Zuordnung von Warnungen und Ereignissen für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Nachdem Sie die Quellen für die geplante Warnungserfassung oder die manuelle Ereignisweiterleitung identifiziert haben, besteht der nächste Schritt in der Zuordnung einzelner Ereignisfelder zu den Feldern in einem Security Incident Now Platform Security Incident Response (SIR).

    Übersicht

    Für den Zuordnungsschritt erfassen Sie als Benutzer mit der Rolle sn_si.admin Beispielwarnungen aus Ihrer Splunk Enterprise -Konsole, oder exportieren Sie Ereignisdaten für ein Splunk Enterprise -Ereignis.

    Die folgenden Abbildungen sind Beispiele für die standardmäßigen Zuordnungsraster, die für jeden Typ von Ereignisprofil bereitgestellt werden. Diese Standardzuordnung kann bearbeitet werden. Mit dieser Änderung können Sie die Felder anpassen, die den Security Incident ausfüllen. Mit dem Zuordnungsschritt können Sie visualisieren, wie sich das Hinzufügen oder Entfernen von Ereignisfeldern auf die Werte des Felds SIR Security Incident auswirkt.

    Wählen Sie den Warnungsnamenaus. Nachdem Sie auf Beispieldaten abrufen geklickthaben, werden die Werte des Warnungsfelds Splunk auf der linken Seite des Formulars ausgefüllt, wenn Beispielwarnungen vom Profil erfasst werden. Dies sind die Warnungsfelder Splunk, die Sie den Security Incident-Feldern SIR zuordnen.

    Abbildung : 1. Standardzuordnungsformular für Warnungen
    Standardzuordnungsformular für Warnungen.

    Nachdem Sie auf geklickt haben, um Anhangdaten für weitergeleitete Ereignisse zu laden, werden die Ereignisfelder Splunk auf der linken Seite des Formulars ausgefüllt. Dies sind die Datenfelder Splunk ], die den Security Incident-Feldern SIR zugeordnet sind.

    Abbildung : 2. Standardzuordnungsformular für weitergeleitete Ereignisse
    Standardzuordnungsformular für Ereignisse.

    Möglicherweise möchten Sie einige Beispielwarnungen in Ihrer Splunk -Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird auf dem Fortschrittsbalken mit Zuordnung gekennzeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.

    Das Zuordnen von Warnungen und Exportieren von Ereignissen bei Bedarf über die Enterprise-Konsole Splunk umfasst die folgenden Konzepte und Aufgaben:
    • Rufen Sie Beispieldaten für automatisch erfasste Warnungsprofile ab. Nachdem in der Konsole Splunk Enterprise Daten aus einer ausgelösten Warnung abgerufen (abgerufen) wurden, werden verfügbare Warnungsfelder und die entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt. Registerkarten werden angezeigt, auf denen Sie die Werte für eine von Ihnen abgerufene Warnungs-ID anzeigen können. Stellen Sie sicher, dass alle kritischen Felder aus dem Abschnitt „Erfassung des Warnungsbeispiels“ auf der linken Seite des Formulars dem Raster auf der rechten Seite des Formulars zugeordnet sind.
    • Laden Sie bei Bedarf Ereignisbeispieldaten für manuell weitergeleitete Ereignisprofile. Beispieldaten für diese Ereignisse werden in einer XML -Datei aus der Konsole Splunk Enterprise exportiert und in Ihre Instanz Now Platform® ] geladen. Die importierten Daten werden im Abschnitt „Erfassung des Warnungsbeispiels“ auf der linken Seite des Formulars angezeigt.
    • Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungen von der linken Seite in das Zuordnungsraster auf der rechten Seite ziehen. Das Zuordnungsraster auf der rechten Seite ordnet das Feld für eingehende Warnungen einem Feld für ausgehende Security Incidents zu.
    • Passen Sie das Zuordnungsraster durch Hinzufügen oder Entfernen von Feldern an. Verfolgen Sie übersehene oder duplizierte Felder anhand der angegebenen Farbcodierung.
    • Legen Sie Filterbedingungen fest, um festzulegen, welche Warnungen in der Anwendung SIR erfasst und welche Warnungen herausgefiltert werden.
    • Definieren Sie zusätzliche Incident-Feldkriterien, die eine eingehende Warnung zu einem vorhandenen Security Incident SIR zusammenfassen, um doppelte Incidents zu verhindern. Diese zusätzliche Filterung kann die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Sicherheitsereignisdaten in einem einzigen Security Incident platziert werden.
    • In bestimmten Fällen werden Ereignisfeldwerte in der Enterprise-Konsole Splunk möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten. Beispiel: Mit dem Skript-Editor werden die Feldwerte Malware-Warnung und Viruserkrankung in der Konsole Splunk beide in böswillige Codeaktivität im Feld Kategorie des Security Incident SIR übersetzt.

    Profile für geplante Warnungen

    Nach dem Erstellen eines geplanten Warnungsprofils wird der Prozessablauf für die Konfiguration in der folgenden Abbildung dargestellt.

    Abbildung : 3. Prozess-Flow für geplante Warnungsprofile
    Prozess-Flow für geplante Warnung.

    Profile für die manuelle Ereignisweiterleitung

    Nach dem Erstellen eines Profils für ein Ereignis wird der Prozessablauf für die Konfiguration in der folgenden Abbildung dargestellt.

    Abbildung : 4. Prozess-Flow für Ereignisprofile
    Prozess-Flow für Ereignis-Export.

    Der nächste Schritt besteht darin, ausgelöste Warnungen zu erfassen oder Daten zu exportieren und Werte den Security Incident-Feldern SIR zuzuordnen.