Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise SecurityIntegration der Ereigniserfassung

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

44 Minuten Lesedauer

Sie erstellen ein Ereignisprofil in Now PlatformInstanz und bestimmen, welche SplunkBedeutende Ereignisse erstellen Security Incidents.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Vor Now Platform Security Incident Response( SIR) Security Incidents werden aus erfassten bedeutenden Ereignissen erstellt. Die Feldwerte aus Warnungen werden in einem Layout von angezeigt Now PlatformSecurity Incident, damit Sie eine Vorschau anzeigen können, wie der tatsächliche Security Incident erstellt wird.

Aus Integrationsperspektive mithilfe der verfügbaren APIs Splunk ESBedeutende Ereignisse werden einzeln und manuell als diskrete bedeutende Ereignisse weitergeleitet oder automatisch in erfasst Security OperationsUmgebung von Now PlatformInstanz abhängig vom definierten Profiltyp.

Die Integrations-Workflows erfassen verschiedene Arten bedeutender Ereignisse, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese bedeutenden Ereignisse werden basierend auf den Profilen erfasst, die Sie in konfigurieren Security OperationsUmgebung Ihrer Instanz.

Alle bedeutenden Elemente werden anfänglich für einen konfigurierten Korrelationssuchtyp in einem Profil erfasst. Erfasste bedeutende Elemente können dann weiter gefiltert werden, um anzugeben, welche bedeutenden Personen Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für bedeutende Ereignisse erstellen, die als hohes Risiko identifiziert werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten bedeutenden Ereignissen erstellt, werden einzelne Feldwerte in den bedeutenden Ereignissen den entsprechenden Feldern in einem Layout des Security Incidents für eine Vorschau zugeordnet.

Prozedur

Namen für die Ereignisprofile in Ihrem Now PlatformInstanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden.
Die Now PlatformErfasst bestimmte bedeutende Personen mithilfe der Workflows der Integration.
Alle bedeutenden Ereignisse, die die Auswahlkriterien in erfüllen Splunk ESKonsole wird anfänglich in erfasst Now PlatformInstanz.
Ein Profil in Ihrem Now PlatformIst eine Kapselung eines bedeutenden Ereignisses in Ihrem Splunk ESKonsole.
Es besteht eine 1-zu-1-Beziehung zwischen bedeutenden Ereignissen, die mit einem Profil erfasst werden, und Verbindungen zu Ihrem Splunk ESKonsole: Ein bedeutender Ereignistyp für eine Verbindung.
Informationen zum Erstellen von Profilen für geplante bedeutende Ereignisse finden Sie unter Richten Sie ein Profil für die geplante Erfassung bedeutender Ereignisse ein.
Informationen zum Erstellen von Profilen für die manuelle Ereignisweiterleitung finden Sie unter Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein.

Richten Sie ein Profil für die geplante Erfassung bedeutender Ereignisse ein

Abhängig vom definierten Profil Splunk ESBedeutende Ereignisse werden automatisch in erfasst Security OperationsUmgebung von Now PlatformInstanz.

Die folgende Tabelle zeigt die Liste der Aufgaben, die Sie ausführen müssen, um ein Profil für die geplante Erfassung bedeutender Ereignisse einzurichten:

Tabelle : 1. Schritte zum Einrichten eines Profils für die geplante Erfassung bedeutender Ereignisse
Aufgabe	Abschnitt
Erstellen Sie ein Ereignisprofil	Siehe Erstellen Sie Profile für die geplante Erfassung bedeutender Ereignisse
Wählen Sie bedeutende Ereignisse basierend auf dem Namen der Korrelationssuche aus	Siehe Wählen Sie bedeutende Ereignisse basierend auf dem Korrelationsregelnamen für das Profil für aus Splunk ESIntegration der Ereigniserfassung
Ordnen Sie bedeutende Ereignisfelder zu	Siehe Zuordnung bedeutender Ereignisfelder für Splunk Enterprise SecurityIntegration
Erstellen Sie anwenderdefinierte Zuordnungen	Siehe Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (geplante Erfassung)
Zeigen Sie eine Vorschau des Security Incidents an	Siehe Vorschau des Security Incidents für anzeigen Splunk Enterprise SecurityIntegration der Ereigniserfassung
Planen und rufen Sie neue und aktualisierte bedeutende Ereignisse ab	Siehe Planen und rufen Sie neue und aktualisierte bedeutende Ereignisse für ab Splunk Enterprise SecurityIntegration der Ereigniserfassung
Automatisieren Sie Aktualisierungen und Abschluss bedeutender Ereignisse basierend auf dem Status des SIR-Incidents	Siehe Automatisieren Sie Aktualisierungen und Abschluss bedeutender Ereignisse basierend auf dem Status des SIR-Incidents

Erstellen Sie Profile für die geplante Erfassung bedeutender Ereignisse

Sie können ein Profil einrichten, damit bedeutende Ereignisse automatisch erfasst werden.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Prozedur

Dient zum Erstellen eines Ereignisprofils für ein bedeutendes Ereignis oder einen Korrelationsregeltyp in Ihrem Now PlatformInstanz, navigieren Sie zu Splunk Integration > Splunk-Ereignisprofilan.
Wenn SplunkEreignisprofilformular wird nicht angezeigt. Klicken Sie auf Name Im Fortschrittsbalken.
Klicken Sie auf Neu.

Füllen Sie die Felder aus.

Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

Tabelle : 2.
Feld	Beschreibung
Name	Eindeutiger Name für das Profil. Wenn Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert. Profilnamen in Ihrem Now PlatformInstanz muss eindeutig sein.
Aktiv	Das Kontrollkästchen ist standardmäßig deaktiviert und deaktiviert. Sie sollten alle Abschnitte im Profil abschließen, bevor Sie es aktivieren.
Typ	Wählen Sie den Profiltyp aus der Auswahlliste aus. Geplante Ereigniserfassung: Dieser Profiltyp unterstützt bedeutende Ereignisse, die in einem konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus. Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt bedeutende Ereignisse, die manuell von Ihrem weitergeleitet werden Splunk Enterprise SecurityIncident-Überprüfungskonsole bei Bedarf. Sehen Sie sich die folgenden Schritte an, um das Formular für diese Profiltypen auszufüllen.
Quelle	Splunk Server- oder Suchende, die Sie für die Erfassung bedeutender Ereignisse konfiguriert haben. Wenn Sie mehrere haben SplunkKonfigurierte Server wählen Sie den entsprechenden Server für die bedeutenden Ereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert eingeben.
Bestellung	Der Standardwert ist 100. Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile dieselben Auslösebedingungen haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular für einen geplanten bedeutenden Ereignistyp.

Wählen Sie für ein Profil mit einem geplanten bedeutenden Ereignis eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung
Fortsetzen	Speichern Sie das Profil und den Fortschritt im Schritt „Ereignisauswahl“.
Aktualisieren	Speichern Sie Updates für dieses Profil, und kehren Sie zu zurück SplunkEreignisprofilliste.
Speichern	Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
Löschen	Löschen Sie diesen Profildatensatz, und kehren Sie zu zurück SplunkEreignisprofilliste.

Nächste Maßnahme

Der nächste Schritt besteht darin, bedeutende Ereignisse für die automatische Erfassung auszuwählen.

