Criar e nomear um perfil de evento para a integração de ingestão de eventos Splunk Enterprise Security

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

51 min. de leitura

Você cria um perfil de evento em sua instância Now Platform e determina quais eventos notáveis Splunk criam incidentes de segurança.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Antes que Now Platform Resposta a incidentes de segurança (SIR) incidentes de segurança sejam criados a partir de eventos notáveis ingeridos, os valores de campos de alertas são exibidos em um layout de um incidente de segurança Now Platform para que você possa visualizar como o incidente de segurança real será criado.

De uma perspectiva de integração usando as APIs disponíveis, Splunk ES eventos notáveis são encaminhados individual e manualmente como eventos discretos notáveis ou são ingeridos automaticamente no ambiente Operações de segurança da sua instância Now Platform, dependendo do tipo de perfil definido.

Os fluxos de trabalho de integração ingerem diferentes tipos de eventos notáveis, como tentativas de acesso não autorizado e malware, por exemplo. Esses eventos notáveis são ingeridos com base nos perfis que você configura no ambiente Operações de segurança da sua instância.

Todos os notáveis são ingeridos inicialmente para um tipo de pesquisa de correlação configurado em um perfil. Os notáveis ingeridos podem ser filtrados para especificar quais notáveis criam incidentes de segurança. Por exemplo, você pode preferir filtros que criam incidentes de segurança somente para eventos notáveis que são identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de eventos notáveis ingeridos, os valores de campos individuais nos eventos notáveis são mapeados para os campos correspondentes em um layout do incidente de segurança para uma visualização.

Procedimento

Os nomes dos perfis de evento em sua instância Now Platform devem ser exclusivos e só podem ser mapeados para um perfil de evento ativo por vez.
O Now Platform ingere notáveis específicos usando os fluxos de trabalho da integração.
Todos os eventos notáveis que atendem aos critérios de seleção no console Splunk ES são ingeridos inicialmente na instância Now Platform.
Um perfil no seu Now Platform é um encapsulamento de um evento notável no seu console Splunk ES.
Há um relacionamento de um para um entre eventos notáveis que são ingeridos com um perfil e conexões com o console Splunk ES : um tipo de evento notável para uma conexão.
Para criar perfis para eventos notáveis programados, consulte Configurar um perfil para ingestão de eventos notáveis programados.
Para criar perfis para encaminhamento manual de eventos, consulte Configurar um perfil para encaminhamento manual de eventos.

Configurar um perfil para ingestão de eventos notáveis programados

Dependendo do perfil definido, Splunk ES eventos notáveis são ingeridos automaticamente no ambiente Operações de segurança da sua instância Now Platform.

A tabela a seguir mostra a lista de tarefas que você precisa seguir para configurar um perfil para ingestão programada de eventos notáveis:

Tabela 1. Etapas para configurar um perfil para ingestão de eventos notáveis programados
Tarefa	Seção
Criar um perfil de evento	Veja Criar perfis para ingestão de eventos notáveis programados
Selecionar eventos notáveis com base no nome da pesquisa de correlação	Veja Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ES integração de ingestão de eventos
Mapear campos de eventos notáveis	Veja Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security
Criar mapeamentos personalizados	Veja Criar mapeamentos para Splunk ES revisão de incidentes de eventos notáveis e detalhes do evento de contribuição (ingestão programada)
Visualizar o incidente de segurança	Veja Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security
Programar e recuperar eventos notáveis novos e atualizados	Veja Programar e recuperar eventos notáveis novos e atualizados para a integração de ingestão de eventos Splunk Enterprise Security
Automatizar atualizações e fechamento de eventos notáveis com base no status do incidente SIR	Veja Automatizar atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Criar perfis para ingestão de eventos notáveis programados

Você pode configurar um perfil para que eventos notáveis sejam ingeridos automaticamente.

Antes de Iniciar

Função necessária: sn_si.admin

Procedimento

Para criar um perfil de evento para um evento notável ou tipo de regra de correlação em sua instância Now Platform, navegue até Splunk Integration > Perfil de eventos do Splunk.
Se o formulário Splunk de perfil de evento não for exibido, clique em Nome na barra de andamento.
Clique em Nova.

Preencha os campos.

Um exemplo de um formulário preenchido segue a tabela.

Tabela 2.
Campo	Descrição
Nome	Nome exclusivo do perfil. Se os nomes não forem exclusivos, um erro será exibido e nomes de perfil duplicados não serão salvos. Os nomes de perfil em sua instância Now Platform devem ser exclusivos.
Ativo	A caixa de seleção está desmarcada e desabilitada por padrão. Você deve concluir todas as seções no perfil antes de torná-lo ativo.
Tipo	Selecione o tipo de perfil na lista de seleção. Ingestão de eventos programados: este tipo de perfil oferece suporte a eventos notáveis que são ingeridos em uma programação configurada. Preencha os campos. Encaminhamento manual de eventos: este tipo de perfil oferece suporte a eventos notáveis que são encaminhados manualmente do seu Splunk Enterprise Security console de análise de incidentes sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
Origem	Splunk servidor ou extremidade da pesquisa que você configurou para ingerir eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão ingeridos para o perfil. É necessário inserir um valor.
Ordem	O padrão é 100. Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto adicional para ajudá-lo a distinguir este perfil de outros perfis.

A figura a seguir é um exemplo de um formulário preenchido para um tipo de evento notável programado.

Para um perfil com um evento notável programado, escolha uma opção para continuar com a configuração do perfil.

Opção	Descrição
Continuar	Salve o perfil e avance para a etapa de Seleção de eventos.
Atualizar	Salve atualizações neste perfil e retorne à lista Splunk de Perfis de eventos.
Salvar	Salve este perfil e permaneça na página.
Excluir	Exclua este registro de perfil e retorne à lista Splunk de Perfis de eventos.

