Criar e nomear um perfil de evento para a integração de ingestão de eventos Splunk Enterprise Security

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 51 min. de leitura

    • Você cria um perfil de evento em sua instância Now Platform e determina quais eventos notáveis Splunk criam incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Antes que os incidentes de segurança Now Platform Security Incident Response (SIR) sejam criados a partir de eventos notáveis ingeridos, os valores de campo dos alertas são exibidos em um layout de um incidente de segurança Now Platform para que você possa visualizar como o incidente de segurança real será criado.

    De uma perspectiva de integração usando as APIs disponíveis, Splunk ES eventos notáveis são encaminhados individual e manualmente como eventos notáveis discretos ou são ingeridos automaticamente no ambiente Security Operations da sua instância Now Platform, dependendo do tipo de perfil definido.

    Os fluxos de trabalho de integração ingerem diferentes tipos de eventos notáveis, como tentativas de acesso não autorizado e malware, por exemplo. Esses eventos notáveis são ingeridos com base nos perfis que você configura no ambiente Security Operations da sua instância.

    Todos os notáveis são ingeridos inicialmente para um tipo de pesquisa de correlação configurado em um perfil. Os notáveis ingeridos podem ser filtrados para especificar quais notáveis criam incidentes de segurança. Por exemplo, você pode preferir filtros que criam incidentes de segurança somente para eventos notáveis que são identificados como de alto risco. Antes de um perfil ser ativado e criar incidentes de segurança a partir de eventos notáveis ingeridos, os valores de campo individuais nos eventos notáveis são mapeados para campos correspondentes em um layout do incidente de segurança para uma visualização.

    Procedimento

    1. Os nomes dos perfis de evento na sua instância Now Platform devem ser exclusivos e só podem ser mapeados para um perfil de evento ativo por vez.
    2. O Now Platform ingere notáveis específicos usando os fluxos de trabalho da integração.
      Todos os eventos notáveis que atendem aos critérios de seleção no console Splunk ES são ingeridos inicialmente na instância Now Platform.
    3. Um perfil no seu Now Platform é um encapsulamento de um evento notável no seu console Splunk ES.
      Há um relacionamento um para um entre eventos notáveis que são ingeridos com um perfil e conexões com o console Splunk ES : um tipo de evento notável para uma conexão.
    4. Para criar perfis para eventos notáveis programados, consulte Configurar um perfil para ingestão de eventos notáveis programados.
    5. Para criar perfis para encaminhamento de evento manual, consulte Configurar um perfil para encaminhamento manual de eventos.

    Configurar um perfil para ingestão de eventos notáveis programados

    Dependendo do perfil definido, Splunk ES eventos notáveis são ingeridos automaticamente no ambiente Security Operations da sua instância Now Platform.

    A tabela a seguir mostra a lista de tarefas que você precisa seguir para configurar um perfil para ingestão programada de eventos notáveis:

    Tabela 1. Etapas para configurar um perfil para ingestão de eventos notáveis programados
    Tarefa Seção
    Criar um perfil de evento Veja Criar perfis para ingestão de eventos notáveis programados
    Selecione eventos notáveis com base no nome da pesquisa de correlação Veja Selecione eventos notáveis com base no nome da regra de correlação para o perfil da integração de ingestão de eventos Splunk ES
    Mapear campos de evento notáveis Veja Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security
    Criar mapeamentos personalizados Veja Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada)
    Visualizar o incidente de segurança Veja Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security
    Programar e recuperar eventos notáveis novos e atualizados Veja Programe e recupere eventos notáveis novos e atualizados para a integração de ingestão de eventos Splunk Enterprise Security
    Automatizar atualizações de eventos notáveis e fechamento com base no status do incidente SIR Veja Automatizar atualizações de eventos notáveis e fechamento com base no status do incidente SIR

    Criar perfis para ingestão de eventos notáveis programados

    Você pode configurar um perfil para que eventos notáveis sejam ingeridos automaticamente.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Para criar um perfil de evento para um evento notável ou tipo de regra de correlação na sua instância Now Platform, navegue até Splunk Integration > Perfil de evento do Splunk.
    2. Se o formulário de Perfil de evento Splunk não for exibido, clique em Nome na barra de andamento.
    3. Clique em Nova.
    4. Preencha os campos.

      Um exemplo de formulário preenchido segue a tabela.

      Campo Descrição
      Nome Nome exclusivo para o perfil. Se os nomes não forem exclusivos, um erro será exibido e os nomes de perfil duplicados não serão salvos.

      Os nomes de perfil na sua instância Now Platform devem ser exclusivos.
      Ativo A caixa de seleção está desmarcada e desabilitada por padrão. Você deve preencher todas as seções no perfil antes de torná-lo ativo.
      Tipo Selecione o tipo de perfil na lista de seleção.
      • Ingestão de evento programado: este tipo de perfil oferece suporte a eventos notáveis que são ingeridos em uma programação configurada. Preencha os campos.
      • Encaminhamento manual de eventos: este tipo de perfil oferece suporte a eventos notáveis que são encaminhados manualmente do console de revisão de incidentes Splunk Enterprise Security sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
      Origem Splunk servidor ou final de pesquisa que você configurou para ingerir eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão ingeridos para o perfil. É necessário inserir um valor.
      Ordem O padrão é 100.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto adicional para ajudá-lo a distinguir este perfil de outros perfis.
      A figura a seguir é um exemplo de um formulário preenchido para um tipo de evento notável programado.
      Splunk ES Event Profile
    5. Para um perfil com um evento memorável programado, escolha uma opção para continuar com a configuração do perfil.
      OpçãoDescrição
      Continuar Salve o perfil e avance para a etapa de Seleção de evento.
      Atualizar Salve as atualizações neste perfil e retorne à lista Splunk de Perfis de evento.
      Salvar Salve este perfil e permaneça na página.
      Deletar Exclua este registro de perfil e retorne à lista Splunk de Perfis de evento.