Wählen Sie bedeutende Ereignisse basierend auf dem Korrelationsregelnamen für das Profil für aus Splunk ESIntegration der Ereigniserfassung

Nachdem Sie ein Profil für eine geplante Erfassung des Ereignistyps bedeutender Ereignisse erstellt haben, wählen Sie ein aus Splunk Enterprise SecurityKorrelationsregelname für dieses Profil, für das Sie entsprechende bedeutende Ereignisse einem zuordnen möchten Now Platform Security Incident ResponseSecurity Incident.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Zeigen Sie die verfügbaren Korrelationsregeln in an Now PlatformInstanz, damit Sie die bedeutenden Ereignistypen kennen, für die Sie Security Incidents erfassen und erstellen möchten. Wählen Sie eine Korrelationsregel aus. Sie können in diesem Formular ein oder mehrere bedeutende Ereignisse aus der Liste auswählen.

Prozedur

Wenn die Seite „Auswahl bedeutender Ereignisse“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.

Wählen Sie in der Korrelationsregelliste eine der folgenden Optionen aus, um eine einzelne Korrelationsregel oder mehrere Korrelationsregeln auszuwählen, sie zu verschieben und sie von der Spalte „verfügbar“ in die Spalte „ausgewählt“ zu verschieben.

Die Liste der Korrelationsregeln in diesem Formular stimmt mit der Liste der Korrelationsregeln in überein Splunk ESIncident-Überprüfungskonsole. In diesem Formular werden bis zu 500 Korrelationsregeln angezeigt. Wenn mehr als 500 Korrelationsregeln in aufgeführt sind Splunk ES, Nur die ersten 500 bedeutenden Ereignisse werden auf diesem Formular in angezeigt Now PlatformInstanz.


Option	Beschreibung
Geben Sie im Suchfeld Korrelationsregelliste Text ein.	Die Spalte unter dem Suchfeld wird basierend auf dem von Ihnen eingegebenen Text mit verfügbaren Optionen gefiltert. Wählen Sie eine Korrelationsregel aus, und verschieben Sie den ausgewählten Alarm mit den Pfeiltasten aus Verfügbar Bis Ausgewählt .
Doppelklicken Sie in der Korrelationsregelliste auf eine Korrelationsregel.	Die Ausgewählt Spalte wird mit Ihrer Auswahl ausgefüllt.
Klicken Sie in der Korrelationsregelliste einmal auf eine Korrelationsregel.	Die Korrelationsregel ist ausgewählt. Verschieben Sie mit den Pfeiltasten die ausgewählte Korrelationsregel aus Verfügbar Bis Ausgewählt .

Splunk es-Ereignisprofil: Wählen Sie ein bedeutendes Ereignis aus

Wählen Sie eine Option aus, um fortzufahren.

Option	Beschreibung
Fahren Sie fort, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung	Das Zuordnungsformular wird angezeigt. Zuordnung Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, bedeutende Ereignisfelder einem zuzuordnen SIRSecurity Incident.
Aktualisieren	Ihre Daten werden gespeichert, und die Liste „Splunk-Profile bedeutender Ereignisse“ wird angezeigt.
Zurück	Die Name Schritt wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil, und die Liste „Splunk-Profile bedeutender Ereignisse“ wird angezeigt.

Nächste Maßnahme

Sie haben erfolgreich eine Korrelationsregel für einen geplanten ausgewählt Splunk Enterprise SecurityProfil. Der nächste Schritt ist die Zuordnung bedeutender Ereigniswerte zu Feldern in einem Security Incident.

Zuordnung bedeutender Ereignisfelder für Splunk Enterprise SecurityIntegration

Nachdem Sie die spezifische Korrelationsregel und den bedeutenden Ereignistyp für das Profil identifiziert haben, besteht der nächste Schritt darin, den Feldern auf einem einzelne bedeutende Ereignisfelder zuzuordnen Now Platform Security Incident Response( SIR) Security Incident.

Übersicht

Für den Zuordnungsschritt können Sie Beispiele für bedeutende Ereignisse für die ausgewählte Korrelationsregel erfassen oder Daten zu bedeutenden Ereignissen für manuell weitergeleitete bedeutende Ereignisse exportieren. Der Ereigniszuordnungsprozess ist unabhängig vom Profiltyp, den Sie erstellen, identisch.

Die folgenden Abbildungen sind Beispiele für die Standardzuordnungskonfigurationen, die für jeden Ereignisprofiltyp bereitgestellt werden. Sie können die Felder anpassen, die den Security Incident ausfüllen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Felddaten zu bedeutenden Ereignissen der entsprechenden Stelle im SIR-Incident-Formular zugeordnet werden, und dann den SIR-Incident im Vorschauabschnitt visualisieren.

Wenn mehrere Korrelationen verwendet werden, können bedeutende Ereignisse abgerufen werden, indem Sie „erforderliches Ereignis“ auswählen. Verwenden Warnungsname Um Ihre Warnung auszuwählen, wenn Sie mehrere Warnungen für die Erfassung konfiguriert haben.

Nachdem Sie auf geklickt haben, um Daten abzurufen SplunkFeldnamen für bedeutende Ereignisse und entsprechende Werte werden auf der linken Seite des Formulars ausgefüllt. Dies sind die SplunkFelder für bedeutendes Ereignis, die zur Zuordnung zu verfügbar sind SIRSecurity Incident-Felder. Einige Felder können den SIR Security Incident-Feldern mehrmals zugeordnet werden.

Möglicherweise möchten Sie einige Beispiele für bedeutende Ereignisse auf Ihrem überprüfen SplunkKonsole, die für den Konfigurationsschritt der Feldzuordnung erfasst werden soll. Dieser Schritt wird auf der Fortschrittsleiste mit der Bezeichnung „Zuordnung“ bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken. Sie können bis zu fünf Beispiele für bedeutende Ereignisse aus erfassen Splunk Enterprise SecurityZur Unterstützung beim Zuordnungsprozess für bedeutende Ereignisfelder. Es gibt Optionen zum Erfassen der fünf neuesten bedeutenden Ereignisse für die ausgewählte Korrelationsregel oder zum Erfassen von bis zu fünf spezifischen bedeutenden Ereignissen basierend auf den IDs des bedeutenden Ereignisses.

Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen bedeutender Ereignisse erforderlich sind:

Geplante Beispieldatenerfassung für bedeutende Ereignisse: Für Beispieldaten, die für automatisch erfasste Profile bedeutender Ereignisse verwendet werden, werden verfügbare Felder für bedeutende Ereignisse und die entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt, sobald die Beispieldaten abgerufen wurden. Registerkarten werden angezeigt, auf denen Sie die Werte für eine bestimmte bedeutende Ereignis-ID anzeigen können, die Sie abgerufen haben. Stellen Sie sicher, dass alle kritischen Felder aus dem Abschnitt „Beispielerfassung bedeutender Ereignisse“ auf der linken Seite des Formulars zugeordnet sind ServiceNowSecurity Incident-Felder auf der rechten Seite des Formulars.
Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Felder für bedeutende Ereignisse von der linken Seite ziehen und auf ablegen ServiceNowSIR-Incident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld für eingehende bedeutende Ereignisse einem Feld für ausgehende Security Incidents zu.
Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des +-Symbols unten im Abschnitt „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
Bedingungen für die Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, damit Sie angeben können, welche bedeutenden Ereignisse Security Incidents erstellen sollen und welche bedeutenden Ereignisse herausgefiltert werden sollen, z. B. bedeutende Ereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für die Incident-Generierung“ unter dem Abschnitt „Zuordnung bedeutender Ereignisse“.
Ereigniszusammenfassungskriterien: Definieren Sie zusätzliche Ereigniszusammenfassungskriterien, die ein eingehendes bedeutendes Ereignis zu einem vorhandenen aggregieren SIRSecurity Incident statt pf, der ähnliche, potenziell doppelte Incidents erstellt. Mithilfe von Feldkriterien, die den Wertkriterien für jedes Profil entsprechen, kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen sicherheitsrelevanten Ereignissen in einem einzelnen Security Incident platziert werden.
Formatfeldübersetzung: In bestimmten Fällen Ereignisfeldwerte in SplunkBedeutende Unternehmensereignisse werden möglicherweise nicht direkt in die Felder auf übersetzt SIRSecurity Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skripteditor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Mit dem Skripteditor kann beispielsweise ein Kategoriewert von Malware-Warnung und Vireninfektion verschiedene Feldwerte für die Quellkategorie haben, aber beide Werte können in eine allgemeine schädliche Codeaktivität im Feld Kategorie auf übersetzt werden SIRSecurity Incident mit der Funktionalität „Formatierungsfeld Übersetzung“.

