Anwenderdefiniertes Feld mit mehreren Datensätzen – Beispiele für Splunk-Warnungen

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

1 Minute Lesedauer

Wenn Sie Splunk-Warnungen mit mehreren Datensätzen und anwenderdefinierten Feldern erstellen, müssen Sie Suchkriterien für die Generierung von Warnungsdaten definieren. Beispiele für Suchkriterien für Security Incidents und Security Events werden angezeigt.

Suche nach Security Incidents

Für einen Security Incident erstellen diese Kriterien eine Suche, um Spalten in der Security Incident-Tabelle auszufüllen.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

Suche nach Sicherheitsereignis

Für ein Sicherheitsereignis ist dies dieselbe Suche, es werden jedoch stattdessen Ereignisfelder ausgefüllt. Wenn dieses Ereignis in einen Security Incident umgewandelt wird und Felder ausgefüllt werden, die im Ereignis nicht vorhanden sind, werden sie in den Security Incident übertragen. Andernfalls bleiben sie im Feld „Zusätzliche Informationen“ des Ereignisses und der Warnung.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip

Hinweis:

Die von Ihnen verwendeten Suchkriterien fügen so viele Datensätze hinzu, wie in der Suche gefunden wurden. Es können 5 oder 10.000.000.000 Datensätze hinzugefügt werden. Daher ist dies KEINE empfohlene Methode für die Massenübertragung von Daten. Der Zweck dieser Methode besteht darin, einen Datensatz pro REST-Aufruf in der ServiceNow-Instanz hinzuzufügen.