Crie e nomeie um perfil de evento para Splunk Enterprise Securityintegração de ingestão de evento

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 50 min. de leitura

    • Você cria um perfil de evento no Now Platforme determine qual Splunkeventos notáveis criam incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Antes Now Platform Resposta a incidentes de segurança( SIR) incidentes de segurança são criados a partir de eventos notáveis ingeridos, os valores de campo dos alertas são exibidos em um layout de Now Platformincidente de segurança para que você possa visualizar como o incidente de segurança real será criado.

    De uma perspectiva de integração usando as APIs disponíveis, Splunk ESeventos notáveis são encaminhados individual e manualmente como eventos notáveis discretos ou são automaticamente ingeridos em Operações de segurançado seu Now Platforminstância dependendo do tipo de perfil definido.

    Os fluxos de trabalho de integração ingerem diferentes tipos de eventos notáveis, como tentativas de acesso não autorizado e malware, por exemplo. Esses eventos notáveis são ingeridos com base nos perfis que você configura no Operações de segurançaambiente da sua instância.

    Inicialmente, todos os notáveis são ingeridos para um tipo de pesquisa de correlação configurado em um perfil. Os notáveis ingeridos podem ser filtrados ainda mais para especificar quais notáveis criam incidentes de segurança. Por exemplo, você pode preferir filtros que criem incidentes de segurança somente para eventos notáveis identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de eventos notáveis ingeridos, os valores de campo individuais nos eventos notáveis são mapeados para os campos correspondentes em um layout do incidente de segurança para uma visualização.

    Procedimento

    1. Nomes dos perfis de evento no Now Platforma instância deve ser exclusiva e só pode ser mapeada para um perfil de evento ativo por vez.
    2. . Now Platformingere notáveis específicos usando os fluxos de trabalho da integração.
      Todos os eventos notáveis que atendem aos critérios de seleção em Splunk ESinicialmente, os consoles são ingeridos em seu Now Platforminstância.
    3. Um perfil no seu Now Platformé um encapsulamento de um evento notável em seu Splunk ESconsole.
      Há um relacionamento um para um entre eventos notáveis que são ingeridos com um perfil e conexões com seu Splunk ESconsole: um tipo de evento notável para uma conexão.
    4. Para criar perfis para eventos notáveis agendados, consulte Configure um perfil para ingestão de eventos notáveis agendados.
    5. Para criar perfis para encaminhamento manual de eventos, consulte Configure um perfil para encaminhamento manual de eventos.

    Configure um perfil para ingestão de eventos notáveis agendados

    Dependendo do perfil definido, Splunk ESeventos notáveis são automaticamente ingeridos em Operações de segurançado seu Now Platforminstância.

    A tabela a seguir mostra a lista de tarefas que você precisa seguir para configurar um perfil para ingestão agendada de eventos notáveis:

    Tabela 1. Etapas para configurar um perfil para ingestão de eventos notáveis agendados
    Tarefa Seção
    Crie um perfil de evento Veja Crie perfis para ingestão de eventos notáveis agendados
    Selecione eventos notáveis com base no nome da pesquisa de correlação Veja Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ESIntegração de ingestão de evento
    Mapeie campos de evento notáveis Veja Mapeando campos de evento notável para Splunk Enterprise Securityintegração
    Crie mapeamentos personalizados Veja Crie mapeamentos para Splunk ESrevisão de incidente de evento notável e detalhes do evento de contribuição (ingestão agendada)
    Visualize o incidente de segurança Veja Visualize o incidente de segurança do Splunk Enterprise SecurityIntegração de ingestão de evento
    Agende e recupere eventos notáveis novos e atualizados Veja Programe e recupere eventos notáveis novos e atualizados para Splunk Enterprise SecurityIntegração de ingestão de evento
    Automate atualizações e fechamento de eventos notáveis com base no status do incidente de SIR Veja Automate atualizações e fechamento de eventos notáveis com base no status do incidente de SIR

    Crie perfis para ingestão de eventos notáveis agendados

    Você pode configurar um perfil para que eventos notáveis sejam automaticamente ingeridos.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Para criar um perfil de evento para um evento notável ou tipo de regra de correlação em seu Now Platforminstância, navegue até Splunk Integration > Perfil de evento do Splunk.
    2. . SplunkO formulário Perfil de evento não é exibido, clique em Nome Na barra de andamento.
    3. Clique em Nova.
    4. Preencha os campos.

      Um exemplo de um formulário preenchido segue a tabela.

      Tabela 2.
      Campo Descrição
      Nome Nome exclusivo do perfil. Se os nomes não forem exclusivos, um erro será exibido e os nomes de perfil duplicados não serão salvos.

      Nomes de perfil em seu Now Platforma instância deve ser exclusiva.
      Ativo A caixa de seleção está desmarcada e desabilitada por padrão. Você deve concluir todas as seções no perfil antes de ativá-lo.
      Tipo Selecione o tipo de perfil na lista de seleção.
      • Ingestão de eventos agendados: Este tipo de perfil oferece suporte a eventos notáveis que são ingeridos em uma programação configurada. Preencha os campos.
      • Encaminhamento manual de eventos: Este tipo de perfil oferece suporte a eventos notáveis que são encaminhados manualmente do seu Splunk Enterprise SecurityConsole de Revisão de incidentes sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
      Origem Splunk término do servidor ou da pesquisa que você configurou para ingerir eventos notáveis. Se você tiver vários Splunkservidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão ingeridos para o perfil. Você deve inserir um valor.
      Ordem O padrão é 100.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto adicional para ajudar você a distinguir este perfil de outros perfis.
      A figura a seguir é um exemplo de um formulário preenchido para um tipo de evento notável agendado.
      Perfil de evento do Splunk ES
    5. Para um perfil com um evento notável agendado, escolha uma opção para continuar com a configuração do perfil.
      OpçãoDescrição
      Continuar Salve o perfil e o andamento na etapa Seleção de evento.
      Atualizar Salve as atualizações neste perfil e retorne para SplunkLista de perfis de evento.
      Salvar Salve este perfil e permaneça na página.
      Excluir Exclua este registro de perfil e retorne para SplunkLista de perfis de evento.