    O que Fazer Depois

    A próxima etapa é selecionar eventos notáveis para ingestão automática.

    Selecione eventos notáveis com base no nome da regra de correlação para o perfil da integração de ingestão de eventos Splunk ES

    Depois de criar um perfil para uma ingestão de tipo de evento notável programado, selecione um nome de regra de correlação Splunk Enterprise Security para este perfil para o qual você deseja mapear eventos notáveis correspondentes a um incidente de segurança Now Platform Security Incident Response.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Exiba as regras de correlação disponíveis em sua instância Now Platform para conhecer os tipos de evento notáveis para os quais você deseja ingerir e criar incidentes de segurança. Selecione uma regra de correlação. Você pode selecionar um ou mais eventos notáveis na lista deste formulário.

    Procedimento

    1. Se a página Seleção de evento notável não for exibida, selecione-a na barra de andamento para exibi-la.
    2. Na Lista de regras de correlação, escolha uma das opções a seguir para selecionar uma única regra de correlação ou várias regras de correlação e movê-las e movê-las da coluna Disponível para a coluna Selecionada.

      A lista de regras de correlação neste formulário corresponde à lista de regras de correlação no seu console de revisão de incidentes Splunk ES. Até 500 regras de correlação são exibidas neste formulário. Se houver mais de 500 regras de correlação listadas em sua Splunk ES, somente os primeiros 500 eventos notáveis serão exibidos neste formulário em sua instância Now Platform.

      Opção Descrição
      No campo de pesquisa Lista de regras de correlação, insira o texto. A coluna abaixo do campo de pesquisa é filtrada com as opções disponíveis com base no texto inserido. Selecione uma regra de correlação e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado.
      Na Lista de Regras de Correlação, clique duas vezes em uma Regra de Correlação. A coluna Selecionado é preenchida com sua seleção.
      Na Lista de Regras de Correlação, clique uma vez em uma Regra de Correlação. A regra de correlação é selecionada. Com as teclas de seta, mova a regra de correlação selecionada de Disponível para Selecionada.

      Perfil de evento do Splunk ES: selecionar evento relevante
    3. Escolha uma opção para continuar.
      OpçãoDescrição
      Continue ou, alternativamente, clique em Mapeamento na barra de andamento O formulário Mapeamento é exibido.

      Omapeamento é selecionado na barra de andamento. A próxima etapa é mapear campos de evento notáveis para um incidente de segurança SIR.
      Atualizar Seus dados são salvos e a lista de Perfis de eventos notáveis do Splunk é exibida.
      Anterior A etapa Nome é exibida.
      Deletar Exclua este perfil de evento e a lista de Perfis de eventos notáveis do Splunk será exibida.

    O que Fazer Depois

    Você selecionou com sucesso uma regra de correlação para um perfil programado Splunk Enterprise Security. A próxima etapa é mapear valores de evento notáveis para campos em um incidente de segurança.

    Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security

    Depois de identificar a regra de correlação específica e o tipo de evento notável para o perfil, a próxima etapa é mapear campos de evento notáveis individuais para os campos em um incidente de segurança Now Platform Security Incident Response (SIR).

    Visão geral

    Para a etapa de mapeamento, você pode ingerir eventos notáveis de amostra para a regra de correlação selecionada ou exportar dados de evento notáveis para eventos notáveis encaminhados manualmente. O processo de mapeamento de evento é idêntico, independentemente do tipo de perfil que você está criando.

    As imagens a seguir são exemplos das configurações de mapeamento padrão fornecidas para cada tipo de perfil de evento. Você pode personalizar os campos que preenchem o incidente de segurança. Durante esta fase de mapeamento, você pode garantir que todos os dados relevantes do campo de evento notáveis sejam mapeados para o local apropriado no formulário de incidente SIR e, em seguida, visualizar o incidente SIR na seção de visualização.

    Se Várias correlações forem usadas, os eventos notáveis poderão ser obtidos selecionando o Evento necessário. Use o Nome do alerta para escolher seu alerta se você tiver configurado vários alertas para ingestão.

    Depois de clicar para buscar dados, os nomes de campo de evento notáveis Splunk e os valores correspondentes são preenchidos no lado esquerdo do formulário. Estes são os Splunk campos de evento notáveis que estão disponíveis para mapear para os campos de incidente de segurança SIR. Alguns campos podem ser mapeados várias vezes para os campos de incidente de segurança SIR.


    Mapeamento padrão para eventos notáveis programados

    Você pode preferir revisar alguns eventos notáveis de amostra no console Splunk para incluir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada como Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos notáveis de amostra de Splunk Enterprise Security para ajudar no processo de mapeamento de campo de evento notável. Há opções para ingerir os cinco eventos notáveis mais recentes para a regra de correlação selecionada ou ingerir até cinco eventos notáveis específicos com base nos IDs de evento notáveis.

