Konfigurieren SplunkEinstellungen für Unternehmenssicherheit

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie SplunkEinstellungen für Unternehmenssicherheit (es) zum Ändern der voreingestellten Konfigurationen und ihrer Werte gemäß Ihren Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Navigieren zu Alle > Splunk ES-Integration > Splunk ES-Einstellungenan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Splunk ES-Einstellungen
      Feld Beschreibung
      Erzwingen Sie einen Grenzwert für die Anzahl bedeutender Ereignisse, die zu einem einzelnen Incident zusammengefasst werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl Ihrer bedeutenden Ereignisse, die Sie zu einem einzelnen Incident aggregieren möchten.

      Standardmäßig ist der Wert auf 100 festgelegt.
      Erzwingen Sie einen Grenzwert für die Anzahl der Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl der Security Incidents, die in einem Zeitraum von 24 Stunden erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Erzwingen Sie einen Grenzwert für die Anzahl der Werte, die in jedem von empfangenen Feld analysiert werden sollen Splunk. Option zum Erzwingen eines Grenzwerts für die Anzahl der Werte, die Sie für jedes empfangene Feld analysieren möchten Splunk.

      Standardmäßig ist der Wert auf 1000 festgelegt.
      Anzahl der Korrelationsregeln, aus denen abgerufen werden soll Splunk. Option zum Definieren der Anzahl der Korrelationsregeln, aus denen abgerufen werden soll Splunk.

      Standardmäßig ist der Wert auf 500 festgelegt.
      Der Parameter für die Gültigkeitsdauer für SplunkSuchauftrag in Sekunden. Option zum Definieren des Parameters für die Gültigkeitsdauer für SplunkSuche in Sekunden.

      Standardmäßig ist der Wert auf 600 festgelegt.
      Anzahl der bedeutenden Typen, die in einer Suche als Batch verwendet werden sollen. Option zum Definieren der Gesamtzahl der bedeutenden Typen, die Sie in einer einzelnen Suche Batch wünschen.

      Standardmäßig ist der Wert auf 20 festgelegt.
      Anzahl der Tage, die beibehalten werden sollen SplunkSuchauftragsmetadaten in ServiceNow Option zum Definieren der Anzahl der Tage, in denen Sie die Metadaten des Splunk-Suchauftrags beibehalten möchten ServiceNow.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Das Trennzeichen zum Aufteilen der Werte in Feldzuordnungen. Option zum Definieren des Trennzeichens zum Teilen der Werte in Feldzuordnungen.

      Standardmäßig ist der Wert auf (,) festgelegt.
      Anzahl der Minuten, die beim Abrufen der Ereignisse hinzugefügt werden sollen Splunk(Um die Indexierungsverzögerung von Splunk zu überwinden) Option zum Definieren der Anzahl der Überlappungsminuten, die beim Abrufen der Ereignisse aus hinzugefügt werden sollen SplunkUm die Indexierungsverzögerung von zu überwinden Splunk.

      Standardmäßig ist der Wert auf 30 festgelegt.
      Aktualisierte bedeutende Ereignisse abrufen Option zum Abrufen aktualisierter bedeutender Ereignisse.

      Standardmäßig ist der Wert auf „Nein“ festgelegt
      Aktivieren Sie diese Einstellung, um vorhandene zu aktualisieren SplunkQuellkonfigurationen für tokenbasierte Authentifizierungsunterstützung. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, nachdem diese Einstellung aktiviert ist. Option zum Aktualisieren vorhandener Elemente SplunkQuellkonfiguration für tokenbasierte Authentifizierungsunterstützung von einer vorhandenen Version.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Tokenfeld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung abzurufen. Danach müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf „Nein“ festgelegt
    3. Klicken Sie auf Speichern.