Mapeamento de alertas e eventos para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Depois de identificar as origens para ingestão de alerta programada ou encaminhamento de evento manual, a próxima etapa é mapear campos de evento individuais para os campos em um incidente de segurança Now Platform Security Incident Response (SIR).

    Visão geral

    Para a etapa de mapeamento, como um usuário com a função sn_si.admin, você ingere alertas de amostra do console Splunk Enterprise ou exporta dados de evento para um evento Splunk Enterprise.

    As imagens a seguir são exemplos das grades de mapeamento padrão fornecidas para cada tipo de perfil de evento. Este mapeamento padrão pode ser editado. Esta modificação permite que você personalize os campos que preenchem o incidente de segurança. Com a etapa de mapeamento, você pode visualizar como a adição ou a remoção de campos de evento afeta os valores do campo de incidente de segurança SIR.

    Selecione o Nome do alertae, depois de clicar para Buscar dados de amostra, os valores do campo de alerta Splunk serão preenchidos no lado esquerdo do formulário quando os alertas de amostra forem ingeridos pelo perfil. Estes são os campos de alerta Splunk que você mapeia para os campos de incidente de segurança SIR.

    Figura 1. Formulário de mapeamento padrão para alertas
    Formulário de mapeamento padrão para alertas.

    Depois de clicar para carregar dados de anexo para eventos encaminhados, os campos de evento Splunk são preenchidos no lado esquerdo do formulário. Estes são os campos de dados Splunk que são mapeados para os campos de incidente de segurança SIR.

    Figura 2. Formulário de mapeamento padrão para eventos encaminhados
    Formulário de mapeamento padrão para eventos.

    Você pode preferir revisar alguns alertas de amostra no console Splunk para incluir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada como Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento.

    O mapeamento de alertas e a exportação de eventos sob demanda do console empresarial Splunk incluem os seguintes conceitos e tarefas:
    • Busca dados de amostra para perfis de alerta ingeridos automaticamente. Depois que os dados são obtidos (extraídos) de um alerta acionado no console Splunk Enterprise, os campos de alerta disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento. As guias são exibidas para você exibir os valores de um ID de alerta que você extraiu. Verifique se todos os campos críticos da seção Ingestão de amostra de alerta à esquerda do formulário estão mapeados para a grade à direita do formulário.
    • Se necessário, carregue dados de amostra de evento para todos os perfis de evento encaminhados manualmente. Dados de amostra para esses eventos são exportados em um arquivo .xml do console Splunk Enterprise e carregados em sua instância Now Platform®. Os dados importados são exibidos na seção Ingestão de amostra de alerta à esquerda do formulário.
    • Edite a configuração de mapeamento arrastando alertas do lado esquerdo e soltando-os na grade de mapeamento à direita. A grade de mapeamento à direita associa o campo de alerta de entrada a um campo de incidente de segurança de saída.
    • Personalize a grade de mapeamento adicionando ou removendo campos. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
    • Defina condições de filtro para que você possa especificar quais alertas são ingeridos na aplicação SIR e quais alertas são filtrados.
    • Defina critérios de campo de incidente adicionais que agregam um alerta de entrada a um incidente de segurança SIR existente para evitar incidentes duplicados. Essa filtragem adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de evento de segurança relacionados em um único incidente de segurança.
    • Em determinados casos, os valores do campo de evento no console empresarial Splunk podem não ser traduzidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, os valores do campo Alerta de malware e Infecção por vírus no console Splunk são convertidos em Atividade de código malicioso no campo Categoria no incidente de segurança SIR.

    Perfis de alerta programado

    Depois de criar um perfil de alerta programado, o fluxo do processo para a configuração é mostrado na figura a seguir.

    Figura 3. Fluxo do processo para perfis de alerta programados
    Fluxo do processo para alerta programado.

    Perfis de encaminhamento de evento manual

    Depois de criar um perfil para um evento, o fluxo do processo para a configuração é mostrado na figura a seguir.

    Figura 4. Fluxo do processo para perfis de evento
    Fluxo do processo para exportação de evento.

    A próxima etapa é ingerir alertas acionados ou exportar dados e mapear valores para os campos de incidente de segurança SIR.