O que Fazer Depois

A próxima etapa é selecionar eventos notáveis para ingestão automática.

Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ES integração de ingestão de eventos

Depois de criar um perfil para uma ingestão de tipo de evento notável programado, selecione um nome de regra de correlação Splunk Enterprise Security para este perfil para o qual você deseja mapear eventos notáveis correspondentes para um incidente de segurança Now Platform Resposta a incidentes de segurança.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Exiba as regras de correlação disponíveis em sua instância Now Platform para que você saiba os tipos de evento notáveis para os quais deseja ingerir e criar incidentes de segurança. Selecione uma regra de correlação. Você pode selecionar um ou mais eventos notáveis na lista neste formulário.

Procedimento

Se a página Seleção de eventos notáveis não for exibida, selecione-a na barra de andamento para exibi-la.

Na lista Regra de correlação, escolha uma das seguintes opções para selecionar uma única regra de correlação ou várias regras de correlação e movê-las e movê-las para da coluna Disponível para a coluna Selecionada.

A lista de regras de correlação neste formulário corresponde à lista de regras de correlação no seu Splunk ES console de Revisão de incidentes. Até 500 regras de correlação são exibidas neste formulário. Se houver mais de 500 regras de correlação listadas em sua Splunk ES, somente os primeiros 500 eventos notáveis serão exibidos neste formulário em sua instância Now Platform.


Opção	Descrição
No campo de pesquisa Lista de regras de correlação, insira o texto.	A coluna abaixo do campo de pesquisa é filtrada com as opções disponíveis com base no texto inserido. Selecione uma regra de correlação e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado.
Na lista Regra de correlação, clique duas vezes em uma Regra de correlação.	A coluna Selecionada é preenchida com sua seleção.
Na Lista de Regras de Correlação, clique uma vez em uma Regra de Correlação.	A regra de correlação está selecionada. Com as teclas de seta, mova a regra de correlação selecionada de Disponível para Selecionada.

Perfil de evento do Splunk ES: selecionar evento notável

Escolha uma opção para continuar.

Opção	Descrição
Continue ou, como alternativa, clique em Mapeamento na barra de andamento	O formulário Mapeamento é exibido. O mapeamento é selecionado na barra de andamento. A próxima etapa é mapear campos de eventos notáveis para um SIR incidente de segurança.
Atualizar	Seus dados são salvos e a lista Perfis de eventos notáveis do Splunk é exibida.
Anterior	A etapa Nome é exibida.
Excluir	Exclua este perfil de evento e a lista Perfis de eventos notáveis do Splunk será exibida.

O que Fazer Depois

Você selecionou com sucesso uma regra de correlação para um perfil programado Splunk Enterprise Security. A próxima etapa é mapear valores de eventos notáveis para campos em um incidente de segurança.

Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security

Depois de identificar a regra de correlação específica e o tipo de evento notável para o perfil, a próxima etapa é mapear campos de eventos notáveis individuais para os campos em um incidente de segurança Now Platform Resposta a incidentes de segurança (SIR).

Visão geral

Para a etapa de mapeamento, você pode ingerir eventos notáveis de amostra para a regra de correlação selecionada ou exportar dados de eventos notáveis para eventos notáveis encaminhados manualmente. O processo de mapeamento de eventos é idêntico, independentemente do tipo de perfil que você está criando.

As imagens a seguir são exemplos das configurações de mapeamento padrão fornecidas para cada tipo de perfil de evento. Você pode personalizar os campos que preenchem o incidente de segurança. Durante esta fase de mapeamento, você pode garantir que todos os dados de campo de evento relevantes relevantes sejam mapeados para o local apropriado no formulário de incidente SIR e, em seguida, visualizar o incidente SIR na seção de visualização.

Se várias correlações forem usadas, os eventos notáveis poderão ser obtidos selecionando o evento necessário. Use o Nome do Alerta para escolher seu alerta se você tiver configurado vários alertas para ingestão.

Depois de clicar para buscar dados, os Splunk nomes de campo de evento notáveis e os valores correspondentes são preenchidos no lado esquerdo do formulário. Estes são os Splunk campos de eventos notáveis que estão disponíveis para mapear para os SIR campos de incidentes de segurança. Alguns campos podem ser mapeados várias vezes para os campos de incidente de segurança SIR.

Você pode preferir revisar alguns eventos notáveis de amostra no console Splunk para ingerir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada como Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos notáveis de amostra de Splunk Enterprise Security para ajudar no processo de mapeamento de campo de evento notável. Há opções para ingerir os cinco eventos notáveis mais recentes para a regra de correlação selecionada ou ingerir até cinco eventos notáveis específicos com base nos IDs de eventos notáveis.

Abaixo está um resumo das etapas necessárias para mapear eventos notáveis:

Ingestão de dados de amostra de eventos notáveis programados: para dados de amostra que são usados para perfis de eventos notáveis ingeridos automaticamente, os campos de eventos notáveis disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento depois que os dados de amostra são recuperados. As guias são exibidas para você exibir os valores de um ID de evento específico específico que você extraiu. Verifique se todos os campos críticos da seção de ingestão de amostra de evento notável à esquerda do formulário estão mapeados para ServiceNow campos de incidente de segurança à direita do formulário.
Mapeamento de campo: edite a configuração de mapeamento arrastando campos de evento notáveis do lado esquerdo e soltando-os na seção de mapeamento de incidentes ServiceNow SIR à direita. O mapeamento à direita associa o campo de evento notável de entrada a um campo de incidente de segurança de saída.
Experiência de mapeamento: personalize a grade de mapeamento adicionando ou removendo campos usando o ícone + na parte inferior da seção de mapeamento de campo de incidente SIR. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida (os campos mapeados estão esmaecidos e os campos azuis não estão mapeados).
Condições de geração de incidentes: quando a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais eventos notáveis devem criar incidentes de segurança e quais eventos notáveis devem ser filtrados, por exemplo, eventos notáveis de baixa prioridade. Isso é feito na seção Condições de geração de incidentes localizada abaixo da seção Mapeamento de eventos notáveis.
Critérios de agregação de eventos: defina critérios adicionais de agregação de eventos que agregam um evento notável de entrada a um incidente de segurança SIR existente, em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de eventos notáveis de segurança relacionados em um único incidente de segurança.
Conversão de campo de formato: em determinados casos, os valores de campo de evento nos eventos notáveis Splunk do Enterprise podem não ser convertidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria de Alerta de Malware e Infecção de Vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos para uma Atividade de Código Mal-intencionado comum no campo Categoria no incidente de segurança SIR usando o Funcionalidade Formatar tradução de campo.