Der nächste Schritt besteht darin, bedeutende Ereignisse zu erfassen und Werte zu zuzuordnen SIRSecurity Incident-Felder.

Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (geplante Erfassung)

Während des Schritts „Feldzuordnung bedeutender Ereignisse“ ordnen Sie einzelne Ereignisfelder aus bedeutenden Ereignissen Feldern auf einem zu Now Platform Security Incident Response( SIR) Security Incident.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Das Zuordnungsraster kann für den in der Korrelationsregelauswahl ausgewählten bedeutenden Ereignistyp angepasst werden. Die Farbcodierung der Ereignisfelder hilft Ihnen, die Ereigniswerte nachzuverfolgen, die Sie bereits zugeordnet haben, wenn sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Dies hilft Ihnen, besser zu visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Ereignisinformationen nicht zugeordnet sind.

Ordnen Sie bis zu fünf bedeutende Ereignisse aus der Spalte „Beispielerfassung bedeutender Ereignisse“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die normalerweise ein wichtiges Feld sind, das im Security Incident-Antwortformular ausgefüllt werden soll, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen SplunkFelder, die nicht im Standardzuordnungsraster auf angezeigt werden SIRSecurity Incident.

Prozedur

Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.
Klicken Sie für ein Profil mit einer geplanten Erfassung unter Beispielerfassung für bedeutende Ereignisse auf Rufen Sie Beispieldaten Ab Zum Abrufen der neuesten Beispielereignisse von Splunk EnterpriseKonsole für die ausgewählte Korrelationsregel.

Hinweis:
Sie können entweder die neuesten Beispiele für bedeutende Ereignisse abrufen oder die eindeutigen IDs für bedeutende Ereignisse angeben, die Sie für Ihre Experience für die Zuordnung bedeutender Ereignisse verwenden möchten.

Die Ergebnisse der bedeutenden Ereignisfelder und -Werte werden als einzelne Registerkarten angezeigt. Sie können bis zu fünf bedeutende Ereignisse erfassen.

Der Abruf für Beispiele bedeutender Ereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

In der folgenden Abbildung werden die Feld-Name-Wert-Paare für das erfasste bedeutende Ereignis oder die importierten Beispielereignisse auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf der Erfassung abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
Ziehen Sie den Feldnamen, z. B. src_CATEGORY , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.

Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. Im folgenden Bild src_CATEGORY Ist zugeordnet zu Kategorie Feld im Security Incident. Sie können jedoch einen beliebigen Wert von der linken Seite mit einem Feld auf der rechten Seite abgleichen. Stellen Sie sicher, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet ist.

Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite geben an, dass ein Feld für bedeutende Ereignisse noch nicht ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes bedeutendes Feld mehreren Feldern in einem Security Incident zuordnen.

Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.
Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
1. Klicken Sie rechts neben dem Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plussymbol.
  Ein neues Feld wird angezeigt.
2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.
  
  In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung Kategorie Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Felder für bedeutende Ereignisse auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
  
  Hinweis:
  Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incidents eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
3. Geben Sie alternativ einen Wert in das Suchfeld für die neue Zeile ein.
4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Ereignis-ID Die Sie im Feld „Eingabeausdruck“ wünschen.
Fahren Sie mit der Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.
Die folgende Abbildung ist ein Beispiel für eine bearbeitete Zuordnung. Im unteren Feld auf der rechten Seite wird das Feld „Arbeitsnotizen“ hinzugefügt und hat mehr als einen Wert. Beachten Sie, dass Sie für das Feld „lange Textzeichenfolge“ das Zuordnungsfeld erweitern können, um die vollständige Zeichenfolge anzuzeigen, und die Größe nach Bedarf ändern können, indem Sie die untere rechte Ecke des Felds wie im Screenshot unten mit dem Feld „hinzugefügte Arbeitsnotizen“ ziehen:

Warnung:
Beachten Sie dies in Zuordnung des SIR-Incident-Felds Abschnitt, die URL und die Portnummer, die in erwähnt werden Eingabeausdruck Das Feld ist nur ein Beispiel und nicht die sofort bereitgestellte URL oder Portnummer.

In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Zuordnungsabschnitt hinzugefügt haben, und dem Feld „Arbeitsnotizen“ mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Interpunktionszeichen, die Sie in das Feld eingegeben haben, im Abschnitt „zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incidents angezeigt.

Das folgende Bild ist ein Beispiel dafür, wie die Werte im vorherigen Bild für den Security Incident angezeigt werden.
Wahlweise: Öffnen Sie den Skripteditor, und fahren Sie mit der Bearbeitung fort.
Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skripteditor, um Warnungswerte für zu formatieren Splunk Enterprise Event IngestionIntegration.

Enthält Hyperlinks für die Überprüfung von Incidents bedeutender Ereignisse und beitragende Ereignisse

Zusätzlich zu Zuordnungsfeldern wird sn_si.admin Kann einen Zeichenfolgenwert zuordnen, der es dem Sicherheitsanalysten, der an einem Incident arbeitet, ermöglicht, einen Hyperlink zurück zu beiden Überprüfungen des bedeutenden Ereignis-Incidents in zu erstellen Splunk Enterprise SecurityKonsole sowie die zugrunde liegenden beitragenden Ereignisse, die Teil der Drilldown-Suche sind.

Die folgenden Zeichenfolgenwerte enthalten Splunk Enterprise SecurityServername und entsprechende Variablen, die für die Hyperverknüpfung dieser Details verwendet werden können:
- Hyperlink Zur Überprüfung Von Bedeutenden Ereignis-Incidents : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
  Wo splunkes2.secops-eng.com:8000 Ist die Splunk-Serverquelle und Info_min_time Und Ereignis_ID Werden Ereignisfeldwerte aus den bedeutenden Ereignissen extrahiert?
- Hyperlink Zu Beitragsereignissen Für Bedeutende Ereignisse (Drilldown-Suche) : https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
  Wo splunkes2.secops-eng.com:8000 Ist die Splunk-Serverquelle und drilldown_search Ist ein Ereignisfeldwert, der aus den bedeutenden Ereignissen extrahiert wird.
Das folgende Bild zeigt die URL zur Überprüfung von bedeutenden Ereignis-Incidents, die dem Feld „Arbeitsnotiz“ zugeordnet ist, und den Hyperlink „bedeutende Ereignisse beitragende Ereignisse“ (Drilldown-Suche), der einem anwenderdefinierten Feld mit der Bezeichnung „URL des bedeutenden Ereignis-Incidents“ zugeordnet ist:

Das folgende Bild ist die SIR-Incident-Vorschau mit dem Hyperlink zur Überprüfung von bedeutenden Ereignis-Incidents und der URL für beitragende Ereignisse:

Filterbedingungen für die Incident-Generierung
Wahlweise: Nachdem Sie die vorherigen Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes bedeutendes Ereignis erfüllen muss, um eine zu erstellen SIRSecurity Incident.
Führen Sie diese Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.
  
  Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.
  
  Die Optionen in den Listen für das erste Feld im Filterbedingungs-Generator stimmen mit den Feldern überein, die im Abschnitt „Beispielerfassung bedeutender Ereignisse“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach SplunkBedeutende Ereignisse, die Sie erfassen, oder das Ereignis, das Sie für die manuell weitergeleiteten Beispiele für bedeutende Ereignisse auswählen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen Splunk Enterprise SecurityBedeutendes Ereignis. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, können Sie zu zurückkehren Splunk Enterprise SecurityKonsole und überprüfen Sie Ihre bedeutenden Ereignisse auf die Stichwörter.
2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
  Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen. Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.
  
  Das folgende Bild ist ein Beispiel mit zwei Bedingungen, die abgeglichen werden müssen, bevor Security Incidents erstellt werden.
  
  Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen übereinstimmen.
  
  Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche oder -Filter in zu ändern Splunk. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur bedeutende Ereignisse zugeordnet, die allen Kriterien entsprechen.
  
  Hinweis:
  Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche (‘), Unterstriche (-), bei (@) oder ampersands (&) enthält, diese Zeichen müssen möglicherweise zu Zuordnungsübersetzungszwecken ersetzt werden und möglicherweise einen doppelten Ereignisnamen erstellen. Die Zuordnung kann ordnungsgemäß erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Beispiel: Wenn das erste Ereignisfeld lautet Warnungen.Warnung Und das zweite Ereignisfeld ist Warnungen@Warnungen , Diese Felder können nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Ereignisfeld ein Suffix hinzugefügt, und das Feld wird in umbenannt Warnungen@Warnung(1) .
Ereigniszusammenfassungskriterien zur Behandlung ähnlicher bedeutender Incidents und zur Vermeidung doppelter Incidents
Wahlweise: Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Ereigniszusammenfassungskriterien, damit eingehende bedeutende Ereignisse zu einem offenen Security Incident zusammengefasst werden.
Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Kriterien für Ereigniszusammenfassung“, und wählen Sie aus Aggregatbedingungen Kontrollkästchen zum Aktivieren dieser Option.
  
  Die Incident-Felder mit übereinstimmenden Werten werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die auf konfiguriert sind SIRSecurity Incident.
2. Wählen Sie im Mehrfachauswahleingabefeld die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten Now Platform.
3. Verwenden Sie Fügen Sie Neue Kriterien Hinzu Zum Auswählen mehrerer Felder, die den Bedingungen entsprechen.
  Alle Feldwerte, die Sie im Mehrfachauswahleingabefeld auswählen, werden für Zusammenfassungskriterien mit der Bedingung UND abgeglichen. Klicken Sie Auf Fügen Sie Neue Kriterien Hinzu Dient zum Auswählen mehrerer übereinstimmender Felder, bei denen eine Zusammenfassung stattfindet, wenn eine der definierten Bedingungen für mehrere ausgewählte Felder mit der ODER-Bedingung erfüllt wird.
  
  Wenn ein neues bedeutendes Ereignis allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird das neue bedeutende Ereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten bedeutenden Ereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten bedeutenden Ereignisse in einem Security Incident werden auf angezeigt SplunkZugehörige Liste „Ereignis zu Aufgaben“. Diese Liste enthält Details zu zugeordneten Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese bedeutenden Ereignisse zu vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.
4. Wahlweise: Um eine Arbeitsnotiz für ein neues bedeutendes Ereignis zu protokollieren, das kürzlich dem Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
  In der Arbeitsnotiz wird protokolliert, dass ein neuer bedeutender Wert hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und allen anderen Details, die dem Feld „Arbeitsnotiz“ in Ihrem Zuordnungsabschnitt hinzugefügt wurden.
Sie haben erfolgreich Werte aus zugeordnet SplunkBedeutendes Ereignis zu Feldern auf einem SIRSecurity Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch bedeutende Ereignisse an vorhandene angehängt SIRSecurity Incidents, wenn Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.

Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung

Fortsetzen	Das Zuordnungsformular wird angezeigt. Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIRSecurity Incident.
Aktualisieren	Ihre Daten werden gespeichert, und die Liste „Splunk-Ereignisprofile“ wird angezeigt.
Zurück	Das Formular „Auswahl bedeutender Ereignisse“ wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil, und die Liste „Splunk-Ereignisprofile“ wird angezeigt.

Nächste Maßnahme

Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.

Vorschau des Security Incidents für anzeigen Splunk Enterprise SecurityIntegration der Ereigniserfassung

Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem zugeordnet haben Now Platform® Security Incident Response( SIR) Security Incident. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle bedeutenden Felder zugeordnet haben, die im Security Incident angezeigt werden sollen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Zeigen Sie eine Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung nach Bedarf erneut, um Felder mit Fehlern zu beheben oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIRSecurity Incidents werden nicht als tatsächliche Incidents in gespeichert SIRProdukt.

Prozedur

Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie auf Vorschau Im Fortschrittsbalken.
Wählen Sie in der Auswahlliste Ereignisname ein Element aus, wenn mehrere Ereignisse verwendet wurden.
Wählen Sie Ereignis-IDs aus der Auswahlliste Beispiel für bedeutende Ereignis-IDs aus.
Wählen Sie in der Auswahlliste Beispiel für IDs bedeutender Ereignisse ein Element aus.

Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.
Überprüfen Sie die Feldzuordnung der bedeutenden Ereigniswerte für den Security Incident.

Das vorhergehende Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem bedeutenden Ereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Eine Fehlermeldung wird angezeigt, die angibt, dass kein Eingabewert für gefunden wurde Konfigurationselement Feld in ServiceNow®Kundenverwaltungsdatenbank (CMDB). Daher wird dieser zugeordnete Feldwert ohne weitere Änderung nicht im SIR Security Incident-Formular angezeigt.
Klicken Sie auf, um diesen Fehler zu beheben Zuordnung Im Fortschrittsbalken.
Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
Zeigen Sie erneut eine Vorschau der Zuordnung an, und beheben Sie alle Fehler, die in Fehlermeldungen beschrieben sind.

Die folgende Abbildung ist ein Beispiel für die Registerkarte „Incident-Details“ in der unteren Hälfte von SIRSecurity Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder „Beschreibung“ und „Arbeitsnotizen“ zugeordnet, und diese Felder werden mit den Werten aus den Wertpaaren ausgefüllt, die aus abgerufen wurden Splunk Enterprise SecurityBeispiele für bedeutende Ereignisse. Das erste Feld für Arbeitsnotizen hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsabschnitt hinzugefügt.

Nachdem Sie Fehler behoben und überprüft haben, dass die Felder so sind, wie Sie sie möchten, wählen Sie eine Option aus, um fortzufahren.