    O que Fazer Depois

    A próxima etapa é selecionar eventos notáveis para ingestão automática.

    Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ESIntegração de ingestão de evento

    Depois de criar um perfil para uma ingestão de tipo de evento notável agendada, selecione um Splunk Enterprise Securitynome da regra de correlação para este perfil para o qual você deseja mapear eventos notáveis correspondentes para a. Now Platform Resposta a incidentes de segurançaincidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Exiba as regras de correlação disponíveis no Now Platformpara que você saiba os tipos de eventos notáveis para os quais deseja ingerir e criar incidentes de segurança. Selecione uma regra de correlação. Você pode selecionar um ou mais eventos notáveis na lista neste formulário.

    Procedimento

    1. Se a página Seleção de evento notável não for exibida, selecione-a na barra de andamento para exibi-la.
    2. Na Lista de regras de correlação, escolha uma das seguintes opções para selecionar uma única regra de correlação ou várias regras de correlação e mova-as e mova-as para a coluna Disponível para a coluna Selecionada.

      A lista de regras de correlação neste formulário corresponde à lista de regras de correlação em seu Splunk ESConsole de Revisão de incidentes. Até 500 regras de correlação são exibidas neste formulário. Se houver mais de 500 regras de correlação listadas em seu Splunk ES, somente os primeiros 500 eventos notáveis são exibidos neste formulário em seu Now Platforminstância.

      Opção Descrição
      No campo de pesquisa Lista de regras de correlação, insira o texto. A coluna abaixo do campo de pesquisa é filtrada com opções disponíveis com base no texto inserido. Selecione uma regra de correlação e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado .
      Na Lista de regras de correlação, clique duas vezes em uma regra de correlação. . Selecionado a coluna é preenchida com sua seleção.
      Na Lista de regras de correlação, clique uma vez em uma regra de correlação. A regra de correlação está selecionada. Com as teclas de seta, mova a regra de correlação selecionada de Disponível para Selecionado .

      Perfil de evento do Splunk ES: Selecione o evento notável
    3. Escolha uma opção para continuar.
      OpçãoDescrição
      Ou, como alternativa, clique em Mapeamento na barra de andamento O formulário de mapeamento é exibido.

      Mapeamento está selecionado na barra de andamento. A próxima etapa é mapear campos de evento notáveis para A. SIRincidente de segurança.
      Atualizar Seus dados são salvos e a lista Perfis de eventos notáveis do Splunk é exibida.
      Anterior . Nome a etapa é exibida.
      Excluir Exclua este perfil de evento e a lista Perfis de eventos notáveis do Splunk será exibida.

    O que Fazer Depois

    Você selecionou com sucesso uma regra de correlação para um agendado Splunk Enterprise Securityperfil. A próxima etapa é mapear valores de evento notáveis para campos em um incidente de segurança.

    Mapeando campos de evento notável para Splunk Enterprise Securityintegração

    Depois de identificar a regra de correlação específica e o tipo de evento notável para o perfil, a próxima etapa é mapear campos de evento notável individuais para os campos em um Now Platform Resposta a incidentes de segurança( SIR) incidente de segurança.

    Visão geral

    Para a etapa de mapeamento, você pode ingerir eventos notáveis de amostra para a regra de correlação selecionada ou exportar dados de eventos notáveis para eventos notáveis encaminhados manualmente. O processo de mapeamento de eventos é idêntico, independentemente do tipo de perfil que você está criando.

    As figuras a seguir são exemplos das configurações de mapeamento padrão fornecidas para cada tipo de perfil de evento. Você pode personalizar os campos que preenchem o incidente de segurança. Durante esta fase de mapeamento, você pode garantir que todos os dados de campo de evento notável relevantes sejam mapeados para o local apropriado no formulário de incidente de SIR e, em seguida, visualizar o incidente de SIR na seção de visualização.

    Se várias correlações forem usadas, os eventos notáveis poderão ser obtidos selecionando Evento obrigatório. Uso Nome do alerta para escolher seu alerta se você tiver configurado vários alertas para ingestão.

    Depois de clicar para buscar dados, o. Splunkos nomes dos campos de evento notáveis e os valores correspondentes são preenchidos no lado esquerdo do formulário. Estes são Splunkcampos de evento notáveis que estão disponíveis para mapear para SIRcampos de incidente de segurança. Alguns campos podem ser mapeados várias vezes para os campos de incidente de segurança DO SIR.


    Mapeamento padrão para eventos notáveis agendados

    Você pode preferir revisar alguns exemplos de eventos notáveis em seu Splunkconsole para ingestão na etapa de configuração de mapeamento de campo. Esta etapa é rotulada Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos notáveis de amostra de Splunk Enterprise Securitypara ajudar no processo de mapeamento de campo de evento notável. Há opções para ingerir os cinco eventos notáveis mais recentes para a regra de correlação selecionada ou ingerir até cinco eventos notáveis específicos com base nos IDs de eventos notáveis.

    Abaixo está um resumo das etapas necessárias para mapear eventos notáveis:
    • Ingestão de dados de amostra de evento notável agendado: Para dados de amostra usados para perfis de evento notável ingeridos automaticamente, os campos de evento notável disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento depois que os dados de amostra são recuperados. As guias são exibidas para você exibir os valores de um ID de evento notável específico que você extraiu. Verifique se todos os campos críticos da seção Ingestão de amostra de evento notável à esquerda do formulário estão mapeados para ServiceNowcampos de incidente de segurança à direita do formulário.
    • Mapeamento de campo: Edite a configuração de mapeamento arrastando campos de evento notáveis do lado esquerdo e soltando-os no ServiceNowSeção de mapeamento de incidentes DO SIR à direita. O mapeamento à direita associa o campo Evento notável de entrada a um campo de incidente de segurança de saída.
    • Experiência de mapeamento: Personalize a grade de mapeamento adicionando ou removendo campos usando o ícone de adição na parte inferior da seção de mapeamento de campo de incidente de SIR. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida (os campos mapeados ficam esmaecidos, os campos azuis não estão mapeados).
    • Condições de geração de incidentes: Depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais eventos notáveis devem criar incidentes de segurança em comparação com quais eventos notáveis devem ser filtrados, por exemplo, eventos notáveis de baixa prioridade. Isso é feito na seção Condições de geração de incidentes localizada abaixo da seção Mapeamento de eventos notáveis.
    • Critérios de agregação de eventos: Defina critérios de agregação de eventos adicionais que agreguem um evento notável de entrada a um existente SIRincidente de segurança em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de eventos notáveis de segurança relacionados em um único incidente de segurança.
    • Tradução de campo de formato: Em determinados casos, os valores do campo de evento no SplunkEventos notáveis da empresa podem não ser traduzidos diretamente para os campos no SIRincidente de segurança. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de scripts, um valor de categoria Alerta de malware e infecção por vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos em uma Atividade de código mal-intencionado comum no campo Categoria no SIRIncidente de segurança usando a funcionalidade Tradução de campo de formatação.

