Configurer les Splunk paramètres de sécurité d’entreprise

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez les paramètres de sécurité d’entreprise Splunk (ES) pour modifier les configurations prédéfinies et leurs valeurs selon vos besoins.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tout > Intégration de Splunk ES > Paramètres Splunk ES.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres Splunk ES
      Champ Description
      Appliquez une limite au nombre d’événements notables qui peuvent être regroupés en un seul incident. Option permettant d’appliquer une limite au nombre d’événements notables que vous souhaitez regrouper en un seul incident.

      Par défaut, la valeur est 100.
      Appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures. Option permettant d’appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés sur une période de 24 heures.

      Par défaut, la valeur est définie sur 1 000.
      Appliquer une limite au nombre de valeurs à analyser dans chaque champ reçu de Splunk. Option permettant d’appliquer une limite au nombre de valeurs que vous souhaitez analyser pour chaque champ reçu de Splunk.

      Par défaut, la valeur est définie sur 1 000.
      Nombre de règles de corrélation à extraire Splunk. Option permettant de définir le nombre de règles de corrélation à récupérer Splunk.

      Par défaut, la valeur est définie sur 500.
      Le paramètre Durée de vie pour Splunk la tâche de recherche en secondes. Option permettant de définir le paramètre de durée de vie pour la Splunk recherche sous forme de secondes.

      Par défaut, la valeur est définie sur 600.
      Nombre de types notables à regrouper dans une seule recherche. Option permettant de définir le nombre total de types notables que vous souhaitez regrouper en une seule recherche.

      Par défaut, cette valeur est définie sur 20.
      Nombre de jours de conservation des métadonnées de la Splunk tâche de recherche dans ServiceNow Option permettant de définir le nombre de jours pendant lesquels vous souhaitez conserver les métadonnées de la tâche de recherche Splunk dans ServiceNow.

      Par défaut, la valeur est définie sur 30.
      Le caractère du délimiteur pour diviser les valeurs dans les mappages de champs. Option permettant de définir le caractère de délimiteur pour diviser les valeurs en mappages de champs.

      Par défaut, la valeur est définie comme suit : (,).
      Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements ( Splunk pour surmonter le délai d’indexation de Splunk) Option permettant de définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements à partir de Splunk pour surmonter le délai d’indexation à partir de Splunk.

      Par défaut, la valeur est définie sur 30.
      Transmettre par pull les événements notables mis à jour Option permettant de récupérer les événements notables mis à jour.

      Par défaut, la valeur est définie sur Non.
      Activez ce paramètre pour mettre à jour les configurations sources existantes Splunk pour la prise en charge de l’authentification basée sur les jetons. Vous devez mettre à jour la configuration d’intégration avec les détails du jeton une fois ce paramètre activé. Option permettant de mettre à jour la configuration source existante Splunk sur la prise en charge de l’authentification basée sur les jetons à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ de jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur les jetons, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
    3. Cliquez sur Enregistrer.