Option	Beschreibung
Fortsetzen	Das Planungsformular wird für Profile mit geplanten bedeutenden Ereignissen angezeigt. Zeitplanung Ist im Fortschrittsbalken ausgewählt.
Fertigstellen	Klicken Sie für Profile, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Beenden . Es gibt keinen Planungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus exportiert werden Splunk Enterprise SecurityKonsole.
Aktualisieren	Ihre Daten werden gespeichert, und Sie werden zu zurückgegeben SplunkEreignisprofilliste.
Zurück	Der Zuordnungsschritt im Fortschrittsbalken wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil und das SplunkDie Liste „Ereignisprofile“ wird angezeigt.

Nächste Maßnahme

Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, besteht der nächste Schritt in Planen und rufen Sie Warnungen für ab Splunk Enterprise Event IngestionIntegration.

Planen und rufen Sie neue und aktualisierte bedeutende Ereignisse für ab Splunk Enterprise SecurityIntegration der Ereigniserfassung

Für Profile der automatisierten Erfassung bedeutender Ereignisse ist dieser Schritt in der Ereignisprofilkonfiguration erforderlich. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf bedeutender Ereignisse überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische bedeutende Ereignisse mithilfe eines Datumsbereichs abrufen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Für Profile für die automatisierte Erfassung bedeutender Ereignisse wählen Sie aus, ob Sie während des Planungsschritts historische bedeutende Ereignisse erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen bedeutenden Ereignissen und aktualisierten bedeutenden Ereignissen abfragen, die der Warnungsprofilkonfiguration entsprechen.

Bei automatisierten Profilen zur Erfassung bedeutender Ereignisse überprüfen und ändern Sie die Planung und den Warnungsabruf, bevor das Profil aktiviert wird. Dies ist ein erforderlicher Schritt für den gesamten Ereignisprofilkonfigurationsprozess für geplante Warnungsprofile.

Sie konfigurieren diese Abfrageintervalle pro Profil. Die Leistung von SplunkDie Integration der Ereigniserfassung kann von den verschiedenen Abfrageintervallen betroffen sein. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands für ausgleichen Splunk Enterprise SecurityServer gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn ein bedeutendes Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein fünfminütiger Standardwert festgelegt, aber Sie können diese Einstellung bei Bedarf auf eine Minute ändern.

Neue und aktualisierte bedeutende Ereignisse werden abgerufen

Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte bedeutende Ereignisse ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllten. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die möglicherweise nicht vorhanden sind, wenn ein bedeutendes Ereignis zuerst erstellt wird, aber verfügbar werden, nachdem ein Update erfolgt ist, z. B. während der Untersuchungsphase. Sobald ein Incident für ein bestimmtes bedeutendes Ereignis erstellt wurde, werden die nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass der bedeutende jetzt als aktives Ereignis behandelt wird ServiceNow®Security Incident. Alle anderen bedeutenden Personen, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incidents werden.

Prozedur

Wenn die Seite „Planung“ auf der Fortschrittsleiste nicht angezeigt wird, wählen Sie aus Zeitplanung .

Wählen Sie eines aus, um zu planen, wie und wann bedeutende Ereignisse aus abgerufen werden Splunk Enterprise SecurityKonsole.

Option	Beschreibung
Feld „laufende Ereigniserfassung“ ausgewählt Feld „Einmalabruf“ gelöscht	Laufendes Ereignis Basierend auf der Standardeinstellung wird Now PlatformInstanz wird aus abgerufen Splunk Enterprise SecurityServer für neue und aktualisierte bedeutende Ereignisse alle fünf Minuten. Security Incidents werden erstellt, wenn bedeutende Ereignisse gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen, um die aktuellsten Daten abzurufen, sind fünf Minuten die Standardeinstellung. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
Feld „laufendes bedeutendes Ereignis“ gelöscht Feld „Einmalabruf“ ausgewählt	Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen historischer bedeutender Ereignisse wünschen. Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um bedeutende Ereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Wert seit Datum werden bedeutende Ereignisse bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, signifikante Mengen historischer Ereignisse aus abzurufen Splunk Enterprise SecurityAus Archivierungsgründen, aber eher aus einer minimalen Anzahl von laufenden Ereignissen, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden. Nachdem die bedeutenden Ereignisse abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren bedeutenden Ereignisse für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen bedeutenden Ereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Option

Beschreibung

Feld „laufende Ereigniserfassung“ ausgewählt
Feld „Einmalabruf“ gelöscht

Laufendes Ereignis

Basierend auf der Standardeinstellung wird Now PlatformInstanz wird aus abgerufen Splunk Enterprise SecurityServer für neue und aktualisierte bedeutende Ereignisse alle fünf Minuten. Security Incidents werden erstellt, wenn bedeutende Ereignisse gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen, um die aktuellsten Daten abzurufen, sind fünf Minuten die Standardeinstellung. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.

Feld „laufendes bedeutendes Ereignis“ gelöscht
Feld „Einmalabruf“ ausgewählt

Einmaliger Abruf

Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen historischer bedeutender Ereignisse wünschen.

Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um bedeutende Ereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Wert seit Datum werden bedeutende Ereignisse bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, signifikante Mengen historischer Ereignisse aus abzurufen Splunk Enterprise SecurityAus Archivierungsgründen, aber eher aus einer minimalen Anzahl von laufenden Ereignissen, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

Nachdem die bedeutenden Ereignisse abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren bedeutenden Ereignisse für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen bedeutenden Ereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Als Beispiel für die Planung einer ersten Erfassungszeit bedeutender Ereignisse, wenn Sie täglich eine haben SplunkSicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Profil für bedeutende Ereignisse in einrichten Now PlatformInstanz, die um 4:05 Uhr Ortszeit ausgeführt werden soll, um das Security Failure-Ereignis sofort zu erfassen und einen Security Incident zu erstellen. Eingabetaste 04 05 00 Im Feld „erste Ereigniserfassung“. Geben Sie im Feld Schritt (Minuten) ein 1440 (24 Stunden) zum Planen der nächsten Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung. Sowohl die erste Ereigniserfassungszeit als auch die nächste Ereigniserfassungszeit werden in den Feldern angezeigt.

Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
1. Wählen Sie bei angezeigter Zeitplanseite die aus Laufende Ereigniserfassung Kontrollkästchen zum Aktivieren dieser Option.
2. Geben Sie im Feld Schritt (Minuten) ein 1440 (24 Stunden).
3. Klicken Sie auf Wählen Sie die erste Ereigniserfassung aus Kontrollkästchen zum Aktivieren der Bearbeitung der Felder „erste Ereigniserfassung“ und „nächste Ereigniserfassung“.
4. Geben Sie im Feld erste Ereigniserfassung ein 04 05 00 .
  Im Feld nächste Ereigniserfassung (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.

Klicken Sie auf eine der folgenden Optionen, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung
Fortsetzen	Das Formular „zusätzliche Optionen“ wird angezeigt. Zusätzliche Optionen Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, die bedeutenden Ereignisse zu aktualisieren, wenn der SIR-Incident erstellt und/oder geschlossen wird.
Aktualisieren	Ihre Daten und werden gespeichert SplunkDie Liste der Ereignissicherheitsprofile wird angezeigt.
Zurück	Das Planungsformular wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil und das Splunk Enterprise SecurityDie Liste „Ereignisprofile“ wird angezeigt.