    A próxima etapa é ingerir eventos notáveis e mapear valores para SIRcampos de incidente de segurança.

    Crie mapeamentos para Splunk ESrevisão de incidente de evento notável e detalhes do evento de contribuição (ingestão agendada)

    Durante a etapa de mapeamento de campo de evento notável, você mapeia campos de evento individuais de eventos notáveis para campos em um Now Platform Resposta a incidentes de segurança( SIR) incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A grade de mapeamento pode ser personalizada para o tipo de evento notável selecionado na seleção de regra de correlação. A codificação por cores dos campos de evento ajuda a acompanhar os valores de evento que você já mapeou, pois eles ficam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda você a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de evento importante restante permanece não mapeada.

    Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de evento notável à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente de SIR à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que geralmente são importantes para preencher no formulário de resposta a incidentes de segurança são exibidos. No entanto, esses campos podem ser removidos e todos os campos adicionais podem ser exibidos usando os botões mais e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear Splunkcampos que não são exibidos na grade de mapeamento padrão no SIRincidente de segurança.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Para obter um perfil com uma ingestão agendada, abaixo de Ingestão de amostra de evento notável, clique em Buscar dados de amostra para extrair os eventos notáveis de amostra mais recentes do Splunk Enterpriseconsole da regra de correlação selecionada.
      Nota:
      Você pode extrair os eventos notáveis de amostra mais recentes ou fornecer os IDs de eventos notáveis exclusivos para os eventos notáveis específicos que você deseja usar para sua experiência de mapeamento de eventos notáveis.

      Os resultados de campos e valores de evento notáveis são exibidos como guias individuais. Você pode ingerir até cinco eventos notáveis.

      A extração de eventos notáveis de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Na figura a seguir, os pares de valor de nome de campo para o evento notável ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário depois que a extração de ingestão é concluída. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente de SIR do formulário.


      Buscar dados de amostra e eventos notáveis ingeridos
    3. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e segure um nome de campo azul no lado esquerdo do formulário.
    4. Arraste o nome do campo, por exemplo, src_category E solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

      Arrastar e soltar para valores mostrados por seta.

      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, src_category está mapeado para categoria campo no incidente de segurança. No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo à direita. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

      Para ajudar você a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Os campos azuis claros à esquerda indicam que um campo de evento notável ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo notável de entrada a mais de um campo em um incidente de segurança.

      Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Esta codificação por cores ajuda você a rastrear o mapeamento.


      Campo de categoria e valor no incidente de segurança destacados
    5. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
      1. À direita do formulário, na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de mais.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.

        Na lista expandida do novo campo, alguns campos são sombreados. Na figura a seguir, Categoria tem um fundo cinza, porque foi mapeado no incidente de segurança. Semelhante à codificação por cores dos campos de eventos notáveis no lado esquerdo do formulário, essa codificação por cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente DE SIR já mapeados.

        Mapeamento de campo de categoria

        Nota:
        Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho são compatíveis com vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, uma mensagem de erro será exibida informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista da qual você pode escolher várias opções e você tentar mapear uma opção para esse campo que não seja exibida na lista, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar ID do evento Que você deseja no campo Expressão de entrada.
    6. Continue o mapeamento adicionando ou removendo valores de campo ao mapeamento.
      A figura a seguir é um exemplo de um mapeamento editado. No campo inferior à direita, o campo Anotações de trabalho é adicionado e tem mais de um valor. Observe que, para o campo de cadeia de caracteres de texto longa, você pode expandir o campo de mapeamento para ver a cadeia de caracteres completa e redimensionar conforme necessário, puxando o canto inferior direito do campo, conforme indicado na captura de tela abaixo com o campo de anotações de trabalho adicionado:
      Anotações de trabalho com vários valores realçados
      Aviso:
      Observe que no Mapeamento de campo de incidente de SIR , o URL e o número da porta mencionados em Expressão de entrada O campo é apenas um exemplo e não o URL ou o número da porta fornecido pronto para uso.

      Na visualização, esses valores são exibidos nas anotações de trabalho sobre o incidente de segurança. Como o valor é para um campo que você adicionou à seção de mapeamento e há vários valores mapeados para o campo de anotações de trabalho, os valores são exibidos conforme inseridos. Neste exemplo, os espaços e os sinais de pontuação inseridos no campo são exibidos na seção Itens relacionados como uma anotação de trabalho na visualização do incidente de segurança.

      A imagem a seguir é um exemplo de como os valores na imagem anterior são exibidos no incidente de segurança.

      Valor do campo Anotação de trabalho exibido no incidente de segurança.
    7. Opcional: Abra o editor de scripts e continue editando.

      Para obter mais informações sobre o editor de scripts, consulte Use o editor de scripts para formatar valores de alerta para Splunk Enterprise Event Ingestionintegração.

      Incluindo hiperlinks para revisão de incidente de evento notável e eventos de contribuição

      Além de mapear campos, o. sn_si.admin pode mapear um valor de cadeia de caracteres que permite que o analista de segurança que trabalha em um incidente faça um hiperlink de volta para a revisão de incidente de evento notável no Splunk Enterprise Securitye os eventos de contribuição subjacentes que fazem parte da pesquisa de detalhamento.