A próxima etapa é ingerir eventos notáveis e mapear valores para os campos de incidente de segurança SIR.

Criar mapeamentos para Splunk ES revisão de incidentes de eventos notáveis e detalhes do evento de contribuição (ingestão programada)

Durante a etapa de mapeamento de campo de eventos notáveis, você mapeia campos de eventos individuais de eventos notáveis para campos em um incidente de segurança Now Platform Resposta a incidentes de segurança (SIR).

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

A grade de mapeamento pode ser personalizada para o tipo de evento notável selecionado na seleção da regra de correlação. A codificação de cores dos campos de evento ajuda a rastrear os valores de evento que você já mapeou, pois eles ficam esmaecidos e todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de evento importante restante permanece não mapeada.

Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de eventos notáveis à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR à direita.

Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que são normalmente campos importantes a serem preenchidos no formulário de resposta a incidentes de segurança são exibidos. No entanto, esses campos podem ser removidos e quaisquer campos adicionais podem ser exibidos usando os botões + e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no incidente de segurança SIR.

Procedimento

Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
Para um perfil com uma ingestão programada, abaixo de Ingestão de amostra de eventos notáveis, clique em Buscar dados de amostra para extrair os eventos notáveis de amostra mais recentes do console Splunk Enterprise para a regra de correlação selecionada.

Nota:
Você pode extrair os eventos notáveis de amostra mais recentes ou fornecer os IDs de evento notáveis exclusivos para os eventos notáveis específicos que deseja usar para sua experiência de mapeamento de eventos notáveis.

Os campos de eventos notáveis e resultados de valores são exibidos como guias individuais. Você pode ingerir até cinco eventos notáveis.

A extração de eventos notáveis de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

Na figura a seguir, os pares de valores de nome de campo do evento notável ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário após a conclusão da extração de ingestão. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.
Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
Arraste o nome do campo, por exemplo, src_categorye solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, src_category é mapeado para o campo de categoria no incidente de segurança. No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo à direita. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

Para ajudá-lo a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Os campos em azul claro à esquerda indicam que um campo de evento notável ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo notável de entrada a mais de um campo em um incidente de segurança.

Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento.
Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
1. À direita do formulário na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de mais.
  Um novo campo é exibido.
2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.
  
  Na lista expandida do novo campo, alguns campos estão sombreados. Na figura a seguir, a categoria tem um plano de fundo cinza porque foi mapeada no incidente de segurança. Semelhante à codificação de cores para os campos de eventos notáveis no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidentes SIR já mapeados.
  
  Nota:
  Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista na qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não está exibido na lista, o campo não será preenchido no incidente de segurança.
3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID do evento desejado no campo Expressão de entrada.
Continue mapeando adicionando ou removendo valores de campo para o mapeamento.
A figura a seguir é um exemplo de um mapeamento editado. No campo inferior à direita, o campo Anotações de trabalho é adicionado e tem mais de um valor. Observe que, para o campo de cadeia de caracteres de texto longo, você pode expandir o campo de mapeamento para ver a cadeia de caracteres completa e redimensionar conforme necessário, puxando o canto inferior direito do campo, conforme indicado na captura de tela abaixo com o campo Anotações de trabalho adicionado:

Aviso:
Observe que na seção Mapeamento de campo de incidente SIR, o URL e o número da porta mencionados no campo Expressão de entrada são apenas um exemplo e não o URL ou o número da porta fornecidos prontos para uso.

Na visualização, esses valores são exibidos nas Anotações de trabalho no incidente de segurança. Como o valor é para um campo que você adicionou à seção de mapeamento e há vários valores mapeados para o campo Anotações de trabalho, os valores são exibidos conforme inseridos. Neste exemplo, os espaços e sinais de pontuação que você inseriu no campo são exibidos na seção Itens relacionados como uma anotação de trabalho na visualização do incidente de segurança.

A imagem a seguir é um exemplo de como os valores na imagem anterior são exibidos no incidente de segurança.
Opcional: Abra o editor de script e continue editando.
Para obter mais informações sobre o editor de scripts, consulte Use o editor de script para formatar valores de alerta para a integração Splunk Enterprise Event Ingestion.

Incluindo hiperlinks para revisão de incidentes de eventos notáveis e eventos de contribuição

Além de campos de mapeamento, o sn_si.admin pode mapear um valor de cadeia de caracteres que permite ao analista de segurança que está trabalhando em um incidente vincular de volta à revisão de incidentes de eventos notáveis no console Splunk Enterprise Security, bem como aos eventos de contribuição subjacentes que fazem parte da pesquisa de detalhamento.