    Abaixo está um resumo das etapas necessárias para mapear eventos notáveis:
    • Ingestão de dados de amostra de evento notável programado: para dados de amostra que são usados para perfis de evento notáveis ingeridos automaticamente, os campos de evento notáveis disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento depois que os dados de amostra são recuperados. As guias são exibidas para você exibir os valores de um ID de evento específico específico que você extraiu. Verifique se todos os campos críticos da seção de ingestão de amostra de evento à esquerda do formulário estão mapeados para ServiceNow campos de incidente de segurança à direita do formulário.
    • Mapeamento de campo: edite a configuração de mapeamento arrastando os campos de evento notáveis do lado esquerdo e soltando-os na seção de mapeamento de incidente SIR ServiceNow à direita. O mapeamento à direita associa o campo de evento notável de entrada a um campo de incidente de segurança de saída.
    • Experiência de mapeamento: personalize a grade de mapeamento adicionando ou removendo campos usando o ícone + na parte inferior da seção de mapeamento de campo de incidente SIR. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida (os campos mapeados ficam esmaecidos, os campos azuis não estão mapeados).
    • Condições de geração de incidentes: depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais eventos notáveis devem criar incidentes de segurança e quais eventos notáveis devem ser filtrados, por exemplo, eventos notáveis de baixa prioridade. Isso é feito na seção Condições de geração de incidentes localizada abaixo da seção Mapeamento de eventos notáveis.
    • Critérios de agregação de eventos: definem critérios adicionais de agregação de eventos que agregam um evento notável de entrada a um incidente de segurança SIR existente, em vez de criar incidentes semelhantes, potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de evento notáveis de segurança relacionados em um único incidente de segurança.
    • Tradução de campo de formato: em determinados casos, os valores de campo de evento nos eventos notáveis do Splunk Enterprise podem não ser traduzidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria de Alerta de malware e Infecção de vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos em uma Atividade de código malicioso comum no campo Categoria no incidente de segurança SIR usando o Funcionalidade de tradução de campo de formato.

    A próxima etapa é ingerir eventos notáveis e mapear valores para os campos de incidente de segurança SIR.

    Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada)

    Durante a etapa de mapeamento de campo de evento notável, você mapeia campos de evento individuais de eventos notáveis para campos em um incidente de segurança Now Platform Security Incident Response (SIR).

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A grade de mapeamento pode ser personalizada para o tipo de evento relevante selecionado na seleção da regra de correlação. A codificação por cores dos campos de evento ajuda a rastrear os valores de evento que você já mapeou conforme eles se tornam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de evento importante restante permanece não mapeada.

    Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de evento notável à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que são normalmente campos importantes a serem preenchidos no formulário de resposta a incidentes de segurança são exibidos. No entanto, esses campos podem ser removidos e quaisquer campos adicionais podem ser exibidos usando os botões + e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Personalizar os campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no incidente de segurança SIR.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Para um perfil com uma ingestão programada, abaixo de Ingestão de amostra de evento notável, clique em Buscar dados de amostra para extrair os eventos notáveis de amostra mais recentes do console Splunk Enterprise para a regra de correlação selecionada.
      Nota:
      Você pode extrair os eventos notáveis de amostra mais recentes ou fornecer os IDs de evento notáveis exclusivos para os eventos notáveis específicos que você deseja usar para sua experiência de mapeamento de eventos notáveis.

      Os campos de evento notáveis e os resultados dos valores são exibidos como guias individuais. Você pode ingerir até cinco eventos notáveis.

      A extração de eventos notáveis de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Na figura a seguir, os pares de valor de nome de campo para o evento notável ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário após a conclusão da extração de ingestão. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado do mapeamento de campo de incidente de SIR do formulário.


      Buscar dados de amostra e eventos notáveis ingeridos
    3. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
    4. Arraste o nome do campo, por exemplo, src_categorye solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

      Arraste e solte para valores mostrados pela seta.

      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, src_category é mapeado para o campo de categoria no incidente de segurança. No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo do lado direito. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

      Para ajudar a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Os campos azul claro à esquerda indicam que um campo de evento relevante ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de entrada notável a mais de um campo em um incidente de segurança.

      Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento.


      Campo de categoria e valor no incidente de segurança realçado
    5. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
      1. À direita do formulário na seção Mapeamento de campo de incidente de SIR, na parte inferior da grade, clique no ícone de adição.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.

        Na lista expandida do novo campo, alguns campos estão sombreados. Na figura a seguir, Categoria tem um plano de fundo cinza porque foi mapeada no incidente de segurança. Semelhante à codificação de cores dos campos de eventos notáveis no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente SIR já mapeados.

        Mapeamento de campo de categoria

        Nota:
        Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há nenhum valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista na qual você pode escolher várias opções e você tentar mapear uma opção para esse campo que não é exibido na lista, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar da nova linha.
      4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID do evento desejado no campo Expressão de entrada.
    6. Continue mapeando adicionando ou removendo valores de campo para o mapeamento.
      A figura a seguir é um exemplo de um mapeamento editado. No campo inferior à direita, o campo Anotações de trabalho é adicionado e tem mais de um valor. Observe que, para o campo de cadeia de caracteres de texto longo, você pode expandir o campo de mapeamento para ver a cadeia de caracteres completa e redimensionar conforme necessário, puxando o canto inferior direito do campo conforme indicado na captura de tela abaixo com o campo de Anotações de trabalho adicionado:
      Anotações de trabalho com vários valores realçados
      Aviso:
      Observe que na seção Mapeamento de campo de incidente SIR, o URL e o número da porta mencionados no campo Expressão de entrada são apenas um exemplo e não o URL ou o número da porta fornecidos prontos para uso.

      Na visualização, esses valores são exibidos nas Anotações de trabalho no incidente de segurança. Como o valor é para um campo que você adicionou à seção de mapeamento e há vários valores mapeados para o campo Anotações de trabalho, os valores são exibidos conforme inseridos. Neste exemplo, os espaços e os sinais de pontuação que você inseriu no campo são exibidos na seção Itens relacionados como uma anotação de trabalho na visualização do incidente de segurança.

      A imagem a seguir é um exemplo de como os valores da imagem anterior são exibidos no incidente de segurança.

      Valor do campo Anotação de trabalho exibido no incidente de segurança.
    7. Opcional: Abra o editor de script e continue editando.

      Para obter mais informações sobre o editor de script, consulte Use o editor de script para formatar valores de alerta para a integração Splunk Enterprise Event Ingestion.

      Incluindo hiperlinks para revisão de incidentes de eventos notáveis e eventos de contribuição

      Além de mapear campos, o sn_si.admin pode mapear um valor de cadeia de caracteres que permite ao analista de segurança que está trabalhando em um incidente fazer um link de volta para a revisão de incidente de evento relevante no console Splunk Enterprise Security, bem como para os eventos de contribuição subjacentes que fazem parte da pesquisa de detalhamento.

      Os valores de cadeia de caracteres a seguir contêm o nome do servidor Splunk Enterprise Security e as variáveis apropriadas que podem ser usadas para vincular esses detalhes:

      • Hiperlink de análise de incidentes de eventos notáveis: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earlist=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id} $

        em que splunkes2.secops-eng.com:8000 é a origem do servidor Splunk e info_min_time e event_id são valores de campo de evento extraídos dos eventos notáveis.

      • Eventos de contribuição de evento notáveis (pesquisa de detalhamento) Hiperlink: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$

        em que splunkes2.secops-eng.com:8000 é a origem do servidor Splunk e Drilldown_search é um valor de campo de evento extraído dos eventos notáveis.

      A imagem a seguir mostra o URL de revisão de incidente de evento notável mapeado para o campo de anotação de trabalho e o hiperlink de eventos de contribuição de evento notável (pesquisa de detalhamento) mapeado para um campo personalizado chamado URL de incidente de evento notável:


      URL de revisão de incidente de evento relevante mapeado para anotação de trabalho
      A imagem a seguir é a visualização do incidente de SIR com o hiperlink de revisão de incidentes de eventos notáveis e a URL
      de eventos de contribuição: hiperlink de revisão de incidentes de eventos notáveis e hiperlink de eventos de contribuição:

      Condições de filtragem de geração de incidentes

    8. Opcional: Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor de Condições de geração de incidentes para definir critérios adicionais que um evento notável de entrada deve satisfazer para criar um incidente de segurança SIR.
      Para definir condições de geração de incidentes, siga estas etapas.
      1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.

        O construtor de Condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

        As opções nas listas para o primeiro campo no construtor de condições do filtro correspondem aos campos exibidos na seção Ingestão de amostra de evento notável para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo dos Splunk eventos notáveis que você ingere ou do evento que você seleciona para as amostras de evento notáveis encaminhadas manualmente. Os critérios inseridos fazem distinção entre maiúsculas e minúsculas e devem corresponder exatamente aos valores do evento relevante Splunk Enterprise Security. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao console Splunk Enterprise Security e revisar os eventos notáveis para as palavras-chave.


        Construtor de condições de filtro
      2. Usando as listas e os campos do construtor de condições, defina filtros para a primeira linha.
      3. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
        Se AND for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
      4. Opcional: Na segunda linha, defina uma segunda condição de filtro.

        A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.


        Construtor de condições de filtro:2

        Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando ambas as condições de filtragem inseridas forem correspondidas.

        Esse tipo de filtragem de condição de geração de incidente ajuda a restringir os eventos de segurança e limita o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou os filtros em Splunk. Se critérios de filtragem adicionais forem definidos, somente eventos notáveis que correspondam a todos os critérios serão mapeados para incidentes.

        Nota:
        Se algum dos nomes de campo de evento tiver caracteres especiais, como aspas (“), hifens ('), sublinhados (-), arroba (@) ou e comercial (&), esses caracteres poderão precisar ser substituídos para fins de tradução de mapeamento e, possivelmente, crie um nome de evento duplicado. O mapeamento pode ser feito de forma apropriada, mas um sufixo numérico é anexado para diferenciar campos com nomes de evento duplicados. Por exemplo, se o primeiro campo de evento for alerts.alert e o segundo campo de evento for alerts@alerts, esses campos não poderão ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para alerts@alert(1).

      Critérios de agregação de eventos para lidar com notáveis semelhantes e evitar incidentes duplicados

    9. Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos notáveis de entrada sejam agregados a um incidente de segurança em aberto.
      Para definir os critérios, siga estas etapas abaixo.
      1. Role até a seção Critérios de agregação de evento no formulário e marque a caixa de seleção Condições agregadas para habilitar essa opção.

        Os campos de incidente com valores correspondentes são exibidos. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.

      2. No campo de entrada de seleção múltipla, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes em seu Now Platform.
      3. Use Adicionar Novos Critérios para selecionar várias condições de correspondência de campo.
        Todos os valores de campo selecionados no campo de entrada de seleção múltipla são correspondidos para critérios de agregação usando a condição E. Clique em Adicionar novos critérios para selecionar várias condições de correspondência de campo em que a agregação ocorre se qualquer uma das condições de campo de seleção múltipla definidas for atendida usando a condição OU.

        Critérios de agregação

        Se um novo evento relevante corresponder a todos os valores selecionados nas condições de campo de agregação na etapa de mapeamento, o novo evento relevante será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os eventos notáveis agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos notáveis agregados em um incidente de segurança são exibidos na lista relacionada Splunk de eventos para tarefas. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que esses eventos notáveis estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida, role até o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.


        Evento do Splunk para lista relacionada de tarefas realçada
      4. Opcional: Para registrar uma anotação de trabalho para um novo evento importante que foi adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção.
        A anotação de trabalho registra que um novo notável foi adicionado junto com um link para os detalhes do alerta e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.
      Você mapeou com sucesso valores de um evento notável Splunk para campos em um incidente de segurança SIR. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também anexou eventos notáveis a incidentes de segurança SIR existentes quando os valores do campo de evento correspondem aos critérios de agregação configurados.
    10. Escolha um para continuar com a configuração do perfil.
      OpçãoDescrição
         
      Continuar O formulário Mapeamento é exibido.