      Os valores de cadeia de caracteres a seguir contêm Splunk Enterprise Securitynome do servidor e variáveis apropriadas que podem ser usadas para hipervincular estes detalhes:

      • Hiperlink de Revisão de incidente de evento notável : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$

        onde splunkes2.secops-eng.com:8000 É a origem do servidor Splunk e. info_min_time e. event_id são valores de campo de evento extraídos dos eventos notáveis.

      • Hiperlink de eventos de contribuição de evento notável (pesquisa de detalhamento) : https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$

        onde splunkes2.secops-eng.com:8000 É a origem do servidor Splunk e. drilldown_search é um valor de campo de evento extraído dos eventos notáveis.

      A imagem a seguir mostra o URL de revisão de incidente de evento notável mapeado para o campo de anotação de trabalho e o hiperlink Eventos de contribuição de evento notável (pesquisa de detalhamento) mapeado para um campo personalizado chamado URL de incidente de evento notável:


      URL de revisão de incidente de evento notável mapeado para worknote
      A imagem a seguir é a Visualização de incidente DO SIR com o hiperlink Revisão de incidente de evento notável e URL de eventos de contribuição:
      Hiperlink de revisão de incidente de evento notável e hiperlink de eventos de contribuição:

      Condições de filtragem de geração de incidentes

    8. Opcional: Após concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor de condições de geração de incidentes para definir critérios adicionais que um evento notável de entrada deve atender para criar um SIRincidente de segurança.
      Para definir condições de geração de incidentes, siga estas etapas.
      1. Role até a seção Condições de geração de incidentes no formulário e selecione Filtro com base em condições para habilitar a opção.

        O construtor de condições de filtro é exibido. Use estes filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

        As opções nas listas do primeiro campo no construtor de condições de filtro correspondem aos campos exibidos na seção Ingestão de amostra de evento notável para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo de Splunkeventos notáveis que você ingerir ou o evento que você selecionar para as amostras de eventos notáveis encaminhadas manualmente. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores de Splunk Enterprise Securityevento notável. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao Splunk Enterprise Securityconsole e revise seus eventos notáveis para as palavras-chave.


        Construtor de condições de filtro
      2. Usando as listas e os campos do construtor de condições, defina filtros para a primeira linha.
      3. Para adicionar mais condições, à direita dos campos, clique em E. ou OU .
        Se E. está selecionado, todas as condições devem ser correspondidas. Se OU é selecionado, qualquer condição pode ser correspondida.
      4. Opcional: Na segunda linha, defina uma segunda condição de filtro.

        A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.


        Construtor de condições de filtro:2

        Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando as duas condições de filtragem inseridas forem correspondidas.

        Esse tipo de filtragem de condição de geração de incidentes ajuda a restringir os eventos de segurança e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou os filtros em Splunk. Se critérios de filtragem adicionais forem definidos, somente eventos notáveis que correspondem a todos os critérios serão mapeados para incidentes.

        Nota:
        Se algum dos nomes de campo de evento tiver caracteres especiais, como aspas ("), hifens ("), sublinhados (-), em (") ou e comercial (&), esses caracteres podem ser substituídos para fins de tradução de mapeamento e possivelmente criar um nome de evento duplicado. O mapeamento pode ser feito adequadamente, mas um sufixo numérico é anexado para diferenciar campos com nomes de eventos duplicados. Por exemplo, se o primeiro campo de evento for alerts.alert e o segundo campo de evento é alertas em alertas , esses campos não podem ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para alertas em alerta(1) .

      Critérios de agregação de eventos para lidar com notáveis semelhantes e evitar incidentes duplicados

    9. Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos notáveis de entrada sejam agregados a um incidente de segurança em aberto.
      Para definir os critérios, siga estas etapas abaixo.
      1. Role até a seção Critérios de agregação de eventos no formulário e selecione Condições agregadas para habilitar esta opção.

        Os campos Incidente com valores correspondentes são exibidos. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados configurados no SIRincidente de segurança.

      2. No campo de entrada de seleção múltipla, selecione os valores de campo que você deseja corresponder nos incidentes de segurança existentes no Now Platform.
      3. Use o. Adicionar novos critérios para selecionar várias condições de correspondência de campo.
        Todos os valores de campo selecionados no campo de entrada de seleção múltipla correspondem aos critérios de agregação usando a condição E. Clique em Adicionar novos critérios Para selecionar várias condições de correspondência de campo em que a agregação ocorre se qualquer uma das condições de campo de seleção múltipla definidas for atendida usando a condição OU.

        Critérios de agregação

        Se um novo evento notável corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo evento notável será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analista trabalhando com incidentes de segurança, você pode exibir todos os eventos notáveis agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos notáveis agregados em um incidente de segurança são exibidos no SplunkEvento para lista relacionada de tarefas. Esta lista detalha carimbos de data/hora associados e valores de campo agregados. Essas informações ajudam você a entender por que esses eventos notáveis estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique em Mostrar todas as listas relacionadas link.


        Evento de Splunk para lista relacionada de tarefas realçado
      4. Opcional: Para registrar uma anotação de trabalho para um novo evento notável que foi adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção.
        A anotação de trabalho registra em log que um novo notável foi adicionado junto com um link para os detalhes do alerta e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.
      Valores mapeados com sucesso de um Splunkevento notável para campos em a. SIRincidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também anexou eventos notáveis a existentes SIRincidentes de segurança quando os valores do campo de evento correspondem aos critérios de agregação configurados.
    10. Escolha um para continuar com a configuração do perfil.
      OpçãoDescrição
         
      Continuar O formulário de mapeamento é exibido.

      Visualização está selecionado na barra de andamento. A próxima etapa é visualizar os campos mapeados em um SIRincidente de segurança.
      Atualizar Seus dados são salvos e a lista de perfis de evento Splunk é exibida.
      Anterior O formulário Seleção de evento notável é exibido.
      Excluir Exclua este perfil de evento e a lista Perfis de evento Splunk será exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os valores mapeados no incidente de segurança.

