Configurando TISC complemento em Splunk

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Siga este procedimento abaixo para configurar a aplicação.

    Antes de Iniciar

    Função necessária: administrador do Splunk

    Por Que e Quando Desempenhar Esta Tarefa

    O procedimento abaixo descreve a configuração do complemento TISC no Splunk.

    Procedimento

    1. Pesquisar Central de segurança de inteligência contra ameaças para Splunk aplicativo na navegação à esquerda.
    2. Clique em Configurar em Ações coluna.
      . Configuração é exibida e você pode configurar seu ServiceNow TISC conta.
    3. Selecione Adicionar.
    4. No formulário, preencha os campos.
      Campo Descrição
      Adicionar Contas
      Nome Um nome exclusivo para a conta.
      Nome de usuário Forneça seu ServiceNow nome de usuário da conta. Você pode usar o mesmo nome de usuário usado para os usuários criados durante a criação da função sn_sec_tisc.api_obs_read_access na etapa acima.
      Senha Fornecer ServiceNow senha da conta.
      URL da Instância Forneça o. ServiceNow Endereço da URL da instância.
    5. Clique em Adicionar.
      . ServiceNow a conta de instância é adicionada ao Splunk.
    6. Navegue até Entradas página para criar coleções gerencie suas entradas de dados para seu ServiceNow conta.
    7. Clique em Criar nova entrada .
      . Adicionar entrada a caixa de diálogo é exibida para você adicionar as entradas ao seu ServiceNow conta.

      Depois que o conjunto de entradas é definido, a aplicação envia as informações para TISC instância para recuperar um número específico de observáveis que atendem aos critérios.

    8. Preencha os detalhes de entrada, conforme apropriado.
      Campo Descrição
      Nome Um nome exclusivo para sua entrada. Por exemplo, lista de IPs mal-intencionados.
      Conta Forneça seu ServiceNow nome de usuário da conta. Você pode usar o mesmo nome de usuário usado para os usuários criados com a função sn_sec_tisc.api_obs_read_access na etapa acima.
      Intervalo Defina o intervalo de tempo em segundos para recuperar os dados TISC.
      Período de vencimento (em dias) Opção para definir o período de expiração em dias.
      Nota:
      A expiração da amostra é definida como 30 dias. Por exemplo, quando os dados são extraídos em uma data específica, um conjunto de 10 000 registros pode ser recuperado. Esses registros serão armazenados no armazenamento KV (Key-Value) em Splunk. A partir da data de ingestão, os registros serão retidos por 30 dias. No 31º dia, eles serão excluídos automaticamente do armazenamento do KV.
      Nunca expira Escolha esta opção se você não quiser expirar os registros ingeridos.
      Atributos Adicionais Permite adicionar atributos adicionais da lista de opções recomendadas para incluir no armazenamento de KV. Os atributos devem ser separados por vírgulas.

      Uma lista de atributos permitidos é fornecida na tabela após a tabela Atributos obrigatórios.
      Filtros Defina as condições com base nas quais os dados que devem ser importados serão filtrados.

      Para definir as condições do filtro, você pode definir os critérios com base nos campos, como pontuação de ameaça, nível de confiança e tipo.

      Para condições de filtro simples, você pode usar esta opção de filtragem. No entanto, se as condições de filtro forem mais complexas e para qualquer filtragem avançada, você poderá optar por adicionar filtros JSON.
      • Os operadores inteiros permitidos são:

        "=", "!=", ">", "<", ">=", "<="

      • Os operadores de cadeia de caracteres permitidos são:

        "", "!", "IN"

      Abaixo está um exemplo de um filtro simples :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Os filtros baseados em JSON permitem definir condições mais complexas. O status do objeto JSON deve ser Ativo.

      Selecione JSON Caixa de seleção Filtros para alternar para filtros avançados em que um JSON pode ser usado para aplicar a condição de filtro.