      Avisualização é selecionada na barra de andamento. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR.
      Atualizar Seus dados são salvos e a lista de Perfis de evento do Splunk é exibida.
      Anterior O formulário de Seleção de Evento Notável é exibido.
      Deletar Exclua este perfil de evento e a lista de Perfis de evento do Splunk será exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os valores mapeados no incidente de segurança.

    Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security

    Depois de concluir a etapa de mapeamento, visualize os valores mapeados em um incidente de segurança Now Platform® Security Incident Response (SIR). Esta etapa de visualização permite que você verifique se mapeou todos os campos notáveis que deseja exibir no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou para preencher dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. As visualizações de SIR incidentes de segurança não são salvas como incidentes reais no produto SIR.

    Procedimento

    1. Se a visualização do incidente de segurança não for exibida, clique em Visualizar na barra de andamento.
    2. Na lista de seleção Nome do evento, selecione um item se vários eventos forem usados.
    3. Selecione IDs de evento na lista de seleção Amostra de IDs de evento notáveis.
    4. Na lista de seleção Amostra de IDs de evento notáveis, selecione um item.

      Selecionar lista de seleção de eventos expandida.

      O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro deste incidente de segurança não é salvo.

    5. Revise o mapeamento de campo dos valores de evento notáveis no incidente de segurança.

      Mensagem de erro em um incidente de segurança na visualização.

      A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um valor de campo do evento notável não tem um valor aceitável para o campo de referência no formulário de incidente SIR. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para o campo Item de configuração no ServiceNow® banco de dados de gestão de clientes (CMDB). Como resultado, este valor de campo mapeado não aparecerá no formulário de incidente de segurança SIR sem modificação adicional.

    6. Para resolver esse erro, clique em Mapeamento na barra de andamento.
    7. Edite o mapeamento para corrigir valores incorretos ou preencha os dados ausentes.
    8. Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

      A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um incidente de segurança SIR depois que todas as mensagens de erro são resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados e esses campos são preenchidos com os valores dos pares de valores extraídos das Splunk Enterprise Security amostras de evento notáveis. O primeiro campo Anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotações de trabalho adicionais que têm valores foram adicionados à seção de mapeamento.


      Campos Anotação de trabalho e Descrição na visualização do incidente de segurança
    9. Depois de corrigir todos os erros e verificar se os campos estão como você deseja, escolha uma opção para continuar.
      OpçãoDescrição
      Continuar O formulário Programação é exibido para perfis com eventos notáveis programados.

      Aprogramação é selecionada na barra de andamento.
      Concluir Para perfis com configurados para encaminhamento manual de eventos, clique em Concluir. Não há etapa de programação para perfis com dados de evento que são exportados sob demanda diretamente do console Splunk Enterprise Security.
      Atualizar Seus dados serão salvos e você retornará à lista Splunk de Perfis de evento.
      Anterior A etapa Mapeamento na barra de andamento é exibida.
      Deletar Exclua este perfil de evento e a lista de Perfis de evento Splunk será exibida.

    O que Fazer Depois

    Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campo no incidente de segurança, a próxima etapa será Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion.

    Programe e recupere eventos notáveis novos e atualizados para a integração de ingestão de eventos Splunk Enterprise Security

    Para perfis de ingestão de eventos notáveis automatizados, esta etapa é necessária na configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de evento notável ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos notáveis históricos usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para perfis de ingestão de eventos notáveis automatizados, você escolhe se deseja ingerir eventos notáveis históricos durante a etapa de Programação. Você também escolhe com que frequência pesquisará novos eventos notáveis futuros e eventos notáveis atualizados que correspondam à configuração do perfil de alerta.

    Para perfis de ingestão de eventos notáveis automatizados, antes que o perfil seja ativado, você verifica e modifica a programação e a recuperação do alerta. Esta é uma etapa necessária para todos os processos de configuração de perfil de evento para perfis de alertas programados.

    Você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de eventos Splunk pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, talvez você prefira equilibrar a redução da sobrecarga de pesquisa no servidor Splunk Enterprise Security com o desejo de ser notificado o mais rápido possível quando um evento importante for criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo eventos notáveis novos e atualizados

    Quando a programação de pesquisa é definida, o trabalho programado extrai eventos notáveis novos e atualizados que foram extraídos anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando um evento relevante é criado pela primeira vez, mas se torna disponível após uma atualização, por exemplo, durante a fase de investigação. Depois que um incidente é criado para um evento de registro específico, suas atualizações subsequentes são ignoradas, já que é esperado que o evento de registro agora seja tratado como um incidente de segurança ServiceNow® ativo. No entanto, todos os outros notáveis que foram ingeridos anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídos e verificados em relação aos critérios de geração de incidentes até que se tornem parte de um incidente ativo.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação.
    2. Escolha um para programar como e quando eventos notáveis são extraídos do console Splunk Enterprise Security.
      OpçãoDescrição
      • Campo de ingestão de eventos em andamento selecionado
      • Campo de recuperação única limpo
      		 Evento em andamento

      Com base na configuração padrão, a instância Now Platform extrai do servidor Splunk Enterprise Security eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança serão criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
      • Campo Evento Notável em andamento limpo
      • Campo de recuperação única selecionado
      		 Recuperação Única

      Use esta configuração se quiser que uma extração única inclua eventos históricos notáveis.

      Quando essa configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com o valor de data Desde, os eventos notáveis são recuperados até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos de Splunk Enterprise Security por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

      Depois que os eventos notáveis forem extraídos, esta configuração não recuperará mais eventos notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

      Página de programação com o calendário exibido.

