Salve pesquisas em Splunk Enterpriseconsole para Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • As etapas a seguir para salvar pesquisas em Splunk Enterpriseo console é fornecido para um usuário com Splunk Enterprisefunção de administrador.

    Antes de Iniciar

    Se você já tiver pesquisas salvas e alertas acionados no Splunk Enterprisevocê não precisa modificar essas pesquisas para esta integração.

    A integração do Now Platform® Operações de segurançaproduto com Splunko serviço de notificação de eventos extrai informações de evento e alerta de Splunk.

    Antes de ingerir alertas em Operações de segurançaambiente, configure pesquisas no Splunk Enterprisepara que você extraia automaticamente os eventos de segurança relevantes Splunk Enterpriseque você deseja salvar como alertas.

    Se você não tiver pesquisas salvas e alertas acionados estabelecidos para notificação quando ocorrerem eventos de segurança importantes em seu Splunk Enterpriseconsole, siga estas etapas para salvar as pesquisas.

    Função necessária: Splunk Enterpriseadministrador

    Procedimento

    1. Faça login na sua conta Splunk Enterprise.
    2. Clique em Pesquisa .
    3. No campo Nova pesquisa exibido, insira um valor para o alerta, por exemplo, Malware.
    4. Para exibir os eventos relacionados à sua pesquisa, à direita do campo Nova pesquisa, clique no ícone de pesquisa ou pressione Enter.
      Os resultados da pesquisa com eventos são exibidos.
    5. Para salvar a pesquisa como um alerta, no canto superior direito da página, expanda a lista de seleção Salvar como e selecione Alerta .
    6. No formulário exibido, preencha os campos.
      CampoDescrição
      Título Nome descritivo do alerta, por exemplo, Eventos de malware. Depois de salvar esta pesquisa como um alerta, os eventos de um alerta dispararam no Splunko serviço é processado automaticamente em alertas acionados usando estes dados de pesquisa. Este título de alerta acionado é usado no perfil de evento que você cria no Now Platformpara identificar quais eventos são ingeridos em sua instância para Now Platform® Resposta a incidentes de segurança SIRcriação de incidente de segurança.
      (Opcional) Descrição Texto para ajudar você a distinguir este alerta de outros alertas.
      Tipo de alerta Nos campos exibidos, selecione Agendado para pesquisar este alerta em uma programação, ou Em tempo real para pesquisar continuamente este alerta.
      Acionar resultados Você pode preferir definir uma das seguintes condições de filtro:
      • O número de resultados é maior ou menor que
      • Uma vez (uma vez) para cada resultado
      Ações de gatilho Adicione ações para acionar este alerta. Expanda a lista Adicionar opção e clique em Adicionar a Alertas acionados para que ele seja exibido no formulário. Você pode preferir esta configuração para os alertas que você ingerir em Now Platforminstância.
    7. Clique em Salvar.
      Seu alerta é salvo e exibido na guia Alertas na página Pesquisar.
      . Splunko serviço extrai os eventos correspondendo aos critérios configurados no alerta. Ele armazena os eventos em cache e você solicita esses eventos de seus perfis que você configurou em Now Platforminstância. Porque a extração de ingestão de eventos ocorre de um cache no Splunk, esta ingestão do seu Now Platformnão afeta o desempenho no seu Splunkplataforma.

    O que Fazer Depois

    Você concluiu com sucesso a configuração necessária para a integração no Splunk Enterpriseconsole. Se você ainda não tiver instalado a aplicação para a integração do ServiceNow Store, a próxima etapa é instalar a aplicação para a integração e configurá-la.