    Visualize o incidente de segurança do Splunk Enterprise SecurityIntegração de ingestão de evento

    Após concluir a etapa de mapeamento, visualize os valores mapeados em um Now Platform® Resposta a incidentes de segurança( SIR) incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos notáveis que deseja exibir no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou preencher dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. Visualizações de SIRos incidentes de segurança não são salvos como incidentes reais no SIRproduto.

    Procedimento

    1. Se a visualização do incidente de segurança não for exibida, clique em Visualização na barra de andamento.
    2. Na lista de seleção Nome do evento, selecione um item se vários eventos foram usados.
    3. Selecione IDs de evento na lista de seleção de IDs de evento notáveis de amostra.
    4. Na lista de seleção IDs de evento notáveis de amostra, selecione um item.

      Selecione a lista de seleção de evento expandida.

      O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro desse incidente de segurança não foi salvo.

    5. Revise o mapeamento de campo dos valores de evento notáveis no incidente de segurança.

      Mensagem de erro em um incidente de segurança na visualização.

      A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um valor de campo do evento notável não tem um valor aceitável para o campo de referência no formulário de incidente de SIR. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para Item de configuração campo no ServiceNow®Banco de dados de gestão de clientes (CMDB). Como resultado, este valor de campo mapeado não aparecerá no formulário de incidente de segurança SIR sem modificações adicionais.

    6. Para resolver este erro, clique em Mapeamento na barra de andamento.
    7. Edite o mapeamento para corrigir valores incorretos ou preencher dados ausentes.
    8. Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

      A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um SIRincidente de segurança após todas as mensagens de erro serem resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados, e esses campos são preenchidos com os valores dos pares de valores extraídos do Splunk Enterprise Securityamostras de eventos notáveis. O primeiro campo de anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotação de trabalho adicionais que têm valores foram adicionados à seção de mapeamento.


      Campos de anotação de trabalho e Descrição na visualização do incidente de segurança
    9. Depois de corrigir os erros e verificar se os campos estão do jeito que você deseja, escolha uma opção para continuar.
      OpçãoDescrição
      Continuar O formulário Agendamento é exibido para perfis com eventos notáveis agendados.

      Programação está selecionado na barra de andamento.
      Encerrar Para perfis com configurados para encaminhamento manual de eventos, clique em Concluir . Não há etapa de programação para perfis com dados de evento exportados sob demanda diretamente do Splunk Enterprise Securityconsole.
      Atualizar Seus dados serão salvos e você retornará para SplunkLista de perfis de evento.
      Anterior A etapa Mapeamento na barra de andamento é exibida.
      Excluir Exclua este perfil de evento e o. SplunkA lista de perfis de evento é exibida.

    O que Fazer Depois

    Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campo no incidente de segurança, a próxima etapa será Programe e recupere alertas para Splunk Enterprise Event Ingestionintegração.

    Programe e recupere eventos notáveis novos e atualizados para Splunk Enterprise SecurityIntegração de ingestão de evento

    Para perfis automatizados de ingestão de eventos notáveis, esta etapa é necessária na configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de eventos notáveis ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos notáveis históricos usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para perfis para ingestão automatizada de eventos notáveis, você escolhe se deseja ingerir eventos notáveis históricos durante a etapa de Agendamento. Você também escolhe com que frequência você pesquisará novos eventos notáveis futuros e eventos notáveis atualizados que correspondam à configuração do perfil de alerta.

    Para perfis automatizados de ingestão de eventos notáveis, antes que o perfil seja ativado, você verifica e modifica a programação e a recuperação de alertas. Esta é uma etapa obrigatória para todos os processos de configuração de perfil de evento para perfis de alerta agendados.

    Esses intervalos de pesquisa são configurados por perfil. O desempenho do Splunka integração de ingestão de eventos pode ser afetada pelos diferentes intervalos de pesquisa. Ao agendar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no Splunk Enterprise Securityum servidor contra o desejo de ser notificado o mais rápido possível quando um evento notável é criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo eventos notáveis novos e atualizados

    Quando o cronograma de pesquisa é definido, o trabalho agendado extrai eventos notáveis novos e atualizados que foram extraídos anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando um evento notável é criado pela primeira vez, mas se torna disponível após a ocorrência de uma atualização, por exemplo, durante a fase de investigação. Quando um incidente é criado para um evento notável específico, suas atualizações subsequentes são ignoradas, pois espera-se que o notável esteja sendo tratado como ativo ServiceNow®incidente de segurança. No entanto, todos os outros notáveis que foram ingeridos anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídos e verificados em relação aos critérios de geração de incidentes até se tornarem parte de um incidente ativo.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação .
    2. Escolha um para programar como e quando os eventos notáveis são extraídos do Splunk Enterprise Securityconsole.
      OpçãoDescrição
      • Campo de ingestão de evento contínuo selecionado
      • O campo Recuperação única foi limpo
      		 Evento em andamento

      Com base na configuração padrão, o. Now Platforma instância extrai do Splunk Enterprise Securityservidor para eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança são criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.
      • Campo de evento notável em andamento limpo
      • Campo Recuperação única selecionado
      		 Recuperação Única

      Use esta configuração se você quiser uma extração única para ingerir eventos notáveis históricos.

      Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. A partir do valor da data Desde, os eventos notáveis são recuperados até a data atual. Observe que você pode extrair até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos de Splunk Enterprise Securitypor motivos de arquivamento, mas sim por uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

      Após os eventos notáveis serem extraídos, esta configuração não recuperará eventos mais notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

      Página de programação com calendário exibido.