      Filtro avançado de amostra :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Nota:
      As contas estão ativas por padrão, mas as entradas estão inativas por padrão. Você deve ativá-las para começar a importar os dados. Para obter possíveis filtros, consulte a seção observable_filters em Adiciona registros de origem observáveis à Central de segurança de inteligência contra ameaças (TISC) aplicação.
    9. Clique em Adicionar para adicionar as entradas.
    10. Clique em Clone ou copiar para copiar e criar uma nova conta com base na conta existente.
      Certifique-se de que a entrada esteja desativada antes da clonagem para evitar a criação de entradas duplicadas ao importar dados usando os mesmos critérios.
    11. Depois que os dados forem extraídos, as seguintes informações serão recuperadas e armazenadas no armazenamento de KV em Splunk Junto com os registros extraídos do TISC:
      Campo Descrição
      confiança Indica o nível de confiança associado à precisão da pontuação de ameaça.
      kvlookup_created_time Indica a hora de criação do registro no armazenamento de valor de chave.
      kvlookup_days_till_expiration Indica o número de dias após os quais o registro será excluído do armazenamento do KV.
      instance_url Indica ServiceNow Endereço da URL da instância.
      reputação Indica a reputação da entidade envolvida.
      source_reported_score A pontuação de origem relatada de TISC.
      sys_id Sys ID do registro que está chegando TISC.
      threat_level Indica o nível de gravidade da ameaça.
      threat_score A pontuação que indica o nível de ameaça associada a um registro.
      threat_severity Indica a gravidade da ameaça do observável.
      tipo Indica o tipo de observáveis.
      updated_by Fornece as informações sobre quem atualizou o registro pela última vez.
      kvlookup_updated_time Indica o carimbo de data/hora em que o registro foi atualizado pela última vez no armazenamento de valor de chave.
      valor Valor do registro. Por exemplo, IP, hash e assim por diante.
      Tabela 1. Atributos Adicionais
      Campo Descrição
      adicional_context Forneça qualquer contexto adicional, conforme necessário.
      attack_phases Indica fases de ataque em uma cadeia de destruição, como LM, MITRE ATT&CK.
      autor Forneça o nome do autor.
      comentários Adicione comentários adicionais conforme necessário.
      criado(a) Indica quando o observável foi criado.
      descrição Forneça a descrição.
      expiration_time Especifica o tempo de expiração do registro observável.
      extensões Indica as extensões de um observável.
      first_observed A primeira vez em que os dados foram observados.
      first_seen A primeira vez que este registro foi visto realizando atividades mal-intencionadas.
      historicamente_significativo Indica se o observável é considerado historicamente significativo. Este sinalizador do sistema TISC é usado para excluir o observável do arquivamento.
      id Identificador exclusivo atribuído ao observável pelo sistema TISC.
      _defanged Sinalizador que indica se o valor do observável foi depurado.
      é_falso_positivo Um sinalizador booliano que indica se o observável é identificado como falso positivo.
      idioma Indica o idioma do conteúdo de texto neste objeto.
      last_observed A última hora em que os dados foram observados.
      last_seen A hora em que este objeto foi visto pela última vez executando atividades mal-intencionadas.
      anotações Adicione anotações adicionais para um registro observável.
      número Número gerado pelo sistema atribuído ao observável pelo TISC.
      security_type Especifica se o observável pertence à Lista de permissões ou à Lista de proibições.
      _de_origens Representa o número de fontes exclusivas que contribuíram para o observável.
      origens Especifica a origem da ameaça a partir da qual este registro é criado.
      status Insira o status do observável se ativo ou inativo.
      tisc_tags Selecione os marcadores TISC associados a um observável.
      taxonomias Selecione a taxonomia associada a um observável.
      tlp Valor exclusivo que indica a configuração de confidencialidade de dados por TLP.
      atualizado Indica quando o registro do observável foi atualizado pela última vez
      usage_categories Categorias nas quais o observável se enquadra, como botnet ou phishing.
      watch_list Sinalizador que especifica se o observável está incluído na lista de observação.

      , esses campos, juntamente com quaisquer outros definidos por seus critérios, estarão disponíveis em Splunk e podem ser exibidos, pesquisados e analisados por meio da guia de pesquisa.