Konfigurieren Sie Splunk Enterprise Security-Einstellungen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Einstellungen für Splunk Enterprise Security (ES), um die voreingestellten Konfigurationen und ihre Werte gemäß Ihren Anforderungen zu ändern.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Splunk ES Integration > Splunk ES-Einstellungenan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Splunk ES-Einstellungen
      Feld Beschreibung
      Erzwingt einen Grenzwert für die Anzahl der wichtigen Ereignisse, die zu einem einzelnen Incident zusammengefasst werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl Ihrer wichtigen Ereignisse, die Sie zu einem einzelnen Incident zusammenfassen möchten.

      Standardmäßig ist der Wert auf 100 festgelegt.
      Erzwingt einen Grenzwert für die Anzahl von Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl von Security Incidents, die innerhalb von 24 Stunden erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Erzwingt einen Grenzwert für die Anzahl der Werte, die in jedem von Splunkempfangenen Feld analysiert werden sollen. Option zum Erzwingen eines Grenzwerts für die Anzahl der Werte, die Sie für jedes von Splunkempfangene Feld analysieren möchten.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Anzahl der Korrelationsregeln, die aus Splunkabgerufen werden sollen. Option zum Definieren der Anzahl der Korrelationsregeln, die aus Splunkabgerufen werden sollen.

      Standardmäßig ist der Wert auf 500 festgelegt.
      Der Lebensdauerparameter für den Suchauftrag Splunk in Sekunden. Option zum Definieren des Parameters „Lebensdauer“ für die Suche Splunk in Sekundenform.

      Standardmäßig ist der Wert auf 600 festgelegt.
      Anzahl der beachtenswerten Typen, die in einer Suche gebündelt werden sollen. Option zum Definieren der Gesamtzahl der beachtenswerten Typen, die Sie in einer einzigen Suche stapeln möchten.

      Standardmäßig ist der Wert auf 20 festgelegt.
      Anzahl der Tage für die Aufbewahrung der Metadaten des Suchauftrags Splunk ] in ServiceNow Mit dieser Option können Sie die Anzahl der Tage definieren, für die die Metadaten des Splunk-Suchauftrags in ServiceNowaufbewahrt werden sollen.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Das Trennzeichen zum Teilen der Werte in Feldzuordnungen. Option zum Definieren des Trennzeichens zum Teilen der Werte in Feldzuordnungen.

      Standardmäßig ist der Wert auf (,) festgelegt.
      Anzahl der Überlappungsminuten, die beim Abrufen der Ereignisse von Splunk hinzugefügt werden sollen (zur Überwindung der Indizierungsverzögerung von Splunk) Option zum Definieren der Anzahl der Überlappungsminuten, die beim Abrufen der Ereignisse von Splunk hinzugefügt werden sollen, um die Indizierungsverzögerung von Splunk] zu umgehen.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Aktualisierte wichtige Ereignisse abrufen Option zum Abrufen aktualisierter wichtiger Ereignisse.

      Standardmäßig ist der Wert auf Nein festgelegt.
      Aktivieren Sie diese Einstellung, um vorhandene Splunk -Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung zu aktualisieren. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, nachdem diese Einstellung aktiviert wurde. Option zum Aktualisieren der vorhandenen Splunk -Quellkonfiguration auf Unterstützung der tokenbasierten Authentifizierung von einer vorhandenen Version.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung zu erhalten. Anschließend müssen Sie die Integrationskonfiguration mit den Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf Nein festgelegt.
    3. Klicken Sie auf Speichern.