuais na seção de mapeamento de campo de incidente SIR. Por exemplo, os endereços IP de origem, nomes de ativos ou URLs podem ter várias entradas de campo observável ou vários ICs, que são analisados e mapeados para entradas de campo individuais na seção de mapeamento de campo de incidente SIR.

      Na figura a seguir, os pares de valores de nome de campo para o alerta ingerido ou o evento de amostra importado são exibidos no lado esquerdo deste formulário após a conclusão da extração. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.

      Buscar dados de amostra e valores de alerta ingeridos realçados.
    3. Para perfis de alerta programados, prossiga para a etapa cinco para mapear os valores.
    4. Como alternativa, para um perfil de um tipo de evento que você deseja exportar do console Splunk Enterprise, siga estas etapas para carregar dados de anexo na instância Now Platform®.
      1. Se ainda não estiver conectado, faça login no console do Splunk Enterprise.
      2. Navegue até a guia Pesquisar e insira um nome para uma pesquisa que tenha os dados de evento que você deseja exportar.

        Por exemplo, malware é um termo de pesquisa usado para todos os eventos de malware que você pode encaminhar com o fluxo de trabalho desta integração.

      3. Expanda o evento e, na coluna Campo, selecione os campos que você deseja importar.

        Esses campos são os pares de campo-valor que são exportados e exibidos na página Mapeamento em sua instância Now Platform®.

      4. No console Splunk Enterprise, no canto superior direito da página Pesquisar, clique no ícone Exportar.
      5. Na lista do campo Formato na caixa de diálogo exibida, clique em Formato XML.
      6. Opcional: Insira um novo nome de arquivo.
      7. Clique em Exportar.
        O arquivo foi baixado para sua instância Now Platform®.
      8. Se a página Mapeamento ainda não estiver exibida na sua instância Now Platform®, clique em Mapeamento na barra de andamento.
      9. Na coluna Ingestão de amostra de alerta, clique em Carregar dados de anexo.
        Botão Carregar dados do anexo realçado.
      10. Na caixa de diálogo exibida, clique em Escolher arquivos, navegue até o arquivo .xml que você exportou e clique em Abrir.
        Os pares de valores dos campos que você exportou para o evento são exibidos no lado esquerdo do formulário de mapeamento.

        Na figura a seguir, os pares de dados de um alerta programado ingerido são exibidos no lado esquerdo deste formulário. Os pares de valores para eventos importados também são exibidos neste lado do formulário. Esses valores são os valores de campo que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente de Sir do formulário.

    5. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
    6. Arraste o nome do campo, por exemplo, categoriae solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.
      Arrastar e soltar para valores mostrados pela seta.

      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, a categoria é mapeada para o campo de categoria no incidente de segurança. No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo à direita. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

      Para ajudá-lo a garantir que nenhum evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Os campos em azul claro à esquerda indicam que um campo ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de alerta de entrada a mais de um campo em um incidente de segurança.

      Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento porque, em determinados casos, os campos de evento de alerta só podem ser atribuídos uma vez. Por exemplo, você só pode atribuir valores a campos como Descrição resumida uma vez. No entanto, você pode atribuir campos de lista, como Anotação de trabalho, várias vezes adicionando linhas adicionais à grade de mapeamento.

      Campo de categoria e valor no incidente de segurança realçado.
    7. Para adicionar campos ao mapeamento padrão do incidente de segurança no lado direito do formulário, siga estas etapas.
      1. À direita do formulário na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de mais.
        Adicionar campos.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.

        Na lista expandida do novo campo, alguns campos estão sombreados. Na figura a seguir, a categoria tem um plano de fundo cinza porque foi mapeada no incidente de segurança. Semelhante à codificação de cores para campos de alerta no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear o mapeamento.

        Campo de local na lista de seleção do novo campo.
        Nota:
        Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista na qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não está exibido na lista, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID de alerta desejado no campo Expressão de entrada.
        Com o recurso de arrastar, mapeie-o ao lado do novo campo.
    8. Continue mapeando adicionando ou removendo campos e adicionando valores ao mapa.
      A figura a seguir é um exemplo de uma grade de mapeamento editada. No campo inferior à direita, o campo Anotações de trabalho é adicionado e tem mais de um valor. Os valores são separados por espaços e sinais de pontuação (Category:${category} | IP de destino:78.146.73.180).
      Anotações de trabalho com vários valores realçados.

