Beispiele für Splunk-Warnungen in benutzerdefinierten Feldern mit mehreren Datensätzen

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

1 Minute Lesedauer

Wenn Sie Splunk-Warnungen mit mehreren Datensätzen mit benutzerdefinierten Feldern erstellen, müssen Sie Suchkriterien für die Generierung von Warnungsdaten definieren. Beispiele für Suchkriterien für Security Incidents und Security Events werden angezeigt.

Security Incident-Suche

Für einen Security Incident erstellen diese Kriterien eine Suche, um Spalten in der Security Incident-Tabelle auszufüllen.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

Suche nach Sicherheitsereignissen

Für ein Sicherheits-Event ist dies dieselbe Suche, aber es werden stattdessen Event-Felder ausgefüllt. Wenn dieses Event in einen Security Incident umgewandelt wird und alle Felder, die im Event nicht vorhanden sind, ausgefüllt werden, werden sie in den Security Incident übertragen. Andernfalls verbleiben sie im Feld mit zusätzlichen Informationen des Events und der Warnung.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip

Hinweis:

Die von Ihnen verwendeten Suchkriterien fügen so viele Datensätze hinzu, wie in der Suche gefunden werden. Es können 5 oder 10.000.000.000 Datensätze hinzugefügt werden. Daher ist dies KEINE empfohlene Methode für die Massenübertragung von Daten. Diese Methode dient dazu, der ServiceNow-Instanz einen Datensatz pro REST-Aufruf hinzuzufügen.