Os seguintes valores de cadeia de caracteres contêm o nome do servidor Splunk Enterprise Security e as variáveis apropriadas que podem ser usadas para hipervincular esses detalhes:
- Hiperlink de revisão de incidentes de eventos notáveis: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earlist=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id} $
  em que splunkes2.secops-eng.com:8000 é a origem do servidor Splunk e info_min_time e event_id são valores de campo de evento extraídos dos eventos notáveis.
- Eventos de contribuição de eventos notáveis (pesquisa de detalhamento) Hiperlink: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
  em que splunkes2.secops-eng.com:8000 é a origem do servidor Splunk e "dirdown_search" é um valor de campo de evento extraído dos eventos notáveis.
A imagem a seguir mostra a URL de revisão de incidentes de eventos notáveis mapeada para o campo de anotação de trabalho e o hiperlink de eventos contribuintes de eventos notáveis (pesquisa de detalhamento) mapeada para um campo personalizado chamado URL de incidentes de eventos notáveis:

A imagem a seguir é a visualização de incidentes de SIR com o hiperlink de revisão de incidentes de eventos notáveis e a URL de eventos de contribuição:

Condições de filtragem de geração de incidente
Opcional: Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um evento notável de entrada deve satisfazer para criar um incidente de segurança SIR.
Para definir condições de geração de incidentes, siga estas etapas.
1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.
  
  O Construtor de condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.
  
  As opções nas listas do primeiro campo no construtor de Condições de filtro correspondem aos campos que são exibidos na seção Ingestão de amostra de evento notável para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo dos Splunk eventos notáveis que você ingere ou do evento selecionado para as amostras de eventos notáveis encaminhadas manualmente. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores do evento notável Splunk Enterprise Security. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao console Splunk Enterprise Security e revisar seus eventos notáveis para as palavras-chave.
2. Usando as listas e os campos do construtor de condições, defina filtros para a primeira linha.
3. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
  Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
4. Opcional: Na segunda linha, defina uma segunda condição de filtro.
  
  A imagem a seguir é um exemplo com duas condições que devem ser atendidas antes que os incidentes de segurança sejam criados.
  
  Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando ambas as condições de filtragem inseridas forem correspondidas.
  
  Esse tipo de filtragem de condição de geração de incidente ajuda a restringir os eventos de segurança e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou os filtros em Splunk. Se critérios de filtragem adicionais forem definidos, somente eventos notáveis que correspondam a todos os critérios serão mapeados para incidentes.
  
  Nota:
  Se algum dos nomes de campo de evento tiver caracteres especiais, como aspas (“), hifens ('), sublinhados (-), arroba (@) ou e comercial (&), esses caracteres poderão precisar ser substituídos para fins de tradução de mapeamento e, possivelmente, crie um nome de evento duplicado. O mapeamento pode ser feito corretamente, mas um sufixo numérico é anexado para diferenciar campos com nomes de evento duplicados. Por exemplo, se o primeiro campo de evento for alerts.alert e o segundo campo de evento for alerts@alerts, esses campos não poderão ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para alerts@alert(1).
Critérios de agregação de eventos para lidar com notáveis semelhantes e evitar incidentes duplicados
Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos notáveis de entrada sejam agregados a um incidente de segurança aberto.
Para definir os critérios, siga estas etapas abaixo.
1. Role até a seção Critérios de agregação de eventos no formulário e marque a caixa de seleção Condições agregadas para habilitar essa opção.
  
  Os campos de Incidente com valores correspondentes são exibidos. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.
2. No campo de entrada de seleção múltipla, selecione os valores de campo que você deseja corresponder em incidentes de segurança existentes em seu Now Platform.
3. Use Adicionar novos critérios para selecionar várias condições de correspondência de campo.
  Todos os valores de campo selecionados no campo de entrada de seleção múltipla são correspondidos para critérios de agregação usando a condição E. Clique em Adicionar novos critérios para selecionar várias condições de correspondência de campo em que a agregação ocorre se qualquer uma das condições de campo de seleção múltipla definidas for atendida usando a condição OR.
  
  Se um novo evento notável corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo evento notável será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os eventos notáveis agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos notáveis agregados em um incidente de segurança são exibidos na lista relacionada Splunk de eventos para tarefas. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que esses eventos notáveis estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.
4. Opcional: Para registrar uma anotação de trabalho para um novo evento notável que foi adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção.
  A anotação de trabalho registra que um novo notável foi adicionado junto com um link para os detalhes do alerta e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho em sua seção de mapeamento.
Você mapeou com sucesso valores de um evento notável Splunk para campos em um incidente de segurança SIR. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidente. Você também anexou eventos notáveis a incidentes de segurança SIR existentes quando os valores do campo de evento correspondem aos critérios de agregação configurados.

Escolha um para continuar com a configuração do perfil.

Opção	Descrição

Continuar	O formulário Mapeamento é exibido. A visualização está selecionada na barra de andamento. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR.
Atualizar	Seus dados são salvos e a lista Perfis de eventos do Splunk é exibida.
Anterior	O formulário Seleção de eventos notáveis é exibido.
Excluir	Exclua este perfil de evento e a lista Perfis de eventos do Splunk será exibida.

O que Fazer Depois

A próxima etapa é visualizar os valores que você mapeou no incidente de segurança.

Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security

Depois de concluir a etapa de mapeamento, visualize os valores que você mapeou em um Now Platform® Resposta a incidentes de segurança (SIR) incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos notáveis que deseja exibir no incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou para preencher quaisquer dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. As visualizações de SIR incidentes de segurança não são salvas como incidentes reais no produto SIR.

Procedimento

Se a visualização do incidente de segurança não for exibida, clique em Visualizar na barra de andamento.
Na lista de seleção Nome do evento, selecione um item se vários eventos foram usados.
Selecione IDs de evento na lista de seleção IDs de evento notáveis de amostra.
Na lista de seleção IDs de eventos notáveis de amostra, selecione um item.