      Como exemplo para programar um tempo de ingestão de evento notável inicial, se você tiver um diário SplunkVerificação de segurança que é executada uma vez por dia às 4 hora local, você pode configurar o perfil de evento notável correspondente em seu Now PlatformInstância a ser executada às 4:05 hora local para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 No campo Ingestão de evento inicial. No campo Incremento (minutos), insira 1440 (24 horas) para programar a próxima ingestão de evento para 24 horas a partir da ingestão de evento inicial. A hora de ingestão do evento inicial e a hora de ingestão do próximo evento são exibidas nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, selecione Ingestão de eventos em andamento para habilitar esta opção.
      2. No campo Incremento (minutos), insira 1440 (24 horas).
      3. Clique em Selecione Ingestão de evento inicial Caixa de seleção para habilitar a edição dos campos Ingestão de evento inicial e Ingestão de próximo evento.
      4. No campo Ingestão de evento inicial, insira 04 05 00 .
        No campo Próxima ingestão de evento (estimada), a hora da próxima ingestão de evento é exibida.
    4. Clique em uma das opções a seguir para continuar com a configuração do perfil.
      OpçãoDescrição
      Continuar O formulário Opções adicionais é exibido. Opções adicionais está selecionado na barra de andamento. A próxima etapa é atualizar os eventos notáveis quando o incidente de SIR é criado e/ou encerrado.
      Atualizar Seus dados são salvos e o. SplunkA lista Perfis de segurança de evento é exibida.
      Anterior O formulário de Programação é exibido.
      Excluir Exclua este perfil de evento e o. Splunk Enterprise SecurityA lista de perfis de evento é exibida.

    Automate atualizações e fechamento de eventos notáveis com base no status do incidente de SIR

    Os incidentes de segurança podem ser criados e atualizados após serem criados com uma interface bidirecional com o. Splunk Enterprise Securityintegração.

    Antes de Iniciar

    . Splunk Enterprise Securitya integração tem uma interface bidirecional que permite que eventos notáveis criem incidentes de segurança, bem como atualizem os eventos notáveis após a criação e/ou encerramento do incidente de segurança.

    Os detalhes relevantes do incidente incluem SIRnúmero do incidente, grupo de atribuição, SIRURL do incidente. Esta seção é a parte final da configuração de perfil que fornece capacidades opcionais para atualizar o. Splunk Enterprise Securityeventos notáveis.

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .
    2. Siga as instruções abaixo para concluir a configuração para atualizar eventos notáveis com base em atualizações de incidentes de segurança.
      Opção ou CampoDescrição
      Atualizar eventos notáveis após a criação de incidente de SIR Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável. Isso pode ocorrer tanto para os eventos notáveis iniciais que acionam o incidente de segurança, quanto para eventos agregados.
      Atualização inicial de status do evento notável Você deve selecionar uma opção de status no menu que exibe todos os valores de status disponíveis recuperados do Splunk Enterprise Securityservidor. Isso pode incluir um status de criação personalizado, como ServiceNow- Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes e notáveis que são ingeridos e agregados a um incidente em aberto existente.
      Comentários iniciais retornados para o evento notável Além de atualizar o valor de status notável, você também pode publicar comentários no histórico de revisão de incidente de evento notável. Como indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠(nome do campo) para qualquer campo no Resposta a incidentes de segurançaformulário de incidente.
      Fechar eventos notáveis após o fechamento do incidente de SIR Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento notável. Isso ocorrerá tanto para os eventos notáveis iniciais que acionam o incidente de segurança, quanto para eventos agregados.
      Atualização de status do evento notável de fechamento Você deve selecionar uma opção de status no menu de lista que exibe todos os valores de status disponíveis que são recuperados do Splunk Enterprise Securityservidor. Isso pode incluir um status de criação personalizado, como ServiceNow- Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notáveis que criam novos incidentes, bem como notáveis que são ingeridos e agregados a um incidente em aberto existente.
      Comentários de fechamento publicados novamente no evento notável Além de atualizar o valor de status notável, você também pode publicar comentários de fechamento no histórico de revisão de incidente de evento notável. Como indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠(nome do campo) para qualquer campo no Resposta a incidentes de segurançaformulário de incidente.
    3. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair eventos notáveis do Splunk Enterprise Securityconsole com base em sua programação. Há um limite de 1 000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos notáveis são por alerta disparado. Os eventos notáveis subsequentes serão ignorados após os limites serem atingidos.
      A imagem a seguir mostra a guia Opções adicionais com os valores padrão preenchidos:
      Opções adicionais:1
      Com a configuração de Opções adicionais habilitada, a revisão de incidente de evento notável mostra a mudança de status e uma atualização dos comentários do histórico:
      Opções adicionais: 2

    Configure um perfil para encaminhamento manual de eventos

    Dependendo do perfil definido, Splunk ESeventos notáveis são encaminhados manualmente como eventos notáveis discretos para o. Operações de segurançado seu Now Platforminstância.

    Para configurar um perfil para encaminhamento manual de eventos notáveis:

    Tarefa Seção
    Crie um perfil de evento Veja Crie perfis para eventos encaminhados manualmente
    Mapeie campos de evento notáveis Veja Mapeando campos de evento notável para Splunk Enterprise Securityintegração
    Crie mapeamentos personalizados Veja Crie mapeamentos para Splunk ESrevisão de incidente de evento notável e detalhes do evento de contribuição (encaminhamento manual)
    Visualize o incidente de segurança Veja Visualize o incidente de segurança do Splunk Enterprise SecurityIntegração de ingestão de evento

    Configure seu Splunkambiente para ingestão manual

    		 Veja Configure seu Splunkambiente para ingestão manual de eventos para Splunk Enterprise SecurityIntegração de ingestão de evento notável
    Automate atualizações e fechamento de eventos notáveis com base no status do incidente de SIR Veja Automate atualizações e fechamento de eventos notáveis com base no status do incidente de SIR

    Crie perfis para eventos encaminhados manualmente

    Você pode configurar um perfil para eventos encaminhados manualmente.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    Para criar um perfil compatível com o encaminhamento manual de eventos, siga estas etapas.

    Para eventos que você encaminha sob demanda do Splunk Enterprise Securityconsole, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos que você encaminha manualmente não são agendados no perfil de evento.

    1. Se ainda não estiver selecionado, na lista de seleção do campo Tipo, selecione Encaminhamento manual de eventos .
    2. No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.
      Consulte as figuras e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.
      Splunk: Encaminhamento manual de eventos
      Tabela 3. Opção Criar novo mapeamento de campo
      Opção ou campo Descrição
      Criar nova opção de mapeamento de campo Novo mapeamento de campo para seu evento.

      Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
      Perfil padrão

      Perfil de encaminhamento de eventos padrão para todos Splunkeventos. O padrão é limpo (desativado).

      Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é usado quando não há correspondência na origem do evento encaminhado manualmente. Ele se torna o perfil padrão para todos os eventos com origens desconhecidas.

      O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
      Origem (campo de evento notável) Este é um campo que normalmente define a regra de correlação que acionou os notáveis, por exemplo, ataques de força bruta.

      Este campo não estará disponível se a opção de perfil padrão estiver habilitada.

      Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação splunk que geralmente é diferente para diferentes tipos de evento.

      Se você quiser gerenciar regras de correlação diferentes separadamente, você pode criar perfis de evento de perfil diferentes com base na regra de correlação para atender a este requisito.
      Automatize atualizações de eventos notáveis Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de SIR for criado a partir do evento notável e/ou quando o incidente de SIR for encerrado. Isso ocorrerá tanto para os eventos notáveis iniciais que acionam o incidente de SIR, quanto para eventos agregados.

      Origem ( SplunkServidor)

      . Splunkservidor que você configurou como a origem de eventos notáveis. Se você tiver vários Splunkservidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. Você deve inserir um valor.
      Ordem O padrão é 100. Deixe esta configuração como padrão.

      Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto para ajudar você a distinguir este perfil de outros perfis.

      Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.

      Para obter um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.
      Manual: Perfil existente
      Tabela 4. Selecione o perfil existente para a opção de mapeamento de campo
      Opção ou campo Descrição
      Selecionar o perfil existente para mapeamento de campo Reutilize um mapeamento de campo existente para seu novo perfil de evento notável. O campo Copiar do perfil é exibido.

      Siga estas etapas para copiar um mapeamento de campo existente para este perfil.

      1. À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa.
      2. Em SplunkES Lista de perfis de evento exibida, clique no nome do perfil que tem o mapa que você deseja copiar.

        O nome do perfil é exibido no campo Copiar do perfil.
      Perfil padrão

      Perfil de encaminhamento de eventos padrão para todos Splunkeventos notáveis com origem incomparável. O padrão é limpo (desabilitado).

      Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos.

      O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
      Origem (campo de evento notável) Este é um campo que normalmente define a regra de correlação que acionou os notáveis, por exemplo, ataques de força bruta.

      Este campo não estará disponível se a opção de perfil padrão estiver habilitada.

      Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação splunk que geralmente é diferente para diferentes tipos de evento.

      Se você quiser gerenciar regras de correlação diferentes separadamente, você pode criar perfis de evento de perfil diferentes com base na regra de correlação para atender a este requisito.
      Automatizar eventos notáveis Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável ou quando o incidente de segurança for encerrado. Isso ocorre tanto para os eventos notáveis iniciais que acionam o incidente de segurança, quanto para eventos agregados.

      Origem ( SplunkServidor)

      Splunk término do servidor ou da pesquisa que você configurou como a origem de eventos notáveis. Se você tiver vários Splunkservidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. Você deve inserir um valor.
      Ordem O padrão é 100. Deixe esta configuração como padrão.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto para ajudar você a distinguir este perfil de outros perfis.

      Na parte inferior do formulário para selecionar um mapeamento existente para seu perfil, clique em Concluir para concluir a configuração do perfil.

    Crie mapeamentos para Splunk ESrevisão de incidente de evento notável e detalhes do evento de contribuição (encaminhamento manual)

    Durante a etapa de mapeamento de campo de evento notável, você mapeia campos de evento individuais de eventos notáveis para campos em um Now Platform Resposta a incidentes de segurança( SIR) incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de evento notável à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente de SIR à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos padrão que geralmente são importantes para preencher no formulário de incidente SIR são exibidos. No entanto, esses campos podem ser removidos e todos os campos adicionais podem ser exibidos usando os botões mais e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear Splunkcampos que não são exibidos na grade de mapeamento padrão no SIRincidente de segurança.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Siga estas etapas para carregar dados de anexo no Now Platform®instância.
      1. Se ainda não estiver conectado, faça login em Splunk Enterpriseconsole.
      2. Navegue até a guia Pesquisar e insira um nome para uma pesquisa que tenha os dados de evento notáveis que você deseja exportar.
        Um formato de pesquisa de exemplo para recuperar eventos notáveis para a regra de correlação de comportamento de acesso de força bruta seria o seguinte: "Notável"|origem de pesquisa: "Acesso - Comportamento de acesso de força bruta detectado - Regra".
      3. Expanda o evento notável e, na coluna Campo, selecione os campos que você deseja importar.

        Esses campos são os pares campo-valor que são exportados e exibidos na página Mapeamento no Now Platform®instância.


        Splunk ES: Selecione eventos notáveis para exportação
      4. Em seu Splunk EnterpriseNo canto superior direito da página de Pesquisa, clique em Exportação ícone.
      5. Na lista de seleção do campo Formato na caixa de diálogo exibida, clique em Formato XML .
      6. Opcional: Insira um novo nome de arquivo.
      7. Clique em Exportar.

        Splunk ES: Exportar arquivo XML
        O exportado SplunkO arquivo XML de evento notável agora deve ser carregado em seu Now Platform®instância.
      8. Se a página Mapeamento ainda não estiver exibida no Now Platform®instância, clique em Mapeamento na barra de andamento.
      9. Na coluna Ingestão de amostra de evento notável, clique em Carregar dados do anexo .

        Splunk ES: Carregar dados do anexo
      10. Na caixa de diálogo exibida, clique em Escolha arquivos e navegue até .xml arquivo que você exportou e clique em Aberto .
        Após clicar para carregar dados de anexo para eventos encaminhados manualmente, o. Splunk ESos campos de eventos notáveis são preenchidos no lado esquerdo do formulário. Esses valores são os valores de campo que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente de SIR do formulário.
        Os pares de valores dos campos que você exportou para o evento são exibidos no lado esquerdo do formulário de mapeamento.
    3. Siga as etapas 5 a 10 em Crie mapeamentos para Splunk ESrevisão de incidente de evento notável e detalhes do evento de contribuição (ingestão agendada)seção.

    Configure seu Splunkambiente para ingestão manual de eventos para Splunk Enterprise SecurityIntegração de ingestão de evento notável

    Instale e configure o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securityaplicação em seu SplunkConsole empresarial ou instância do Splunk Cloud se você quiser exportar eventos manualmente e sob demanda do Splunk Enterprise Securityconsole para esta integração.

