Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer
  • Erstellen Sie ein Ereignisprofil in Ihrem Now PlatformInstanz und bestimmen, welche SplunkWarnungen erstellen Security Incidents.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Vor Now Platform Security Incident Response( SIR) Security Incidents werden aus erfassten Warnungen erstellt, die Feldwerte aus Warnungen werden in einem Layout von angezeigt Now PlatformSecurity Incident, damit Sie eine Vorschau anzeigen können, wie der tatsächliche Security Incident angezeigt wird.

    Aus Integrationsperspektive mithilfe verfügbarer APIs SplunkEreignisse werden einzeln und manuell als diskrete Ereignisse weitergeleitet oder zu ausgelösten Warnungen kombiniert, die automatisch in erfasst werden Security OperationsUmgebung von Now PlatformInstanz. Die Integrations-Workflows erfassen verschiedene Arten von Warnungen, z. B. nicht autorisierte Zugriffsversuche und Malware.

    Diese Warnungen werden basierend auf den Profilen erfasst, die Sie in konfigurieren Security OperationsUmgebung Ihrer Instanz. Alle Warnungen werden anfänglich für einen konfigurierten Warnungstyp in einem Profil erfasst. Erfasste Warnungen können dann weiter gefiltert werden, um anzugeben, welche Warnungen Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für Warnungen erstellen, die als hoch riskant identifiziert werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten Warnungen erstellt, werden einzelne Feldwerte in den gefilterten Warnungen den entsprechenden Feldern in einem Layout von Security Incidents für eine Vorschau zugeordnet.

    Warnungsnamen für Ereignisprofile in Ihrem Now PlatformInstanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden. Dies sind die Namen der ausgelösten Warnungen, die Sie in konfiguriert haben SplunkService als Teil des Setups für die Integration. Weitere Informationen zum Konfigurieren von Warnungen in finden Sie in Splunk EnterpriseUmgebung, siehe Speichern Sie Suchen in Splunk EnterpriseKonsole für Splunk Enterprise Event IngestionIntegration.

    Die Now PlatformErfasst bestimmte Warnungen mithilfe der Workflows der Integration. Alle Warnungen, die die Auswahlkriterien in erfüllen Splunkenterprise-Konsole wird anfänglich in erfasst Now PlatformInstanz.

    Ein Profil in Ihrem Now PlatformIst eine Kapselung von SplunkWarnung in Ihrem Splunkenterprise-Konsole. Es besteht eine 1-zu-1-Beziehung zwischen Warnungen, die mit einem Profil erfasst werden, und Verbindungen zu Splunkenterprise-Konsole: Eine Warnung für eine Verbindung. Es gibt eine einzelne HTTP-Verbindung zu einem Suchkopf in Ihrem Splunk EnterpriseKonsole. Mehrere Warnungen können von einem einzelnen Suchkopf stammen. Wenn Sie eine Verbindung zu mehreren Suchköpfen in herstellen Splunk EnterpriseKonsole müssen Sie mehrere Profile in erstellen Now PlatformInstanz zum Erfassen dieser Warnungen.

    Schritte zum Erstellen von Profilen für die geplante Warnungserfassung

    Prozedur

    1. Zum Erstellen eines Ereignisprofils für eine Warnung in Ihrem Now PlatformInstanz, navigieren Sie zu Splunk Integration > Splunk-Ereignisprofilan.
    2. Wenn SplunkEreignisprofilformular wird nicht angezeigt. Klicken Sie auf Name Im Fortschrittsbalken.
    3. Klicken Sie auf Neu.
    4. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Tabelle : 1.
      Feld Beschreibung
      Name Eindeutiger Name für das Profil. Wenn Namen nicht eindeutig sind, werden doppelte Profilnamen nicht gespeichert.

      Profilnamen in Ihrem Now PlatformInstanz muss eindeutig sein.

      Aktiv Kontrollkästchen ist standardmäßig deaktiviert.