O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro deste incidente de segurança não é salvo.
Revise o mapeamento de campo dos valores de evento notáveis no incidente de segurança.

A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um valor de campo do evento notável não tem um valor aceitável para o campo de referência no formulário de incidente SIR. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para o campo Item de configuração no ServiceNow® banco de dados de gestão de clientes (CMDB). Como resultado, este valor de campo mapeado não aparecerá no formulário de incidente de segurança SIR sem modificações adicionais.
Para resolver este erro, clique em Mapeamento na barra de andamento.
Edite o mapeamento para corrigir valores incorretos ou preencha os dados ausentes.
Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um incidente de segurança SIR depois que todas as mensagens de erro são resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados e esses campos são preenchidos com os valores dos pares de valores extraídos das Splunk Enterprise Security amostras de eventos notáveis. O primeiro campo Anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotação de trabalho adicionais que têm valores foram adicionados à seção de mapeamento.

Depois de corrigir todos os erros e verificar se os campos estão como você deseja, escolha uma opção para continuar.

Opção	Descrição
Continuar	O formulário Programação é exibido para perfis com eventos notáveis programados. A programação é selecionada na barra de andamento.
Encerrar	Para perfis configurados para encaminhamento manual de eventos, clique em Concluir. Não há etapa de programação para perfis com dados de evento que são exportados sob demanda diretamente do console Splunk Enterprise Security.
Atualizar	Seus dados são salvos e você retorna à lista Splunk de Perfis de eventos.
Anterior	A etapa Mapeamento na barra de andamento é exibida.
Excluir	Exclua este perfil de evento e a lista Splunk de Perfis de Evento será exibida.

O que Fazer Depois

Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campos no incidente de segurança, a próxima etapa é Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion.

Programar e recuperar eventos notáveis novos e atualizados para a integração de ingestão de eventos Splunk Enterprise Security

Para perfis de ingestão de eventos notáveis automatizados, esta etapa é necessária na configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de eventos notáveis ou modificar a programação conforme necessário. Esta etapa também permite que você recupere eventos notáveis históricos usando um intervalo de datas.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Para perfis de ingestão automatizada de eventos notáveis, você escolhe se deseja ingerir eventos históricos notáveis durante a etapa de Programação. Você também escolhe com que frequência pesquisará novos eventos notáveis futuros e eventos notáveis atualizados que correspondam à configuração do perfil de alerta.

Para perfis de ingestão de eventos notáveis automatizados, antes que o perfil seja ativado, você verifica e modifica a programação e a recuperação de alertas. Esta é uma etapa necessária para todos os processos de configuração de perfil de evento para perfis de alertas programados.

Você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de eventos Splunk pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no servidor Splunk Enterprise Security com o desejo de ser notificado assim que possível quando um evento notável for criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

Extraindo eventos notáveis novos e atualizados

Quando a programação de pesquisa é definida, o trabalho agendado extrai eventos notáveis novos e atualizados que foram extraídos anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso oferece a flexibilidade de criar incidentes com base em critérios que podem não estar presentes quando um evento notável é criado pela primeira vez, mas se torna disponível após uma atualização, por exemplo, durante a fase de investigação. Depois que um incidente é criado para um evento notável específico, suas atualizações subsequentes são ignoradas, pois espera-se que o incidente agora esteja sendo tratado como um incidente de segurança ativo ServiceNow®. No entanto, todos os outros notáveis que foram ingeridos anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídos e verificados em relação aos critérios de geração de incidentes até que se tornem parte de um incidente ativo.

Procedimento

Se a página Programação na barra de andamento não for exibida, selecione Programação.

Escolha um para programar como e quando eventos notáveis são extraídos do console Splunk Enterprise Security.

Opção	Descrição
Campo de ingestão de eventos contínuos selecionado Campo de recuperação única limpo	Evento contínuo Com base na configuração padrão, a instância Now Platform extrai do servidor Splunk Enterprise Security eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança serão criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
Campo de Evento Notável em andamento limpo Campo de recuperação única selecionado	Recuperação Única Use esta configuração se quiser que uma extração única inclua eventos históricos notáveis. Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos que são baseados em um intervalo de datas. À direita do campo Data desde, clique no ícone de calendário. No calendário exibido, selecione a data em que deseja começar a extrair alertas. Começando com o valor de data Desde, eventos notáveis são recuperados até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não tem como objetivo recuperar quantidades significativas de eventos históricos de Splunk Enterprise Security por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil. Depois que os eventos notáveis forem extraídos, esta configuração não recuperará mais eventos notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

Opção

Descrição

Campo de ingestão de eventos contínuos selecionado
Campo de recuperação única limpo

Evento contínuo

Com base na configuração padrão, a instância Now Platform extrai do servidor Splunk Enterprise Security eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança serão criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.

Campo de Evento Notável em andamento limpo
Campo de recuperação única selecionado

Recuperação Única

Use esta configuração se quiser que uma extração única inclua eventos históricos notáveis.

Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos que são baseados em um intervalo de datas. À direita do campo Data desde, clique no ícone de calendário. No calendário exibido, selecione a data em que deseja começar a extrair alertas. Começando com o valor de data Desde, eventos notáveis são recuperados até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não tem como objetivo recuperar quantidades significativas de eventos históricos de Splunk Enterprise Security por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

Depois que os eventos notáveis forem extraídos, esta configuração não recuperará mais eventos notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

Página de programação com calendário exibido.

Como um exemplo para programar um tempo de ingestão de eventos notáveis inicial, se você tiver uma verificação de segurança diária Splunk que é executada uma vez por dia às 4h, horário local, você pode configurar o perfil de eventos notáveis correspondente em sua instância Now Platform para ser executado em 4 :05 AM, horário local, para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 no campo Ingestão de evento inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de eventos por 24 horas a partir da ingestão de eventos inicial. O tempo de ingestão do evento inicial e o tempo de ingestão do próximo evento são exibidos nos campos.