      Na visualização, esses valores são exibidos nas Anotações de trabalho no incidente de segurança. Como o valor é para um campo que você adicionou à grade e há vários valores mapeados para o campo Anotações de trabalho, os valores são exibidos conforme inseridos. Neste exemplo, os espaços e sinais de pontuação que você inseriu no campo são exibidos na seção Itens relacionados como uma anotação de trabalho na visualização do incidente de segurança.

      A imagem a seguir é um exemplo de como os valores na imagem anterior são exibidos no incidente de segurança.

      Valor do campo Anotação de trabalho exibido no incidente de segurança.

      Condições de filtragem de geração de incidente

    9. Opcional: Depois de concluir as etapas anteriores de mapeamento em nível de campo, você pode usar os mesmos valores de campos no construtor de Condições de filtro para definir critérios adicionais que um alerta de entrada deve satisfazer para criar um incidente de segurança SIR.
      Para definir as condições de filtragem, siga estas etapas.
      1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.

        O Construtor de condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

        As opções nas listas do primeiro campo no construtor de Condições de filtro correspondem aos campos que são exibidos na seção Ingestão de amostra de alerta para o alerta que você ingeriu. Esses campos são dinâmicos e mudam dependendo do alerta Splunk que você ingere ou do evento que você encaminha manualmente. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores do alerta ou evento Splunk Enterprise. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao console Splunk Enterprise e revisar seus alertas e eventos para as palavras-chave.

        Construtor de condições de filtro.
      2. Usando as listas e os campos do construtor de condições, defina filtros para a primeira linha.
      3. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
        Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
      4. Opcional: Na segunda linha, defina uma segunda condição de filtro.

        A imagem a seguir é um exemplo com duas condições que devem ser atendidas antes que os incidentes de segurança sejam criados.

        Construtor de condições de filtro.

        Você definiu as condições de acionamento para que os incidentes de segurança sejam criados somente quando ambas as condições de filtragem inseridas forem correspondidas.

        Esse tipo de filtragem ajuda a isolar eventos de segurança e limita o número de incidentes de segurança que você cria. Se critérios de filtragem adicionais forem definidos, somente os alertas necessários serão ingeridos sem a necessidade de alterar a consulta Splunk ou a configuração do alerta acionado.

        Alertas de agregação para evitar incidentes duplicados

    10. Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de campo de incidente adicionais para que os alertas de entrada sejam agregados a um incidente de segurança aberto.
      Para definir esses critérios, siga estas etapas.
      1. Role até a seção Critérios de agregação de alertas no formulário e marque a caixa de seleção Condições agregadas para habilitar essa opção.

        As colunas Valores correspondentes do campo de incidente são exibidas. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.

        slushbucket de critérios de agregação.
      2. Na lista Disponível, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes em seu Now Platform e mova-os para a lista Selecionada.

        Todos os valores de campo selecionados devem ser correspondidos para anexar este alerta de entrada a um incidente de segurança existente. Se você preferir revisar os valores de campo em incidentes de segurança a serem usados para esses critérios, navegue até Incidentes > Mostrar todos os incidentes.

        Se um novo alerta corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o alerta será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os alertas agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os alertas agregados em um incidente de segurança são exibidos na lista relacionada Splunk de eventos para tarefas. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que os alertas são adicionados aos incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.

        Lista relacionada de eventos do Splunk às tarefas realçada.
      3. Opcional: Para registrar uma anotação de trabalho para um novo alerta adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção.
        A anotação de trabalho registra que um novo alerta foi adicionado junto com um link para os detalhes do alerta.
      Você mapeou com sucesso valores de um alerta ou evento Splunk para campos em um incidente de segurança SIR. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem. Você também anexou alertas ou eventos a incidentes de segurança SIR existentes.
    11. Opcional: Abra o editor de script e continue editando.

      Para obter mais informações sobre o editor de scripts, consulte Use o editor de script para formatar valores de alerta para a integração Splunk Enterprise Event Ingestion.

    12. Escolha um para continuar com a configuração do perfil.
      OpçãoDescrição
         
      Continuar O formulário Mapeamento é exibido.

      Avisualização está selecionada na barra de andamento. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR.
      Atualizar Seus dados são salvos e a lista Splunk de Perfis de eventos é exibida.
      Anterior O formulário Seleção de alertas é exibido.
      Excluir Exclua este perfil de evento e a lista Splunk de Perfis de Evento será exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os valores que você mapeou no incidente de segurança.