Configurando o complemento do TISC em Splunk

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Siga este procedimento abaixo para configurar a aplicação.

    Antes de Iniciar

    Função necessária: Administrador do Splunk

    Por Que e Quando Desempenhar Esta Tarefa

    O procedimento abaixo descreve a configuração do complemento do TISC no Splunk.

    Procedimento

    1. Pesquisar Central de segurança de inteligência contra ameaças para Splunk app na navegação à esquerda.
    2. Clique em Configuração em Ações coluna.
      . Configuração é exibida e você pode configurar seu ServiceNowConta do TISC.
    3. Selecione Adicionar.
    4. No formulário, preencha os campos.
      Campo Descrição
      Adicionar Contas
      Nome Um nome exclusivo para a conta.
      Nome de usuário Forneça seu ServiceNownome de usuário da conta. Você pode usar o mesmo nome de usuário usado para os usuários criados durante a criação da função sn_sec_tisc.api_obs_read_access na etapa acima.
      Senha Fornecer ServiceNowsenha da conta.
      URL da instância Forneça o. ServiceNowEndereço do URL da instância.
    5. Clique em Adicionar.
      . ServiceNowa conta de instância foi adicionada ao Splunk.
    6. Navegue até Entradas a página para criar coleções gerencia suas entradas de dados para o. ServiceNowconta.
    7. Clique em Criar nova entrada .
      . Adicionar entrada a caixa de diálogo é exibida para você adicionar as entradas ao ServiceNowconta.

      Quando o conjunto de entradas é definido, a aplicação envia as informações para a instância do TISC para recuperar um número específico de observáveis que atendam aos critérios.

    8. Preencha os detalhes de entrada, conforme apropriado.
      Campo Descrição
      Nome Um nome exclusivo para sua entrada. Por exemplo, lista de IPs mal-intencionados.
      Conta Forneça seu ServiceNownome de usuário da conta. Você pode usar o mesmo nome de usuário usado para os usuários criados com a função sn_sec_tisc.api_obs_read_access na etapa acima.
      Intervalo Defina o intervalo de tempo em segundos para recuperar os dados do TISC.
      Período de vencimento (em dias) Opção para definir o período de expiração em dias.
      Nota:
      A expiração da amostra está definida como 30 dias. Por exemplo, quando os dados são extraídos em uma data específica, um conjunto de 10 000 registros pode ser recuperado. Esses registros serão armazenados no armazenamento de KV (chave-valor) em Splunk. A partir da data de ingestão, os registros serão mantidos por 30 dias. No 31º dia, eles serão excluídos automaticamente do armazenamento do KV.
      Nunca expirar Escolha esta opção se você não quiser expirar os registros ingeridos.
      Filtros Defina as condições com base nas quais os dados que devem ser importados serão filtrados.

      Para definir as condições do filtro, você pode definir os critérios com base nos campos, como pontuação de ameaça, nível de confiança e tipo.

      Para condições de filtro simples, você pode usar esta opção de filtragem. No entanto, se as condições de filtro forem mais complexas e para qualquer filtragem avançada, você poderá optar por adicionar filtros JSON.
      • Os operadores inteiros permitidos são:

        "=", "!=", ">", "<", ">=", "<="

      • Os operadores de cadeia de caracteres permitidos são:

        "", "!", "EM"

      Abaixo está um exemplo de um filtro simples :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Os filtros baseados em JSON permitem definir condições mais complexas. O status do objeto JSON deve ser Ativo.

      Selecione JSON Caixa de seleção Filtros para alternar para filtros avançados em que um JSON pode ser usado para aplicar a condição de filtro.

      Filtro avançado de amostra :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Nota:
      As contas estão ativas por padrão, mas as entradas estão inativas por padrão. Você deve ativá-las para começar a importar os dados. Para obter possíveis filtros, consulte a seção observable_filters em Adiciona registros de origem observáveis à Central de segurança de inteligência contra ameaças (CISC) aplicação.
    9. Clique em Adicionar para adicionar as entradas.
    10. Clique em Clone ou copiar para copiar e criar uma nova conta com base na conta existente.
      Certifique-se de que a entrada esteja desativada antes da clonagem para evitar a criação de entradas duplicadas ao importar dados usando os mesmos critérios.
    11. Quando os dados forem extraídos, as seguintes informações serão recuperadas e armazenadas no armazenamento de KV em SplunkJunto com os registros extraídos do TISC:
      Campo Descrição
      Pontuação de ameaça A pontuação que indica o nível de ameaça associada a um registro.
      Confiança Indica o nível de confiança associado à precisão da pontuação de ameaça.
      Período de vencimento A duração pela qual o registro é válido na aplicação antes de expirar.
      Nível de ameaça Indica o nível de gravidade da ameaça.
      Reputação Indica a reputação da entidade envolvida.
      Atualizada por Fornece as informações sobre quem atualizou o registro pela última vez.
      Tempo de atualização Indica o carimbo de data/hora em que o registro foi atualizado pela última vez.
      Hora de criação Indica a hora de criação do registro.
      Days_till_expiration Indica o número de dias após os quais o registro será excluído do armazenamento do KV.
      Source_reported_score A pontuação de origem relatada do TISC.
      Sys_id SYS ID do registro que está vindo pelo TISC.
      Gravidade da ameaça Indica a gravidade da ameaça do observável.
      Valor Valor do registro. Por exemplo, IP, hash e assim por diante.

      Esses campos, juntamente com todos os outros definidos pelos seus critérios, estarão disponíveis em Splunke podem ser visualizados, pesquisados e analisados por meio da guia de pesquisa.