      Como exemplo para programar um horário de ingestão de evento notável inicial, se você tiver uma verificação de segurança diária Splunk que é executada uma vez por dia às 4h no horário local, é possível configurar o perfil de evento notável correspondente na sua instância Now Platform para ser executado às 4 :05 hora local para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 no campo Ingestão de evento inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de evento por 24 horas a partir da ingestão de evento inicial. O tempo de ingestão do evento inicial e o tempo de ingestão do próximo evento são exibidos nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, marque a caixa de seleção Ingestão de evento em andamento para habilitar esta opção.
      2. No campo Incrementar (minutos), insira 1440 (24 horas).
      3. Clique na caixa de seleção Selecionar ingestão de evento inicial para habilitar a edição dos campos Ingestão de evento inicial e Próxima ingestão de evento.
      4. No campo Ingestão de evento inicial, insira 04 05 00.
        No campo Próxima ingestão de evento (estimada), a hora da próxima ingestão de evento é exibida.
    4. Clique em uma das opções a seguir para continuar com a configuração do perfil.
      OpçãoDescrição
      Continuar O formulário Opções adicionais é exibido. Opções adicionais é selecionado na barra de andamento. A próxima etapa é atualizar os eventos notáveis quando o incidente de SIR é criado e/ou encerrado.
      Atualizar Seus dados são salvos e a lista Splunk Perfis de segurança do evento é exibida.
      Anterior O formulário Programação é exibido.
      Deletar Exclua este perfil de evento e a lista de Perfis de evento Splunk Enterprise Security será exibida.

    Automatizar atualizações de eventos notáveis e fechamento com base no status do incidente SIR

    Os incidentes de segurança podem ser criados e atualizados depois de criados com uma interface bidirecional com a integração Splunk Enterprise Security.

    Antes de Iniciar

    A integração Splunk Enterprise Security tem uma interface bidirecional que permite que eventos notáveis criem incidentes de segurança, bem como atualizem os eventos notáveis depois que o incidente de segurança for criado e/ou encerrado.

    Os detalhes relevantes do incidente incluem SIR número do incidente, grupo de atribuição, SIR URL do incidente. Esta seção é a parte final da configuração do perfil que fornece recursos opcionais para atualizar os Splunk Enterprise Security eventos notáveis.

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.
    2. Siga as instruções abaixo para concluir a configuração para atualizar eventos notáveis com base em atualizações de incidentes de segurança.
      Opção ou campoDescrição
      Atualizar eventos notáveis após a criação do incidente no SIR Selecione esta opção se quiser atualizar o status do evento relevante e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento relevante. Isso pode ocorrer para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para eventos agregados.
      Atualização de Status de Evento Notável Inicial Você deve selecionar uma opção de status no menu que exibe todos os valores de status disponíveis recuperados do servidor Splunk Enterprise Security. Isso pode incluir um status criado personalizado, como ServiceNow - Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes e notáveis que são ingeridos e agregados a um incidente em aberto existente.
      Comentários iniciais retornados para o Evento Notável Além de atualizar o valor do status relevante, você também pode publicar comentários no histórico de revisão de incidentes de eventos notáveis. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo a adição ou modificação das variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente Security Incident Response.
      Encerrar eventos notáveis após o fechamento do incidente no SIR Selecione esta opção se quiser atualizar o status do evento relevante e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento relevante. Isso ocorrerá para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para os eventos agregados.
      Atualização de status do evento de fechamento Notável Você deve selecionar uma opção de status no menu de lista que exibe todos os valores de status disponíveis que são recuperados do servidor Splunk Enterprise Security. Isso pode incluir um status criado personalizado, como ServiceNow - Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes, bem como notáveis que são ingeridos e agregados a um incidente em aberto existente.
      Comentários de Fechamento Publicados de volta ao Evento Notável Além de atualizar o valor do status relevante, você também pode publicar comentários de fechamento no histórico de revisão de incidentes de eventos notáveis. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo a adição ou modificação das variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente Security Incident Response.
    3. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com êxito a instalação e a configuração da integração. Ative este perfil para extrair eventos notáveis do console Splunk Enterprise Security com base em sua programação. Há um limite de 1.000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos notáveis são por alerta acionado. Os eventos notáveis subsequentes serão ignorados depois que os limites forem atingidos.
      A imagem a seguir mostra a guia Opções adicionais com os valores padrão preenchidos:
      Opções adicionais:1
      Com a configuração de Opções adicionais habilitada, a revisão de incidente de evento relevante mostra a mudança de status e uma atualização dos comentários do histórico:
      Opções adicionais: 2

    Configurar um perfil para encaminhamento manual de eventos

    Dependendo do perfil definido, Splunk ES eventos notáveis são encaminhados manualmente como eventos notáveis discretos para o ambiente Security Operations da sua instância Now Platform.

    Para configurar um perfil para encaminhamento manual de eventos notáveis:

    Tarefa Seção
    Criar um perfil de evento Veja Criar perfis para eventos encaminhados manualmente
    Mapear campos de evento notáveis Veja Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security
    Criar mapeamentos personalizados Veja Criar mapeamentos para Splunk ES revisão de incidente de evento relevante e detalhes do evento de contribuição (encaminhamento manual)
    Visualizar o incidente de segurança Veja Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security

    Configure seu ambiente Splunk para ingestão manual

    		 Veja Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos notáveis Splunk Enterprise Security
    Automatizar atualizações de eventos notáveis e fechamento com base no status do incidente SIR Veja Automatizar atualizações de eventos notáveis e fechamento com base no status do incidente SIR

    Criar perfis para eventos encaminhados manualmente

    Você pode configurar um perfil para eventos encaminhados manualmente.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    Para criar um perfil que ofereça suporte ao encaminhamento manual de eventos, siga estas etapas.