Para definir as configurações deste exemplo, siga estas etapas.
1. Com a página Programação exibida, marque a caixa de seleção Ingestão de eventos contínuos para habilitar essa opção.
2. No campo Incrementar (minutos), insira 1440 (24 horas).
3. Clique na caixa de seleção Selecionar ingestão de evento inicial para habilitar a edição dos campos Ingestão de evento inicial e Próxima ingestão de evento.
4. No campo Ingestão de evento inicial, insira 04 05 00.
  No campo A ingestão do próximo evento (estimada), a hora da ingestão do próximo evento é exibida.

Clique em uma das opções a seguir para continuar com a configuração do perfil.

Opção	Descrição
Continuar	O formulário Opções adicionais é exibido. A opção Opções adicionais está selecionada na barra de andamento. A próxima etapa é atualizar os eventos notáveis quando o incidente SIR é criado e/ou encerrado.
Atualizar	Seus dados são salvos e a lista Splunk Perfis de segurança do evento é exibida.
Anterior	O formulário Programação é exibido.
Excluir	Exclua este perfil de evento e a lista Splunk Enterprise Security de Perfis de Evento será exibida.

Automatizar atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Os incidentes de segurança podem ser criados e atualizados depois de serem criados com uma interface bidirecional com a integração Splunk Enterprise Security.

Antes de Iniciar

A integração Splunk Enterprise Security tem uma interface bidirecional que permite que eventos notáveis criem incidentes de segurança, bem como atualizem os eventos notáveis após o incidente de segurança ser criado e/ou encerrado.

Os detalhes relevantes do incidente incluem SIR número do incidente, grupo de atribuição, SIR URL do incidente. Esta seção é a parte final da configuração do perfil que fornece capacidades opcionais para atualizar os Splunk Enterprise Security eventos notáveis.

Função necessária: sn_si.admin

Procedimento

Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.

Siga as instruções abaixo para concluir a configuração para atualizar eventos notáveis com base em atualizações de incidentes de segurança.

Opção ou campo	Descrição
Atualizar eventos notáveis após a criação do incidente SIR	Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável. Isso pode ocorrer para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para eventos agregados.
Atualização de status do evento notável inicial	Você deve selecionar uma opção de status no menu que exibe todos os valores de status disponíveis recuperados do servidor Splunk Enterprise Security. Isso pode incluir um status criado personalizado, como ServiceNow - Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes e notáveis que são ingeridos e agregados a um incidente aberto existente.
Comentários iniciais retornados para o evento notável	Além de atualizar o valor do status de notificação, você também pode publicar comentários no histórico de análise de incidentes de eventos notáveis. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente Resposta a incidentes de segurança.
Fechar eventos notáveis após o fechamento do incidente de SIR	Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento notável. Isso ocorrerá para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para os eventos agregados.
Atualização de status de evento notável de fechamento	Você deve selecionar uma opção de status no menu de lista que exibe todos os valores de status disponíveis que são recuperados do servidor Splunk Enterprise Security. Isso pode incluir um status criado personalizado, como ServiceNow - Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes, bem como notáveis que são ingeridos e agregados a um incidente aberto existente.
Comentários de fechamento retornados para o evento notável	Além de atualizar o valor do status de notificação, você também pode publicar comentários de fechamento no histórico de análise de incidentes de eventos notáveis. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente Resposta a incidentes de segurança.

Clique em Concluir para concluir a configuração.
Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair eventos notáveis do console Splunk Enterprise Security com base em sua programação. Há um limite de 1.000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos notáveis são por alerta acionado. Os eventos notáveis subsequentes serão ignorados depois que os limites forem atingidos.
A imagem a seguir mostra a guia Opções adicionais com os valores padrão preenchidos:

Com a configuração de opções adicionais habilitada, a revisão de incidentes de eventos notáveis mostra a mudança de status e uma atualização nos comentários do histórico:

Configurar um perfil para encaminhamento manual de eventos

Dependendo do perfil definido, Splunk ES eventos notáveis são encaminhados manualmente como eventos notáveis discretos para o ambiente Operações de segurança da sua instância Now Platform.

Para configurar um perfil para encaminhamento manual de eventos notáveis:


Tarefa	Seção
Criar um perfil de evento	Veja Criar perfis para eventos encaminhados manualmente
Mapear campos de eventos notáveis	Veja Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security
Criar mapeamentos personalizados	Veja Criar mapeamentos para Splunk ES análise de incidentes de eventos notáveis e detalhes do evento de contribuição (encaminhamento manual)
Visualizar o incidente de segurança	Veja Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security
Configurar seu ambiente Splunk para ingestão manual	Veja Configure o ambiente Splunk para ingestão manual de eventos para a integração Splunk Enterprise Security de ingestão de eventos notáveis
Automatizar atualizações e fechamento de eventos notáveis com base no status do incidente SIR	Veja Automatizar atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Criar perfis para eventos encaminhados manualmente

Você pode configurar um perfil para eventos encaminhados manualmente.

Antes de Iniciar

Função necessária: sn_si.admin

Procedimento

Para criar um perfil que ofereça suporte ao encaminhamento manual de eventos, siga estas etapas.

Para eventos que você encaminha sob demanda do console Splunk Enterprise Security, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos encaminhados manualmente não são programados no perfil de eventos.

Se ainda não estiver selecionado, na lista de seleção do campo Tipo, selecione Encaminhamento manual de eventos.

No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.

Consulte as imagens e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.

