Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As etapas a seguir para salvar pesquisas no console Splunk Enterprise são fornecidas para um usuário com a função de administrador Splunk Enterprise.

    Antes de Iniciar

    Se você já tiver pesquisas salvas e alertas acionados no console Splunk Enterprise, não será necessário modificar essas pesquisas para esta integração.

    A integração do produto Now Platform® Security Operations com o serviço de notificação de evento Splunk extrai informações de evento e alerta de Splunk.

    Antes de ingerir alertas em seu ambiente Security Operations, configure as pesquisas no console Splunk Enterprise para que você extraia automaticamente os eventos de segurança relevantes em Splunk Enterprise que deseja salvar como alertas.

    Se você não tiver pesquisas salvas e alertas acionados estabelecidos para notificação quando ocorrerem eventos de segurança importantes no console Splunk Enterprise, siga estas etapas para salvar pesquisas.

    Função necessária: Splunk Enterprise administrador

    Procedimento

    1. Faça login na sua conta Splunk Enterprise.
    2. Clique na guia Pesquisar.
    3. No campo Nova pesquisa exibido, insira um valor para o alerta, por exemplo, Malware.
    4. Para exibir os eventos relacionados à sua pesquisa, à direita do campo Nova pesquisa, clique no ícone de pesquisa ou pressione Enter.
      Os resultados da pesquisa com eventos são exibidos.
    5. Para salvar a pesquisa como um alerta, no canto superior direito da página, expanda a lista de seleção Salvar como e selecione Alerta.
    6. No formulário exibido, preencha os campos.
      CampoDescrição
      Título Nome descritivo do alerta, por exemplo, Eventos de malware. Depois de salvar esta pesquisa como um alerta, os eventos de um alerta acionado no serviço Splunk são processados automaticamente em alertas acionados usando esses dados de pesquisa. Este título de alerta acionado é usado no perfil de evento que você cria em sua instância Now Platform para identificar quais eventos são ingeridos em sua instância para criação de incidente de segurança Now Platform® Security Incident Response SIR.
      (Opcional) Descrição Texto para ajudar a distinguir este alerta de outros alertas.
      Tipo de alerta Nos campos exibidos, selecione Programado para pesquisar este alerta em uma programação ou Tempo real para pesquisar continuamente este alerta.
      Resultados do gatilho Você pode preferir definir uma das seguintes condições de filtro:
      • O número de resultados é maior ou menor que
      • Uma vez (uma vez) para cada resultado
      Ações de gatilho Adicione ações para acionar este alerta. Expanda a lista de seleção Adicionar e clique em Adicionar aos alertas acionados para que ela seja exibida no formulário. Você pode preferir esta configuração para os alertas que ingere em sua instância Now Platform.
    7. Clique em Salvar.
      Seu alerta é salvo e exibido na guia Alertas na página Pesquisar.
      O serviço Splunk extrai os eventos correspondendo aos critérios que você configurou no alerta. Ele armazena em cache os eventos e você solicita esses eventos dos perfis configurados na sua instância Now Platform. Como a extração de ingestão de eventos ocorre de um cache no serviço Splunk, essa ingestão de Now Platform não afeta o desempenho na plataforma Splunk.

    O que Fazer Depois

    Você concluiu com sucesso a configuração necessária para a integração no console do Splunk Enterprise. Se você ainda não instalou a aplicação para a integração de ServiceNow Store, a próxima etapa é instalar a aplicação para a integração e configurá-la.