    Para eventos que você encaminha sob demanda do console Splunk Enterprise Security, é possível basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos encaminhados manualmente não são programados no perfil de evento.

    1. Se ainda não estiver selecionado, na lista de seleção do campo Tipo, selecione Encaminhamento manual de eventos.
    2. No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
      Consulte as imagens e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.
      Splunk: encaminhamento manual de eventos
      Tabela 2. Criar nova opção de mapeamento de campo
      Opção ou campo Descrição
      Criar nova opção de mapeamento de campo Novo mapeamento de campo para o seu evento.

      Se você não tiver um mapeamento de campo semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
      Perfil padrão

      Perfil de encaminhamento de evento padrão para todos os eventos Splunk. O padrão é limpo (desativado).

      Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento de evento manual. Este perfil é usado quando não há correspondência na origem do evento encaminhado manualmente. Ele se torna o perfil padrão para todos os eventos com origens desconhecidas.

      O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
      Origem (campo Evento Notável) Este é um campo que normalmente define a regra de correlação que acionou o notável, por exemplo, ataques de força bruta.

      Este campo não estará disponível se a opção de perfil padrão estiver habilitada.

      Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação de splunk que normalmente é diferente para diferentes tipos de evento.

      Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento com base na regra de correlação para atender a esse requisito.
      Automatizar atualizações de eventos notáveis Marque esta caixa de seleção se quiser atualizar o status do evento de notificação e adicionar comentários adicionais quando um incidente de SIR for criado a partir do evento de notificação e/ou quando o incidente de SIR for encerrado. Isso ocorrerá para os eventos notáveis de acionamento inicial que criam o incidente de SIR, bem como para os eventos agregados.

      Origem (Splunk Servidor)

      O servidor Splunk que você configurou como a origem dos eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. É necessário inserir um valor.
      Ordem O padrão é 100. Deixe esta configuração como padrão.

      Se você tiver criado um grande número de perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis.

      Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.

      Para obter um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.
      Manual: perfil existente
      Tabela 3. Selecione o perfil existente para a opção de mapeamento de campo
      Opção ou campo Descrição
      Selecionar perfil existente para mapeamento de campo Reutilize um mapeamento de campo existente para o novo perfil de evento do Notable. O campo Copiar do perfil é exibido.

      Siga estas etapas para copiar um mapeamento de campo existente para este perfil.

      1. À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa.
      2. Na lista Splunk Perfis de evento ES exibida, clique no nome do perfil que tem o mapa que você deseja copiar.

        O nome do perfil é exibido no campo Copiar do perfil.
      Perfil padrão

      Perfil de encaminhamento de evento padrão para todos os eventos notáveis Splunk com origem incompatível. O padrão é desabilitado.

      Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento de evento manual.

      O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
      Origem (campo Evento Notável) Este é um campo que normalmente define a regra de correlação que acionou o notável, por exemplo, ataques de força bruta.

      Este campo não estará disponível se a opção de perfil padrão estiver habilitada.

      Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação de splunk que normalmente é diferente para diferentes tipos de evento.

      Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento com base na regra de correlação para atender a esse requisito.
      Automatizar eventos notáveis Marque esta caixa de seleção se quiser atualizar o status do evento de notificação e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento de notificação ou quando o incidente de segurança for encerrado. Isso ocorre para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para os eventos agregados.

      Origem (Splunk Servidor)

      Splunk servidor ou final de pesquisa que você configurou como a origem dos eventos notáveis. Se você tiver vários servidores Splunk configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. É necessário inserir um valor.
      Ordem O padrão é 100. Deixe esta configuração como padrão.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis.

      Na parte inferior do formulário para selecionar um mapeamento existente para o seu perfil, clique em Concluir para concluir a configuração do perfil.

    Criar mapeamentos para Splunk ES revisão de incidente de evento relevante e detalhes do evento de contribuição (encaminhamento manual)

    Durante a etapa de mapeamento de campo de evento notável, você mapeia campos de evento individuais de eventos notáveis para campos em um incidente de segurança Now Platform Security Incident Response (SIR).

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de evento notável à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que são normalmente campos importantes a serem preenchidos no formulário de incidente SIR são exibidos. No entanto, esses campos podem ser removidos e quaisquer campos adicionais podem ser exibidos usando os botões + e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Personalizar os campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no incidente de segurança SIR.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Siga estas etapas para carregar dados de anexo em sua instância Now Platform®.
      1. Se ainda não estiver conectado, faça login no console Splunk Enterprise.
      2. Navegue até a guia Pesquisar e insira um nome para uma pesquisa que tenha os dados de evento notáveis que você deseja exportar.
        Um exemplo de formato de pesquisa para recuperar eventos notáveis para a regra de correlação de comportamento de acesso de força bruta seria o seguinte: `notable`|search source="Access - Brute Force Access Behaviour Detected - Rule".
      3. Expanda o evento relevante e, na coluna Campo, selecione os campos que deseja importar.

        Esses campos são os pares de campo-valor que são exportados e exibidos na página Mapeamento na sua instância Now Platform®.


        Splunk ES: selecionar eventos notáveis para exportação
      4. No console Splunk Enterprise, no canto superior direito da página de pesquisa, clique no ícone Exportar.
      5. Na lista de seleção do campo Formato na caixa de diálogo exibida, clique em Formato XML.
      6. Opcional: Insira um novo nome de arquivo.
      7. Clique em Exportar.

