Kopieren Sie ein Ereignisprofil für Splunk Enterprise SecurityIntegration der Ereigniserfassung
Kopieren Sie ein vorhandenes Profil und die zugehörigen Einstellungen, anstatt neue Profile zu erstellen. Wenn Sie mehrere Profile erstellen und die Einstellungen eines vorhandenen Profils wiederverwenden möchten, ziehen Sie es möglicherweise vor, Alarmprofile zu kopieren, um Zeit zu sparen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Wenn Sie ein Profil kopieren, wird der Profilname anfänglich geändert, um doppelte Profile zu vermeiden. Darüber hinaus ist das kopierte Profil deaktiviert (falsch), sodass es vor Abschluss der Konfiguration nicht versehentlich aktiviert wird. Kopieren Sie Profile, und verwenden Sie vorhandene Karten für Security Incidents, die Sie bereits in der Vorschau angezeigt und verifiziert haben.
Prozedur
-
In SplunkEreignisprofile, die angezeigt wird, wählen Sie ein Profil aus, das Sie kopieren möchten, und klicken Sie in der Auswahlliste Aktionen für ausgewählte Zeilen auf Kopieren .
Das Profil wird kopiert und in der Liste angezeigt. Die Kopie verfügt über alle Einstellungen des ursprünglichen Profils, einschließlich der Zuordnungs- und Planungskonfiguration. Der Name des Profils enthält Kopie. Obwohl das ursprüngliche Profil aktiviert ist ( Wahr ), die Kopie ist an diesem Punkt deaktiviert ( Falsch ). Möglicherweise möchten Sie Werte des kopierten Profils bearbeiten und umbenennen, damit die Konfigurationseinstellungen nach Bedarf auf das neue Profil angewendet werden.Sie haben die Einstellungen erfolgreich aus einem vorhandenen Profil in ein neues Profil kopiert.
Nächste Maßnahme
Sie werden aufgefordert, das neue Profil zu aktivieren (zu aktivieren), nachdem Sie den Konfigurationsschritt abgeschlossen haben.