Beispiele für Splunk-Warnungen in benutzerdefinierten Feldern mit mehreren Datensätzen
Wenn Sie Splunk-Warnungen mit mehreren Datensätzen mit benutzerdefinierten Feldern erstellen, müssen Sie Suchkriterien für die Generierung von Warnungsdaten definieren. Beispiele für Suchkriterien für Security Incidents und Security Events werden angezeigt.
Security Incident-Suche
Für einen Security Incident erstellen diese Kriterien eine Suche, um Spalten in der Security Incident-Tabelle auszufüllen.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ipSuche nach Sicherheitsereignissen
Für ein Sicherheits-Event ist dies dieselbe Suche, aber es werden stattdessen Event-Felder ausgefüllt. Wenn dieses Event in einen Security Incident umgewandelt wird und alle Felder, die im Event nicht vorhanden sind, ausgefüllt werden, werden sie in den Security Incident übertragen. Andernfalls verbleiben sie im Feld mit zusätzlichen Informationen des Events und der Warnung.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip