Como configurar o complemento TISC no Splunk

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Siga o procedimento abaixo para configurar a aplicação.

    Antes de Iniciar

    Função necessária: administrador do Splunk

    Por Que e Quando Desempenhar Esta Tarefa

    O procedimento abaixo descreve a configuração do complemento TISC em Splunk.

    Procedimento

    1. Pesquise a Central de segurança de inteligência contra ameaças do app Splunk na navegação à esquerda.
    2. Clique em Configurar na coluna Ações.
      A página Configuração é exibida e você pode configurar sua conta do ServiceNow TISC.
    3. Selecione Adicionar.
    4. No formulário, preencha os campos.
      Campo Descrição
      Adicionar Contas
      Nome Um nome exclusivo para a conta.
      Nome de usuário Forneça o nome de usuário da sua conta ServiceNow. Você pode usar o mesmo nome de usuário usado para os usuários criados durante a criação da função sn_sec_tisc.api_obs_read_access na etapa acima.
      Senha Forneça ServiceNow senha da conta.
      URL da instância Forneça o endereço URL da instância ServiceNow.
    5. Clique em Adicionar.
      A conta de instância ServiceNow é adicionada a Splunk.
    6. Navegue até a página Entradas para criar coleções e gerenciar suas entradas de dados para sua conta ServiceNow.
    7. Clique em Criar nova entrada.
      A caixa de diálogo Adicionar entrada é exibida para você adicionar as entradas à sua conta ServiceNow.

      Depois que o conjunto de entrada é definido, a aplicação envia as informações para a instância do TISC para recuperar um número específico de observáveis que atendem aos critérios.

    8. Preencha os detalhes de entrada, conforme apropriado.
      Campo Descrição
      Nome Um nome exclusivo para sua entrada. Por exemplo, lista de IPs mal-intencionados.
      Conta Forneça o nome de usuário da sua conta ServiceNow. Você pode usar o mesmo nome de usuário usado para os usuários criados com a função sn_sec_tisc.api_obs_read_access na etapa acima.
      Intervalo Defina o intervalo de tempo em segundos para recuperar os dados do TISC.
      Período de Vencimento (em dias) Opção para definir o período de expiração em dias.
      Nota:
      A expiração da amostra está definida como 30 dias. Por exemplo, quando os dados são extraídos em uma data específica, um conjunto de 10.000 registros pode ser recuperado. Esses registros serão armazenados no armazenamento de KV (Key-Value) em Splunk. A partir da data de ingestão, os registros serão retidos por 30 dias. No 31º dia, eles serão excluídos automaticamente do armazenamento KV.
      Nunca expira Escolha esta opção se você não quiser expirar os registros ingeridos.
      Filtros Defina as condições com base nas quais os dados a serem importados serão filtrados.

      Para definir as condições do filtro, você pode definir os critérios com base nos campos, como pontuação de ameaça, nível de confiança e tipo.

      Para condições de filtro simples, você pode usar esta opção de filtragem. No entanto, se as condições do filtro forem mais complexas e para qualquer filtragem avançada, você poderá optar por adicionar filtros JSON.
      • Os operadores inteiros permitidos são:

        "=", "!=", ">", "<", ">=", "<="

      • Os operadores de cadeia de caracteres permitidos são:

        "=", "!=", "EM"

      Abaixo está um exemplo de um filtro simples:

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Os filtros baseados em JSON permitem definir condições mais complexas. O status do objeto JSON deve ser ativo.

      Marque a caixa de seleção Filtros JSON para alternar para filtros avançados em que um JSON pode ser usado para aplicar a condição de filtro.

      Amostra de filtro avançado:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Nota:
      As contas estão ativas por padrão, mas as entradas estão inativas por padrão. Você deve ativá-las para começar a importar os dados. Para obter os filtros possíveis, consulte a seção Observable_filters em Adiciona registros de origem de observável à aplicação Central de segurança de inteligência contra ameaças (TISC).
    9. Clique em Adicionar para adicionar as entradas.
    10. Clique em Clonar ou copiar para copiar e criar uma nova conta com base na conta existente.
      Certifique-se de que a entrada esteja desativada antes da clonagem para evitar a criação de entradas duplicadas ao importar dados usando os mesmos critérios.
    11. Depois que os dados forem extraídos, as seguintes informações serão recuperadas e armazenadas no armazenamento KV em Splunk junto com os registros extraídos do TISC:
      Campo Descrição
      Pontuação de ameaça A pontuação que indica o nível de ameaça associado a um registro.
      Confiança Indica o nível de confiança associado à precisão da pontuação de ameaça.
      Período de Vencimento A duração pela qual o registro é válido na aplicação antes de expirar.
      Nível de ameaça Indica o nível de gravidade da ameaça.
      Reputação Indica a reputação da entidade envolvida.
      Atualizada Por Fornece as informações sobre quem atualizou o registro pela última vez.
      Tempo de atualização Indica o carimbo de data/hora da última atualização do registro.
      Hora de Criação Indica a hora de criação do registro.
      Dias_até_expiração Indica o número de dias após o qual o registro será excluído do armazenamento KV.
      Pontuação_reportada_de_origem A pontuação de origem relatada do TISC.
      Sys_id SYS ID do registro que está chegando por meio de TISC.
      Gravidade da ameaça Indica a severidade da ameaça do observável.
      Valor Valor do registro. Por exemplo, IP, hash e assim por diante.

      Esses campos, junto com outros definidos por seus critérios, estarão disponíveis em Splunk e poderão ser exibidos, pesquisados e analisados por meio da guia de pesquisa.