    Antes de Iniciar

    Instalando e configurando o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securityaplicação em seu SplunkA instância do console empresarial ou do Splunk Cloud é opcional.

    Verifique se você instalou a aplicação para esta integração do ServiceNow Storeantes de instalar o plug-in de complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não tiver instalado a aplicação para a integração do ServiceNow Store, consulte Instale e configure o. ServiceNowaplicação para Splunk Enterprise SecurityIntegração de ingestão de evento notávele siga as instruções para instalá-lo.

    Função necessária: Splunk Enterprise Securityadministrador

    Por Que e Quando Desempenhar Esta Tarefa

    Se você quiser exportar eventos manualmente e sob demanda do Splunk Enterpriseconsole para a integração, download, instalação e configuração do ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securityda base de splunkno seu Splunk Enterprise Securityconsole. Isso ServiceNowo complemento de extensão é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente no Now Platforminstância. Isso ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securitya aplicação está disponível em splunkbase .

    Para o encaminhamento manual de eventos, você pode identificar até dois diferentes Now Platformendpoints (instâncias) em seu Splunk Enterprise Securityconsole. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não tiver instalado o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Security, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase .
      2. PESQUISE ServiceNow Operações de segurançaComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Security.
        Nota:
        Verifique se você selecionou ServiceNow Operações de segurançaComplemento de ingestão de eventos para Splunk Enterprise Security. Há adicionais ServiceNowcomplementos exibidos nesta lista. Esses complementos são para diferentes ServiceNow Splunke elas não são necessárias para esta integração.
      3. Baixe a aplicação.
      4. Abra seu Splunk Enterprise Securityconta.
      5. Na página Aplicativos, clique no ícone de engrenagem ou em Gerenciar apps atalho na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicativos exibida, clique em Instale o app do arquivo .
      7. Clique em Escolha Arquivo , selecione ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securitye clique em Upload .
      8. Se solicitado, reinicie Splunk Enterprise.
        . ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securityestá instalado em seu Splunk Enterprise Securityconsole. A próxima etapa para configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise Security, clique em Apps ícone de engrenagem ou Gerenciar apps na lista suspensa do menu.
      2. Na lista de aplicações exibida, em Ações clique em Configuração para ServiceNow Operações de segurançaComplemento de ingestão de eventos para Splunk Enterprise Security.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido em seu Splunk Enterprise Securityconsole.
        Endpoints de API
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo de ação do fluxo de trabalho Nome do Now Platformfluxo de trabalho da sua instância de produção (primária). Este nome é o nome de um Now Platforminstância que seus usuários que estão monitorando SplunkOs eventos são identificados como uma instância primária, por exemplo, ingestão de eventos ServiceNow (produção).

      O padrão para este campo é Ingestão de eventos ServiceNow (produção).

      Em seu Splunk Enterprise SecurityEste nome de fluxo de trabalho é exibido para a instância de produção (primária) no expandido Ações de evento lista suspensa de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
      URL O URL do Now PlatformInstância inserida no campo Rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no seu navegador e cole-o neste campo no formulário.
      Endpoint Caminho da API de base. Para obter mais informações, consulte a figura a seguir à tabela.

      Se você não tiver um valor para o endpoint do Now Platforminstância de produção, siga estas etapas.

      1. Faça login em Now Platforminstância de produção como um usuário com a função de administrador do sistema (administrador).
      2. Insira REST com script no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione REST com script módulo exibido.
      4. Se a ingestão de evento não estiver listada na coluna Nome do REST com script lista que é exibida, no campo de pesquisa na parte superior, insira Ingestão de evento .
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint no formulário. Um exemplo de caminho de api base é, /api/sn_sec_splunk_v2/event_ingestion .
      Nome do usuário Nome de usuário do Now Platforminstância. Este nome é o nome de usuário do Now Platforminstância na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.

      Para obter mais informações sobre como atribuir esta função, consulte Configure seu Now Platforminstância do Splunk Enterprise Event Ingestionintegração.
      Senha Senha do Now Platforminstância.

      Esta senha é a senha do Now Platforminstância na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.
      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Estes campos são opcionais. Você não precisa especificar uma instância secundária.
      Rótulo de ação do fluxo de trabalho Nome do Now Platformfluxo de trabalho para sua instância secundária (preparação). Este nome é o nome de um Now Platforminstância que seus usuários que estão monitorando Splunkos eventos são identificados como uma instância secundária, por exemplo, ServiceNowIngestão de evento (preparação).

      Em seu Splunk Enterprise SecurityEste nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandida de uma pesquisa. Isso Now Platforma instância é sua instância de preparação. Você pode editar o nome.
      URL O URL do Now PlatformInstância inserida no campo Rótulo de ação de fluxo de trabalho anterior para o secundário Now Platforminstância.

      Copie o URL no seu navegador e cole-o neste campo no formulário.
      Endpoint Caminho da API de base. O valor do Caminho da API base da instância secundária é o mesmo valor que o Caminho da API base da instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome do usuário Nome de usuário do Now Platforminstância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha do Now Platforminstância de preparação. O usuário deve ter a função (sn_sec_splunkes.api_account_access).
      A figura a seguir é um exemplo da lista de APIs REST com script em seu Now Platform. A lista exibe o local do valor de endpoint de um Now Platforminstância que você insere no formulário como parte da configuração para ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise Securityextensão em seu Splunk Enterprise Securityconsole.
      Caminho da API base realçado.
    3. No formulário de configuração em Splunk Enterprise Securityconsole, clique em Salvar para salvar suas edições.

      Após alguns momentos, no canto superior esquerdo do formulário em seu Splunk Enterprise Securityuma mensagem é exibida informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) do seu Now PlatformAs instâncias que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa em Splunk Enterprise Securityconsole.

    O que Fazer Depois

    Se você ainda não tiver salvo pesquisas em Splunk Enterprise Securityconsole, a próxima etapa é salvar pesquisas como alertas em Splunk Enterprise Securityconsole.