Crie e nomeie um perfil de evento
Crie um perfil de evento em seu ServiceNow AI Platform e determine qual Splunk alertas criam incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.ingestion_profile_admin
Por Que e Quando Desempenhar Esta Tarefa
Antes ServiceNow AI Platform Resposta a incidentes de segurança( SIR os incidentes de segurança são criados a partir de alertas ingeridos, os valores de campo dos alertas são exibidos em um layout de um ServiceNow AI Platform incidente de segurança para que você possa visualizar como o incidente de segurança real será exibido.
De uma perspectiva de integração usando APIs disponíveis, Splunk os eventos são encaminhados individualmente e manualmente como eventos discretos ou são combinados em alertas acionados que são ingeridos automaticamente no Operações de segurança do seu ServiceNow AI Platform instância. Os fluxos de trabalho de integração ingerem diferentes tipos de alertas, como tentativas de acesso não autorizado e malware, por exemplo.
Esses alertas são ingeridos com base nos perfis que você configura no Operações de segurança ambiente da sua instância. Inicialmente, todos os alertas são ingeridos para um tipo de alerta configurado em um perfil. Os alertas ingeridos podem ser filtrados ainda mais para especificar quais alertas criam incidentes de segurança. Por exemplo, você pode preferir filtros que criem incidentes de segurança somente para alertas identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de alertas ingeridos, os valores de campos individuais nos alertas filtrados são mapeados para os campos correspondentes em um layout de incidente de segurança para uma visualização.
Nomes de alerta para perfis de evento em seu ServiceNow AI Platform a instância deve ser exclusiva e só pode ser mapeada para um perfil de evento ativo a qualquer momento. Estes são os nomes de alertas acionados que você configurou em Splunk serviço como parte da configuração da integração. Para obter mais informações sobre como configurar alertas em seu Splunk Enterprise ambiente, consulte Salve pesquisas em seu Splunk Enterprise console para Splunk Enterprise Event Ingestion integração.
. ServiceNow AI Platform ingere alertas específicos usando os fluxos de trabalho da integração. Todos os alertas que atendem aos critérios de seleção em seu Splunk inicialmente, o console enterprise é ingerido em seu ServiceNow AI Platform instância.
Um perfil em seu ServiceNow AI Platformé um encapsulamento de um Splunk alerta em seu Splunk console empresarial. Há um relacionamento um para um entre os alertas que são ingeridos com um perfil e as conexões com seu Splunk console empresarial: um alerta para uma conexão. Há uma única conexão https para um cabeçalho de pesquisa em seu Splunk Enterprise console. Vários alertas podem vir de um único cabeçalho de pesquisa. Se você se conectar a vários cabeçalhos de pesquisa em seu Splunk Enterprise, você deve criar vários perfis em seu ServiceNow AI Platform instância para ingerir esses alertas.
Etapas para criar perfis para ingestão de alertas programada
Procedimento
-
Preencha os campos.
Um exemplo de um formulário preenchido segue a tabela.
Campo Descrição Nome Nome exclusivo do perfil. Se os nomes não forem exclusivos, nomes de perfil duplicados não serão salvos. Nomes de perfil em seu ServiceNow AI Platform a instância deve ser exclusiva.
Ativo A caixa de seleção está desmarcada por padrão. A opção Ativo está desabilitada e não está disponível para seleção até que você conclua todas as etapas de configuração do perfil e clique em Concluir .
Tipo Selecione o tipo de perfil na lista de seleção. - Ingestão de alerta programada - Este tipo de perfil oferece suporte a alertas acionados que são ingeridos em uma programação que você configura. Preencha os campos e clique em Continuar Para prosseguir para a etapa Seleção de alerta do perfil.
- Encaminhamento manual de eventos - Este tipo de perfil oferece suporte a eventos individuais que são encaminhados manualmente do seu Splunk Enterprise console sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
Tipo de Origem Splunk servidor ou término de pesquisa que você configurou para ingerir alertas. Se você tiver vários Splunk servidores configurados, selecione o servidor apropriado para os tipos de alerta que você planeja ingerir para o perfil. Você deve inserir um valor. Ordem O padrão é 100. Deixe esta configuração como padrão. Se você criou vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. A figura a seguir é um exemplo de um formulário preenchido para um alerta programado.
-
Para criar um perfil compatível com o encaminhamento manual de eventos, siga estas etapas.
Para eventos que você encaminha sob demanda do seu Splunk console enterprise, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos que você encaminha manualmente não são programados no perfil de evento.
-
No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
Consulte as figuras e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.
Figura 1. Criar nova opção de mapeamento de campo Tabela 1. Criar nova opção de mapeamento de campo Opção ou campo Descrição Criar nova opção de mapeamento de campo Novo mapeamento de campo para seu evento. Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
Perfil padrão Perfil de encaminhamento de eventos padrão para todos Splunk eventos. O padrão é limpo (desabilitado).
Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é o único perfil ativo e usado para cada Splunk mapeamento de campo de evento para um SIR incidente de segurança. Um perfil se encaixa em todos os eventos encaminhados.
O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Tipo de origem Splunk servidor.
Este campo não estará disponível se a opção de perfil padrão estiver habilitada.
Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base em Splunk tipo de origem.
Se você quiser gerenciar eventos de log de firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes Splunk tipos de origem, você pode criar diferentes perfis de evento com base nos tipos de origem para atender a esse requisito.
Ordem O padrão é 100. Deixe esta configuração como padrão. Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.
Para obter um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.
Figura 2. Selecione o perfil existente para a opção de mapeamento de campo Tabela 2. Selecione o perfil existente para a opção de mapeamento de campo Opção ou campo Descrição Selecionar o perfil existente para mapeamento de campo Um mapeamento de campo existente para o seu evento. O campo Copiar do perfil é exibido.
Siga estas etapas para copiar um mapeamento de campo existente para este perfil.
- À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa.
- Em Splunk Lista Perfis de evento exibida, clique no nome do perfil que tem o mapa que você deseja copiar.
O nome do perfil é exibido no campo Copiar do perfil.
Perfil padrão Perfil de encaminhamento de eventos padrão para todos Splunk eventos. O padrão é limpo (desabilitado).
Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é o único perfil ativo. É usado para cada Splunk mapeamento de campo de evento para um SIR incidente de segurança. Um perfil se encaixa em todos os eventos encaminhados.
O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Tipo de origem Splunk servidor.
Este campo não estará disponível se a opção de perfil padrão estiver selecionada.
Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base em Splunk tipo de origem.
Se você quiser gerenciar eventos de log de firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes Splunk tipos de origem, você pode criar diferentes perfis de evento com base nos tipos de origem para atender a esse requisito.
Ordem O padrão é 100. Deixe esta configuração como padrão. Se você criou vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição Texto para ajudá-lo a distinguir este perfil de outros perfis. Na parte inferior do formulário para selecionar um mapeamento existente para o seu perfil, clique em Concluir para concluir a configuração do perfil.
-
No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
O que Fazer Depois
Para perfis para alertas agendados, a próxima etapa é selecionar alertas para ingestão automática.