Automatisieren Sie Aktualisierungen und Abschluss bedeutender Ereignisse basierend auf dem Status des SIR-Incidents

Security Incidents können erstellt und aktualisiert werden, nachdem sie mit einer bidirektionalen Schnittstelle mit erstellt wurden Splunk Enterprise SecurityIntegration.

Vorbereitungen

Die Splunk Enterprise SecurityDie Integration verfügt über eine bidirektionale Schnittstelle, mit der bedeutende Ereignisse Security Incidents erstellen und die bedeutenden Ereignisse aktualisieren können, nachdem der Security Incident erstellt und/oder geschlossen wurde.

Zu den relevanten Incident-Details gehören SIRIncident-Nummer, Zuweisungsgruppe, SIRIncident-URL. Dieser Abschnitt ist der letzte Teil der Profilkonfigurationseinrichtung, der optionale Funktionen zum Aktualisieren von bietet Splunk Enterprise SecurityBedeutende Ereignisse.

Erforderliche Rolle: sn_si.admin

Prozedur

Wenn die Seite „zusätzliche Optionen“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zusätzliche Optionen .

Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung bedeutender Ereignisse basierend auf Security Incident-Updates abzuschließen.

Option oder Feld	Beschreibung
Bedeutende Ereignisse bei Erstellung von SIR-Incident aktualisieren	Wählen Sie diese Option aus, wenn Sie den Status des bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem bedeutenden Ereignis erstellt wird. Dies kann sowohl für die anfänglich auslösenden bedeutenden Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse auftreten.
Aktualisierung des Anfangsstatus von bedeutendem Ereignis	Sie müssen eine Statusoption aus dem Menü auswählen, die alle verfügbaren Statuswerte anzeigt, die von abgerufen wurden Splunk Enterprise SecurityServer. Dies kann einen anwenderdefinierten Erstellungsstatus umfassen, z. B. ServiceNow– Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle bedeutenden Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes bedeutendes Ereignis erstellt wird. Dies umfasst bedeutende, die neue Incidents erstellen, und bedeutende, die erfasst und zu einem vorhandenen offenen Incident aggregiert werden.
An bedeutendes Ereignis zurückgesendete Anfangskommentare	Neben der Aktualisierung des Statuswerts für bedeutende Ereignisse können Sie auch Kommentare im Überprüfungsverlauf für Incidents für bedeutende Ereignisse veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld auf bearbeiten Security Incident ResponseIncident-Formular.
Bedeutende Ereignisse bei Abschluss von SIR-Incident schließen	Wählen Sie diese Option aus, wenn Sie den Status bedeutender Ereignisse aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem bedeutenden Ereignis geschlossen wird. Dies geschieht sowohl für die anfänglich auslösenden bedeutenden Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse.
Aktualisierung des Abschlussstatus von bedeutendem Ereignis	Sie müssen eine Statusoption aus dem Listenmenü auswählen, die alle verfügbaren Statuswerte anzeigt, die von abgerufen werden Splunk Enterprise SecurityServer. Dies kann einen anwenderdefinierten Erstellungsstatus umfassen, z. B. ServiceNow– Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle bedeutenden Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes bedeutendes Ereignis erstellt wird. Dies umfasst bedeutende Personen, die neue Incidents erstellen, sowie bedeutende, die erfasst und zu einem vorhandenen offenen Incident aggregiert werden.
Abschlusskommentare, die an ein bedeutendes Ereignis zurückgesendet wurden	Neben der Aktualisierung des bedeutenden Statuswerts können Sie Abschlusskommentare auch im Überprüfungsverlauf des Incidents für bedeutende Ereignisse veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld auf bearbeiten Security Incident ResponseIncident-Formular.

Klicken Sie Auf Beenden Um die Konfiguration abzuschließen.
Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um bedeutende Ereignisse aus abzurufen Splunk Enterprise SecurityKonsole basierend auf Ihrer Planung. Es gibt ein Limit von 1.000 Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Bis zu 100 bedeutende Ereignisse pro ausgelöster Warnung. Nachfolgende bedeutende Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht wurden.
Das folgende Bild zeigt die Registerkarte „zusätzliche Optionen“ mit ausgefüllten Standardwerten:

Wenn die Konfiguration „zusätzliche Optionen“ aktiviert ist, zeigt die Überprüfung des Incidents bedeutender Ereignisse die Statusänderung und eine Aktualisierung der Verlaufskommentare an:

Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein

Abhängig vom definierten Profil Splunk ESBedeutende Ereignisse werden manuell als diskrete bedeutende Ereignisse an weitergeleitet Security OperationsUmgebung von Now PlatformInstanz.

So richten Sie ein Profil für die manuelle Weiterleitung bedeutender Ereignisse ein:


Aufgabe	Abschnitt
Erstellen Sie ein Ereignisprofil	Siehe Erstellen Sie Profile für manuell weitergeleitete Ereignisse
Ordnen Sie bedeutende Ereignisfelder zu	Siehe Zuordnung bedeutender Ereignisfelder für Splunk Enterprise SecurityIntegration
Erstellen Sie anwenderdefinierte Zuordnungen	Siehe Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (manuelle Weiterleitung)
Zeigen Sie eine Vorschau des Security Incidents an	Siehe Vorschau des Security Incidents für anzeigen Splunk Enterprise SecurityIntegration der Ereigniserfassung
Richten Sie Ihr ein SplunkUmgebung für manuelle Erfassung	Siehe Richten Sie Ihr ein SplunkUmgebung für die manuelle Ereigniserfassung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse
Automatisieren Sie Aktualisierungen und Abschluss bedeutender Ereignisse basierend auf dem Status des SIR-Incidents	Siehe Automatisieren Sie Aktualisierungen und Abschluss bedeutender Ereignisse basierend auf dem Status des SIR-Incidents

Erstellen Sie Profile für manuell weitergeleitete Ereignisse

Sie können ein Profil für manuell weitergeleitete Ereignisse einrichten.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Prozedur

Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

Für Ereignisse, die Sie bei Bedarf von Ihrem weiterleiten Splunk Enterprise SecurityKonsole können Sie die Zuordnung einzelner Felder auf einem beliebigen vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

Wenn nicht bereits ausgewählt, wählen Sie in der Auswahlliste für das Feld Typ die Option aus Manuelle Ereignisweiterleitung .

Wählen Sie im angezeigten Feld „Zuordnungsoption“ aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.

Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste „Zuordnungsoptionen“ finden Sie in den folgenden Abbildungen und Tabellen.

Tabelle : 3. Erstellen Sie eine neue Feldzuordnungsoption
Option oder Feld	Beschreibung
Erstellen Sie eine neue Feldzuordnungsoption	Neue Feldzuordnung für Ihr Ereignis. Wenn Sie keine Feldzuordnung haben, die dem Profil ähnelt, das Sie erstellen, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.
Standardprofil	Standardmäßiges Ereignisweiterleitungsprofil für alle SplunkEreignisse. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil wird verwendet, wenn keine Übereinstimmung in der Quelle aus dem manuell weitergeleiteten Ereignis vorhanden ist. Es wird zum Standardprofil für alle Ereignisse mit unbekannten Quellen. Das Feld „Quelle“ ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelle (Feld „bedeutendes Ereignis“)	Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die das bedeutende ausgelöst hat, z. B. Brute-Force-Angriffe. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist. Falls verfügbar, ermöglicht dieses Feld die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf der splunk-Korrelationsregel, die sich normalerweise für verschiedene Ereignistypen unterscheidet. Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie verschiedene Profil-Ereignisprofile basierend auf der Korrelationsregel erstellen, um diese Anforderung zu erfüllen.
Aktualisierung bedeutender Ereignisse automatisieren	Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein SIR-Incident aus dem bedeutenden Ereignis erstellt wird und/oder wenn der SIR-Incident geschlossen wird. Dies geschieht sowohl für die anfänglich auslösenden bedeutenden Ereignisse, die den SIR-Incident erstellen, als auch für zusammengefasste Ereignisse.
Quelle ( SplunkServer)	Die SplunkServer, den Sie als Quelle für bedeutende Ereignisse konfiguriert haben. Wenn Sie mehrere haben SplunkKonfigurierte Server wählen Sie den entsprechenden Server für die bedeutenden Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
Bestellung	Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert. Wenn Sie eine große Anzahl von Profilen erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile Auslösebedingungen teilen. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Stellen Sie für ein Profil mit einer neuen Feldzuordnung sicher, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fahren Sie Fort Um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.