Tabela 3. Criar nova opção de mapeamento de campo
Opção ou campo	Descrição
Criar nova opção de mapeamento de campo	Novo mapeamento de campo para seu evento. Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
Perfil padrão	Perfil de encaminhamento de eventos padrão para todos os eventos Splunk. O padrão é limpo (desativado). Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é usado quando não há correspondência na origem do evento encaminhado manualmente. Ele se torna o perfil padrão para todos os eventos com origens desconhecidas. O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Origem (campo Evento Notável)	Este é um campo que normalmente define a regra de correlação que acionou o notável, por exemplo, ataques de força bruta. Este campo não estará disponível se a opção de perfil padrão estiver habilitada. Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação de splunk que normalmente é diferente para diferentes tipos de evento. Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento de perfil com base na regra de correlação para atender a esse requisito.
Automatizar atualizações de eventos notáveis	Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente SIR for criado a partir do evento notável e/ou quando o incidente SIR for encerrado. Isso ocorrerá para os eventos notáveis de acionamento inicial que criam o incidente SIR, bem como para os eventos agregados.
Origem (Splunk Servidor)	O servidor Splunk que você configurou como a origem de eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. É necessário inserir um valor.
Ordem	O padrão é 100. Deixe esta configuração no padrão. Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto para ajudá-lo a distinguir este perfil de outros perfis.

Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.

Para um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.

Tabela 4. Selecione o perfil existente para a opção de mapeamento de campo
Opção ou campo	Descrição
Selecionar perfil existente para mapeamento de campo	Reutilize um mapeamento de campo existente para o novo perfil de eventos notáveis. O campo Copiar do perfil é exibido. Siga estas etapas para copiar um mapeamento de campo existente para este perfil. À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa. Na lista Splunk Perfis de eventos ES exibida, clique no nome do perfil que tem o mapa que você deseja copiar. O nome do perfil é exibido no campo Copiar do perfil.
Perfil padrão	Perfil de encaminhamento de eventos padrão para todos os Splunk eventos notáveis com origem incompatível. O padrão é limpo (desabilitado). Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Origem (campo Evento Notável)	Este é um campo que normalmente define a regra de correlação que acionou o notável, por exemplo, ataques de força bruta. Este campo não estará disponível se a opção de perfil padrão estiver habilitada. Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação de splunk que normalmente é diferente para diferentes tipos de evento. Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento de perfil com base na regra de correlação para atender a esse requisito.
Automatizar eventos notáveis	Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável ou quando o incidente de segurança for encerrado. Isso ocorre para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para os eventos agregados.
Origem (Splunk Servidor)	Splunk servidor ou extremidade da pesquisa que você configurou como a origem de eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. É necessário inserir um valor.
Ordem	O padrão é 100. Deixe esta configuração no padrão. Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto para ajudá-lo a distinguir este perfil de outros perfis.

Na parte inferior do formulário para selecionar um mapeamento existente para o seu perfil, clique em Concluir para concluir a configuração do perfil.

Criar mapeamentos para Splunk ES análise de incidentes de eventos notáveis e detalhes do evento de contribuição (encaminhamento manual)

Durante a etapa de mapeamento do campo de eventos notáveis, você mapeia campos de eventos individuais de eventos notáveis para campos em um incidente de segurança Now Platform Resposta a incidentes de segurança (SIR).

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que são normalmente campos importantes a serem preenchidos no formulário de incidente SIR são exibidos. No entanto, esses campos podem ser removidos e quaisquer campos adicionais podem ser exibidos usando os botões + e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no incidente de segurança SIR.

Procedimento

Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
Siga estas etapas para carregar dados de anexo em sua instância Now Platform®.
1. Se ainda não estiver conectado, faça login no console do Splunk Enterprise.
2. Navegue até a guia Pesquisar e insira um nome para uma pesquisa que tenha os dados de eventos notáveis que você deseja exportar.
  Um exemplo de formato de pesquisa para recuperar eventos notáveis para a regra de correlação de comportamento de acesso de força bruta seria o seguinte: `notable`|search source="Access - Brute Force Access Behaviour Detected - Rule".
3. Expanda o evento notável e, na coluna Campo, selecione os campos que você deseja importar.
  
  Esses campos são os pares de campo-valor que são exportados e exibidos na página Mapeamento em sua instância Now Platform®.
4. No console Splunk Enterprise, no canto superior direito da página Pesquisar, clique no ícone Exportar.
5. Na lista de seleção do campo Formato na caixa de diálogo exibida, clique em Formato XML.
6. Opcional: Insira um novo nome de arquivo.
7. Clique em Exportar.
  
  O arquivo XML de eventos notáveis Splunk exportado agora deve ser carregado para sua instância Now Platform®.
8. Se a página Mapeamento ainda não estiver exibida na sua instância Now Platform®, clique em Mapeamento na barra de andamento.
9. Na coluna Ingestão de amostra de evento notável, clique em Carregar dados de anexo.
10. Na caixa de diálogo exibida, clique em Escolher arquivos, navegue até o arquivo .xml que você exportou e clique em Abrir.
  Depois de clicar para carregar dados de anexo para eventos encaminhados manualmente, os Splunk ES campos de evento notáveis são preenchidos no lado esquerdo do formulário. Esses valores são os valores de campo que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente de Sir do formulário.
  
  Os pares de valores dos campos que você exportou para o evento são exibidos no lado esquerdo do formulário de mapeamento.
Siga as etapas 5 a 10 na seção Criar mapeamentos para Splunk ES revisão de incidentes de eventos notáveis e detalhes do evento de contribuição (ingestão programada).

Configure o ambiente Splunk para ingestão manual de eventos para a integração Splunk Enterprise Security de ingestão de eventos notáveis

Instale e configure a aplicação ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console empresarial Splunk ou na instância do Splunk Cloud se quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise Security para esta integração.

Antes de Iniciar

A instalação e configuração da aplicação ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console empresarial Splunk ou na instância do Splunk Cloud é opcional.

Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in de complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não instalou a aplicação para a integração de ServiceNow Store, consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security e siga as instruções para instalá-la.

Função necessária: Splunk Enterprise Security administrador

Por Que e Quando Desempenhar Esta Tarefa

Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, baixe, instale e configure o ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security do splunkbase no console Splunk Enterprise Security. Este ServiceNow complemento de extensão é necessário para que incidentes de segurança possam ser criados a partir de eventos exportados manualmente em sua instância Now Platform. Este ServiceNow Complemento de ingestão de eventos das Operações de segurança para a aplicação Splunk Enterprise Security está disponível em splunkbase.

Para o encaminhamento manual de eventos, você pode identificar até dois Now Platform endpoints (instâncias) diferentes no console Splunk Enterprise Security. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

Procedimento

Se você ainda não instalou o ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise Security, siga estas etapas para instalá-lo e configurá-lo.
1. Navegue até splunkbase.
2. Pesquise o ServiceNow Operações de segurança Complemento de ingestão de eventos das Operações de segurança para Splunk Enterprise Security.
  
  Nota:
  Verifique se você selecionou ServiceNow Operações de segurança Complemento de ingestão de eventos para Splunk Enterprise Security. Há complementos ServiceNow adicionais que são exibidos nesta lista. Esses complementos são para diferentes ServiceNow Splunk integrações e não são necessários para esta integração.
3. Baixe a aplicação.
4. Abra sua conta Splunk Enterprise Security.
5. Na página Aplicações, clique no ícone de engrenagem ou no atalho Gerenciar aplicações na lista suspensa do menu.
6. No canto superior esquerdo da página Aplicações exibida, clique em Instalar app a partir do arquivo.
7. Clique em Escolher arquivo, selecione ServiceNow Complemento de ingestão de eventos das Operações de segurança para Splunk Enterprise Securitye clique em Carregar.
8. Se solicitado, reinicie Splunk Enterprise.
  O ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise Security está instalado no console Splunk Enterprise Security. A próxima etapa para configurar o complemento.

Para configurar o complemento, siga estas etapas.

Em Splunk Enterprise Security, clique no ícone de engrenagem de aplicações ou em Gerenciar aplicações na lista suspensa do menu.
Na lista de aplicações exibida, na coluna Ações, clique em Configurar para ServiceNow Operações de segurança Complemento de ingestão de eventos para Splunk Enterprise Security.
Preencha o formulário.

A figura a seguir é um exemplo de um formulário preenchido no console do Splunk Enterprise Security.

Campo na seção Especificar instância primária da ServiceNow	Descrição
Rótulo de ação de fluxo de trabalho	Nome do fluxo de trabalho Now Platform para sua instância de produção (primária). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância primária, por exemplo, ingestão de eventos da ServiceNow (produção). O padrão para este campo é Ingestão de eventos da ServiceNow (produção). No console Splunk Enterprise Security, este nome de fluxo de trabalho é exibido para a instância de produção (primária) na lista suspensa `Ações de evento` expandidas de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
URL	O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior. Copie o URL no navegador e cole-o neste campo do formulário.
Endpoint	Caminho da API base. Para obter mais informações, consulte a figura que segue a tabela. Se você não tiver um valor para o endpoint da sua instância de produção Now Platform, siga estas etapas. Faça login na sua instância de produção Now Platform como um usuário com a função de administrador do sistema (admin). Insira `Scripted REST APIs` no painel de navegação. Depois que o painel de navegação for atualizado, selecione o módulo Scripted REST APIs que será exibido. Se a Ingestão de eventos não estiver listada na coluna Nome da lista de `Scripted REST APIs` exibida, no campo de pesquisa na parte superior, insira `Ingestão de eventos`. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de API base é `/api/sn_sec_splunk_v2/event_ingestion`.
Nome do usuário	Nome de usuário para sua instância Now Platform. Este nome é o nome de usuário da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos. Para obter mais informações sobre como atribuir essa função, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.
Senha	Senha para sua instância Now Platform. Esta senha é a senha para a instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.
(Opcional) Campos na seção Especificar instância secundária da ServiceNow	Descrição Esses campos são opcionais. Você não é obrigado a especificar uma instância secundária.
Rótulo de ação de fluxo de trabalho	Nome do fluxo de trabalho Now Platform para sua instância secundária (preparação). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância secundária, por exemplo, ServiceNow ingestão de eventos (preparação). No console Splunk Enterprise Security, este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandidas de uma pesquisa. Esta instância Now Platform é sua instância de preparação. Você pode editar o nome.
URL	O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior para a instância Now Platform secundária. Copie o URL no navegador e cole-o neste campo do formulário.
Endpoint	Caminho da API base. Este valor para o caminho da API de base para sua instância secundária é o mesmo valor que o caminho da API de base para sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
Nome do usuário	Nome de usuário da sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
Senha	Senha para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunkes.api_account_access).

A figura a seguir é um exemplo da lista de Scripted REST APIs em seu Now Platform. A lista exibe o local do valor do endpoint de uma instância Now Platform que você insere no formulário como parte da configuração da extensão ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console Splunk Enterprise Security.
Caminho da API base realçado.

No formulário de configuração do console Splunk Enterprise Security, clique em Salvar para salvar suas edições.

Depois de alguns momentos, na parte superior esquerda do formulário no console Splunk Enterprise Security, será exibida uma mensagem informando que o registro foi atualizado com sucesso.

Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) das instâncias Now Platform que você criou no formulário ficam disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa no console Splunk Enterprise Security.

O que Fazer Depois

Se você ainda não salvou as pesquisas no console Splunk Enterprise Security, a próxima etapa é salvar pesquisas como alertas no console Splunk Enterprise Security.