        Splunk ES: exportar arquivo XML
        O arquivo XML de evento relevante Splunk exportado agora deve ser carregado para sua instância Now Platform®.
      8. Se a página Mapeamento ainda não estiver exibida na sua instância Now Platform®, clique em Mapeamento na barra de andamento.
      9. Na coluna Ingestão de amostra de evento notável, clique em Carregar dados de anexo.

        Splunk ES: carregar dados de anexo
      10. Na caixa de diálogo exibida, clique em Escolher arquivos, navegue até o arquivo .xml que você exportou e clique em Abrir.
        Depois de clicar para carregar dados de anexo para eventos encaminhados manualmente, os campos de evento notáveis Splunk ES são preenchidos no lado esquerdo do formulário. Esses valores são os valores de campo que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente de Sir do formulário.
        Os pares de valores dos campos que você exportou para o evento são exibidos no lado esquerdo do formulário de mapeamento.
    3. Siga as etapas 5 a 10 na seção Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada).

    Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos notáveis Splunk Enterprise Security

    Instale e configure o aplicativo ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console empresarial Splunk ou na instância do Splunk Cloud se quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise Security para esta integração.

    Antes de Iniciar

    Instalar e configurar a aplicação ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console empresarial Splunk ou na instância do Splunk Cloud é opcional.

    Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in do complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não instalou o aplicativo para a integração do ServiceNow Store, consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security e siga as instruções para instalá-lo.

    Função necessária: Splunk Enterprise Security administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, baixe, instale e configure o ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise Security do splunkbase no console Splunk Enterprise Security. Este complemento de extensão ServiceNow é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente em sua instância Now Platform. Esta aplicação ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security está disponível em splunkbase.

    Para o encaminhamento manual de eventos, você pode identificar até dois Now Platform endpoints (instâncias) diferentes no console Splunk Enterprise Security. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não instalou o ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise Security, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase.
      2. Pesquise o ServiceNow Security Operations Complemento de ingestão de eventos do Security Operations para Splunk Enterprise Security.
        Nota:
        Verifique se você selecionou ServiceNow Security Operations Complemento de ingestão de eventos para Splunk Enterprise Security. Há complementos ServiceNow adicionais que são exibidos nesta lista. Esses complementos são para diferentes integrações ServiceNow Splunk e não são necessários para esta integração.
      3. Baixe a aplicação.
      4. Abra sua conta Splunk Enterprise Security.
      5. Na página Aplicativos, clique no ícone de engrenagem ou no atalho Gerenciar aplicativos na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicativos exibida, clique em Instalar aplicativo do arquivo.
      7. Clique em Escolher arquivo, selecione ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise Securitye clique em Carregar.
      8. Se solicitado, reinicie Splunk Enterprise.
        O ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise Security está instalado no console Splunk Enterprise Security. A próxima etapa é configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise Security, clique no ícone de engrenagem de aplicativos ou em Gerenciar aplicativos na lista suspensa do menu.
      2. Na lista de aplicações exibida, na coluna Ações, clique em Configurar para ServiceNow Security Operations Complemento de ingestão de eventos para Splunk Enterprise Security.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido no console Splunk Enterprise Security.
        Endpoints da API
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância de produção (primária). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância primária, por exemplo, ingestão de eventos da ServiceNow (produção).

      O padrão para este campo é Ingestão de evento da ServiceNow (Produção).

      No console Splunk Enterprise Security, este nome de fluxo de trabalho é exibido para a instância de produção (Primária) na lista suspensa expandida de Ações de evento de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no seu navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Para obter mais informações, consulte a figura que segue a tabela.

      Se você não tiver um valor para o endpoint da sua instância de produção Now Platform, siga estas etapas.

      1. Faça login na sua instância de produção Now Platform como um usuário com a função de administrador do sistema (admin).
      2. Insira Scripted REST APIs no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione o módulo Scripted REST APIs que será exibido.
      4. Se a Ingestão de eventos não estiver listada na coluna Nome da lista de Scripted REST APIs exibida, no campo de pesquisa na parte superior, insira Ingestão de eventos.
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de API base é /api/sn_sec_splunk_v2/event_ingestion.
      Nome do usuário Nome de usuário para sua instância Now Platform. Este nome é o nome de usuário da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento de evento manual.

      Para obter mais informações sobre como atribuir esta função, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.
      Senha Senha para sua instância Now Platform.

      Essa senha é a senha da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento de evento manual.
      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Esses campos são opcionais. Você não precisa especificar uma instância secundária.
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância secundária (preparação). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando Splunk eventos identificam como uma instância secundária, por exemplo, ServiceNow ingestão de eventos (preparação).

      No console Splunk Enterprise Security, este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa expandida de Ações de evento de uma pesquisa. Esta instância Now Platform é sua instância de preparação. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior para a instância Now Platform secundária.

      Copie o URL no seu navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Este valor para o caminho da API base da sua instância secundária é o mesmo valor que o caminho da API base da sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome do usuário Nome de usuário para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunkes.api_account_access).
      A figura a seguir é um exemplo da lista de Scripted REST APIs em seu Now Platform. A lista exibe o local do valor do endpoint de uma instância Now Platform que você insere no formulário como parte da configuração da extensão ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security no console Splunk Enterprise Security.
      Caminho da API base realçado.
    3. No formulário de configuração do console Splunk Enterprise Security, clique em Salvar para salvar suas edições.

      Após alguns momentos, na parte superior esquerda do formulário no console Splunk Enterprise Security, será exibida uma mensagem informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) das instâncias Now Platform que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa no console Splunk Enterprise Security.

    O que Fazer Depois

    Se você ainda não salvou pesquisas no console Splunk Enterprise Security, a próxima etapa é salvar pesquisas como alertas no console Splunk Enterprise Security.