Tabelle : 4. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
Option oder Feld	Beschreibung
Vorhandenes Profil für Feldzuordnung auswählen	Verwenden Sie eine vorhandene Feldzuordnung für Ihr neues Profil für bedeutende Ereignisse. Das Feld „aus Profil kopieren“ wird angezeigt. Führen Sie diese Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren. Klicken Sie links neben dem angezeigten Feld „aus Profil kopieren“ auf das Suchsymbol. In SplunkEs-Ereignisprofilliste, die angezeigt wird, klicken Sie auf den Profilnamen, der die Karte enthält, die Sie kopieren möchten. Der Profilname wird im Feld „aus Profil kopieren“ angezeigt.
Standardprofil	Standardmäßiges Ereignisweiterleitungsprofil für alle SplunkBedeutende Ereignisse mit nicht übereinstimmender Quelle. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Das Feld „Quelle“ ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelle (Feld „bedeutendes Ereignis“)	Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die das bedeutende ausgelöst hat, z. B. Brute-Force-Angriffe. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist. Falls verfügbar, ermöglicht dieses Feld die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf der splunk-Korrelationsregel, die sich normalerweise für verschiedene Ereignistypen unterscheidet. Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie verschiedene Profil-Ereignisprofile basierend auf der Korrelationsregel erstellen, um diese Anforderung zu erfüllen.
Automatisieren Sie Bedeutende Ereignisse	Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status bedeutender Ereignisse aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem bedeutenden Ereignis erstellt wird oder wenn der Security Incident geschlossen wird. Dies geschieht sowohl für die anfänglich auslösenden bedeutenden Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse.
Quelle ( SplunkServer)	Splunk Server- oder Suchende, die Sie als Quelle für bedeutende Ereignisse konfiguriert haben. Wenn Sie mehrere haben SplunkKonfigurierte Server wählen Sie den entsprechenden Server für die bedeutenden Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
Bestellung	Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert. Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile Auslösebedingungen teilen. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Klicken Sie unten im Formular zum Auswählen einer vorhandenen Zuordnung für Ihr Profil auf Beenden Zum Abschließen der Profilkonfiguration.

Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (manuelle Weiterleitung)

Während des Zuordnungsschritts für bedeutende Ereignisfelder ordnen Sie einzelne Ereignisfelder aus bedeutenden Ereignissen Feldern auf zu Now Platform Security Incident Response( SIR) Security Incident.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die normalerweise ein wichtiges Feld sind, das im SIR-Incident-Formular ausgefüllt werden soll, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen SplunkFelder, die nicht im Standardzuordnungsraster auf angezeigt werden SIRSecurity Incident.

Prozedur

Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.
Führen Sie diese Schritte aus, um Anhangsdaten in hochzuladen Now Platform®Instanz.
1. Wenn Sie sich noch nicht angemeldet haben, melden Sie sich bei an Splunk EnterpriseKonsole.
2. Navigieren Sie zur Registerkarte „Suchen“, und geben Sie einen Namen für eine Suche ein, die die bedeutenden Ereignisdaten enthält, die Sie exportieren möchten.
  Ein Beispielsuchformat zum Abrufen bedeutender Ereignisse für die Korrelationsregel für Brute-Erzwingungsverhalten wäre das folgende: „Notable“|search Source=„Zugriff – Brute-Erzwingungsverhalten erkannt – Regel“.
3. Erweitern Sie das bedeutende Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.
  
  Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Zuordnungsseite in angezeigt werden Now Platform®Instanz.
4. In Ihrem Splunk EnterpriseKonsole klicken Sie oben rechts auf der Suchseite auf Exportieren Symbol.
5. Klicken Sie in der Auswahlliste für das Feld Format im angezeigten Dialogfeld auf XML-Format .
6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
7. Klicken Sie Auf Exportieren .
  
  Exportiert SplunkDie XML-Datei für bedeutende Ereignisse muss jetzt auf hochgeladen werden Now Platform®Instanz.
8. Wenn die Zuordnungsseite nicht bereits in angezeigt wird Now Platform®Instanz, klicken Sie auf Zuordnung Im Fortschrittsbalken.
9. Klicken Sie in der Spalte Beispielerfassung für bedeutendes Ereignis auf Laden Sie Anhangsdaten .
10. Klicken Sie im angezeigten Dialogfeld auf Wählen Sie Dateien aus Und navigieren Sie zu .Xml Datei, die Sie exportiert haben, und klicken Sie auf Offen .
  Nachdem Sie auf geklickt haben, um Anhangsdaten für manuell weitergeleitete Ereignisse zu laden Splunk ESFelder für bedeutendes Ereignis werden auf der linken Seite des Formulars ausgefüllt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „Sir Incident-Feldzuordnung“ des Formulars zuordnen.
  
  Die Wertpaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.
Führen Sie die Schritte 5 bis 10 in aus Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (geplante Erfassung)Abschnitt.

Richten Sie Ihr ein SplunkUmgebung für die manuelle Ereigniserfassung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse

Installieren und richten Sie ein ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityAnwendung in Ihrem Splunkenterprise-Konsole oder Splunk Cloud-Instanz, wenn Sie Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise SecurityKonsole für diese Integration.

Vorbereitungen

Installieren und Einrichten von ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityAnwendung in Ihrem Splunkenterprise-Konsole oder Splunk-Cloud-Instanz ist optional.

Stellen Sie sicher, dass Sie die Anwendung für diese Integration über installiert haben ServiceNow StoreVor der Installation des Add-on-Plugins von splunkbase, das für die manuelle Ereigniserfassung erforderlich ist. Wenn Sie die Anwendung für die Integration nicht über installiert haben ServiceNow Store, Siehe Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender EreignisseUnd befolgen Sie die Anweisungen, um es zu installieren.

Erforderliche Rolle: Splunk Enterprise SecurityAdministrator

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie Ereignisse manuell und bei Bedarf von exportieren möchten Splunk EnterpriseKonsole für die Integration herunterladen, installieren und einrichten ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityVon Splunkbase in Ihrem Splunk Enterprise SecurityKonsole. Dies ServiceNowDas Erweiterungs-Add-on ist erforderlich, damit Security Incidents aus manuell exportierten Ereignissen in erstellt werden können Now PlatformInstanz. Dies ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityAnwendung ist verfügbar für Splunkbase .

