Aktivität „Splunk-Ereignisabfrage“.
Die Workflow-Aktivität „ Splunk -Ereignisabfrage“ durchsucht die Splunk-Ereignisprotokolle nach schädlichen Indikatoren.
Die Aktivität „Splunk Event QueryActivity “ kann mit jedem Workflow zum Durchsuchen der Splunk-Ereignisprotokolle verwendet werden.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Splunk |
| Fehler | Beim Versuch, die Splunk-Abfrage zu überprüfen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar. |
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Anwender | Benutzername für das Splunk-System. |
| Kennwort | Passwort für das Splunk-System. |
| Erkennbare Elemente | Die Liste der erkennbaren Elemente aus Trusted Security Circle oder die Security Incident-Aufgabe, nach der gesucht werden soll. Wird im JSON-Format zurückgegeben. |
| base_url | URL des Splunk-Integrationsendpunkts. |
| link_base_url | Link zur Webschnittstelle Splunk, falls verfügbar. |
| Quelle | Quelle der Anforderung zum Ausführen des Workflows. Folgende Eingaben werden unterstützt: Vertrauenswürdige Sicherheitskreise oder Security Incident-Aufgabe. |
| max_rows | Maximale Anzahl von Zeilen, die von der Abfrage zurückgegeben werden sollen. Der Grenzwert hängt von der Drittparteiintegration ab. |
| days_to_search | Tage, für die ab dem aktuellen Tag rückwärts gesucht werden soll. Der Standardwert ist 7. |
| query | Suchsyntax. $(observable) ist der Standardwert. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ausgabe | Ausgabe der Abfrage im JSON-Format. |