Für die manuelle Ereignisweiterleitung können Sie bis zu zwei verschiedene identifizieren Now PlatformEndpunkte (Instanzen) in Ihrem Splunk Enterprise SecurityKonsole. Sie leiten die Ereignisse manuell an den Endpunkt oder Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise sowohl eine Bereitstellungsinstanz (Entwicklungs-) als auch eine Produktionsinstanz angeben. Indem Sie separate Instanzen angeben und primäre und sekundäre Workflows für jede Instanz benennen, können Sie auswählen, wohin Sie verschiedene Ereignisse weiterleiten möchten.

Prozedur

Wenn Sie noch nicht installiert haben ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise Security, Führen Sie diese Schritte aus, um es zu installieren und zu konfigurieren.
1. Navigieren Sie zu Splunkbase .
2. Suchen Sie nach ServiceNow Security OperationsErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise Security.
  
  Hinweis:
  Überprüfen Sie, ob Sie ausgewählt haben ServiceNow Security OperationsEreigniserfassungs-Add für Splunk Enterprise Security. Es gibt zusätzliche ServiceNowadd-ons, die in dieser Liste angezeigt werden. Diese Add-ons gelten für verschiedene ServiceNow SplunkIntegrationen und sind für diese Integration nicht erforderlich.
3. Laden Sie die Anwendung herunter.
4. Öffnen Sie Ihr Splunk Enterprise SecurityAccount.
5. Klicken Sie auf der App-Seite auf das Zahnradsymbol oder auf Apps Verwalten Verknüpfung in der Dropdown-Liste des Menüs.
6. Klicken Sie oben links auf der angezeigten App-Seite auf Installieren Sie die App aus der Datei .
7. Klicken Sie Auf Wählen Sie Datei Aus , Auswählen ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise Security, Und klicken Sie auf Hochladen .
8. Starten Sie bei Aufforderung neu Splunk Enterprise.
  Die ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityIst in installiert Splunk Enterprise SecurityKonsole. Der nächste Schritt zum Einrichten des Add-ons.

Führen Sie diese Schritte aus, um das Add-on einzurichten.

In Splunk Enterprise Security, Klicken Sie auf Apps Zahnradsymbol oder Apps Verwalten In der Dropdown-Liste des Menüs.
In der Liste der Anwendungen, die in angezeigt wird Aktionen Spalte, klicken Sie auf Einrichten Für ServiceNow Security OperationsEreigniserfassungs-Add für Splunk Enterprise Security.
Füllen Sie das Formular aus.

Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular in Ihrem Splunk Enterprise SecurityKonsole.

Feld im Abschnitt „primäre ServiceNow-Instanz angeben“	Beschreibung
Bezeichnung der Workflow-Aktion	Name von Now PlatformWorkflow für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name von Now PlatformInstanz, die Ihre Anwender überwachen SplunkEreignisse identifizieren sich als primäre Instanz, z. B. ServiceNow-Ereigniserfassung (Produktion). Der Standard für dieses Feld ist ServiceNow-Ereigniserfassung (Produktion). In Ihrem Splunk Enterprise SecurityKonsole, wird dieser Workflow-Name für die Produktionsinstanz (primäre) in erweitert angezeigt `Ereignisaktionen` Dropdown-Liste einer Suche. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
URL	Die URL für Now PlatformInstanz, die Sie im vorherigen Feld für die Bezeichnung der Workflow-Aktion eingegeben haben. Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
Endpunkt	Basis-API-Pfad. Weitere Informationen finden Sie in der Abbildung, die der Tabelle folgt. Wenn Sie keinen Wert für den Endpunkt von haben Now PlatformProduktionsinstanz führen Sie diese Schritte aus. Melden Sie sich bei an Now PlatformProduktionsinstanz als Anwender mit der Rolle „Systemadministrator“ (Administrator). Eingabetaste `Geskriptete REST-APIs` Im Navigationsbereich. Nachdem der Navigationsbereich aktualisiert wurde, wählen Sie aus Geskriptete REST-APIs Modul, das angezeigt wird. Wenn die Ereigniserfassung nicht in der Spalte Name von aufgeführt ist `Geskriptete REST-APIs` Liste, die angezeigt wird, geben Sie im Suchfeld oben ein `Ereigniserfassung` . Kopieren Sie diesen Wert in der Spalte Basis-API-Pfad auf der aktualisierten Seite, und fügen Sie ihn in das Feld „Endpunkt“ im Formular ein. Ein Beispiel für einen Basis-api-Pfad ist: `/api/sn_sec_splunk_v2/event_ingestion` .
Anwendername	Anwendername für Now PlatformInstanz. Dieser Name ist der Anwendername für Now PlatformInstanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben. Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihr ein Now PlatformInstanz für Splunk Enterprise Event IngestionIntegration.
Passwort	Passwort für Now PlatformInstanz. Dieses Passwort ist das Passwort für Now PlatformInstanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben.
(Optional) Felder im Abschnitt „Sekundäre ServiceNow-Instanz angeben“	Beschreibung Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
Bezeichnung der Workflow-Aktion	Name von Now PlatformWorkflow für Ihre sekundäre Instanz (Bereitstellung). Dieser Name ist der Name von Now PlatformInstanz, die Ihre Anwender überwachen SplunkEreignisse identifizieren sich als sekundäre Instanz, z. B. ServiceNowEreigniserfassung (Bereitstellung). In Ihrem Splunk Enterprise SecurityKonsole, wird dieser Workflow-Name für die Bereitstellungsinstanz (sekundär) in der erweiterten Dropdown-Liste „Ereignisaktionen“ einer Suche angezeigt. Dies Now PlatformInstanz ist Ihre Bereitstellungsinstanz. Sie können den Namen bearbeiten.
URL	Die URL für Now PlatformInstanz, die Sie im Feld „Bezeichnung der vorherigen Workflow-Aktion“ für die sekundäre Instanz eingegeben haben Now PlatformInstanz. Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
Endpunkt	Basis-API-Pfad. Dieser Wert für den Basis-API-Pfad für Ihre sekundäre Instanz ist derselbe Wert wie der Basis-API-Pfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorangehenden Abbildung des Formulars.
Anwendername	Anwendername für Now PlatformBereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunk_v2.api_account_access) verfügen.
Passwort	Passwort für Now PlatformBereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunkes.api_account_access) verfügen.

Die folgende Abbildung ist ein Beispiel für die Liste der geskripteten REST-APIs in Ihrem Now Platform. Die Liste zeigt die Position des Endpunktwerts von an Now PlatformInstanz, die Sie im Formular als Teil der Einrichtung für eingeben ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityErweiterung in Ihrem Splunk Enterprise SecurityKonsole.
Basis-API-Pfad hervorgehoben.

Im Setup-Formular in Ihrem Splunk Enterprise SecurityKonsole, klicken Sie auf Speichern Um Ihre Änderungen zu speichern.

Nach einigen Minuten oben links im Formular in Ihrem Splunk Enterprise SecurityKonsole wird eine Nachricht angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

Nachdem Sie das Formular gespeichert haben, die Namen (Workflow-Aktionsbezeichnungen) für Now PlatformInstanzen, die Sie im Formular erstellt haben, sind in der Auswahlliste Ereignisaktionen für ein ausgewähltes Ereignis einer Suche in verfügbar Splunk Enterprise SecurityKonsole.

Nächste Maßnahme

Wenn Sie noch keine Suchvorgänge in gespeichert haben Splunk Enterprise SecurityKonsole, der nächste Schritt besteht darin, Suchvorgänge als Warnungen in zu speichern Splunk Enterprise SecurityKonsole.