      Die Option „aktiv“ ist deaktiviert und kann erst ausgewählt werden, wenn Sie alle Schritte zur Profilkonfiguration abgeschlossen und auf klicken Beenden .

      Typ Wählen Sie den Profiltyp aus der Auswahlliste aus.
      • Geplante Warnungserfassung: Dieser Profiltyp unterstützt ausgelöste Warnungen, die nach einem von Ihnen konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus, und klicken Sie auf Fahren Sie Fort Um mit dem Schritt „Warnungsauswahl“ des Profils fortzufahren.
      • Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt einzelne Ereignisse, die manuell von Ihrem weitergeleitet werden Splunk EnterpriseKonsole bei Bedarf. Sehen Sie sich die folgenden Schritte an, um das Formular für diese Profiltypen auszufüllen.
      Quelltyp Splunk Server- oder Suchende, die Sie zum Erfassen von Warnungen konfiguriert haben. Wenn Sie mehrere haben SplunkKonfigurierte Server wählen Sie den entsprechenden Server für die Warnungstypen aus, die Sie für das Profil erfassen möchten. Sie müssen einen Wert eingeben.
      Bestellung Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

      Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile dieselben Auslösebedingungen haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.

      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular für eine geplante Warnung.

      Ausgefülltes Profilnamenformular für eine geplante Warnung.
    5. Wählen Sie für ein Profil mit einer geplanten Warnung eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Speichern Sie das Profil und den Fortschritt im Schritt „Warnungsauswahl“.
      Aktualisieren Speichern Sie Updates für dieses Profil, und kehren Sie zu zurück SplunkEreignisprofilliste.
      Speichern Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
      Löschen Löschen Sie diesen Profildatensatz, und kehren Sie zu zurück SplunkEreignisprofilliste.
      Schritte zum Erstellen von Profilen für die manuelle Ereignisweiterleitung
    6. Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

      Für Ereignisse, die Sie bei Bedarf von Ihrem weiterleiten Splunkenterprise-Konsole können Sie die individuelle Feldzuordnung auf einem beliebigen vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

      1. Wenn nicht bereits ausgewählt, wählen Sie in der Auswahlliste für das Feld Typ die Option aus Manuelle Ereignisweiterleitung .
      2. Wählen Sie im angezeigten Feld „Zuordnungsoption“ aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.

        Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste „Zuordnungsoptionen“ finden Sie in den folgenden Abbildungen und Tabellen.

        Abbildung : 1. Erstellen Sie eine neue Feldzuordnungsoption
        Zuordnungsoptionsfeld hervorgehoben.
        Tabelle : 2. Erstellen Sie eine neue Feldzuordnungsoption
        Option oder Feld Beschreibung
        Erstellen Sie eine neue Feldzuordnungsoption Neue Feldzuordnung für Ihr Ereignis.

        Wenn Sie keine Feldzuordnung haben, die dem Profil ähnelt, das Sie erstellen, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.

        Standardprofil

        Standardmäßiges Ereignisweiterleitungsprofil für alle SplunkEreignisse. Standard ist gelöscht (deaktiviert).

        Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige Profil, das aktiv ist und für jeden verwendet wird SplunkEreignisfeldzuordnung zu SIRSecurity Incident. Ein Profil passt auf alle weitergeleiteten Ereignisse.

        Das Feld „Quelle“ ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

        Quelltyp

        Splunk Server.

        Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

        Falls verfügbar, ermöglicht die Option „Quelltyp“ eine eindeutige Ereignisfeldzuordnung zu Security Incident-Feldern basierend auf SplunkQuelltyp.

        Wenn Sie Firewall-Protokollereignisse anders als Endpunkt-Erkennungsereignisse verwalten möchten und sich unterscheiden SplunkQuelltypen können Sie verschiedene Ereignisprofile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.

        Bestellung Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

        Wenn Sie eine große Anzahl von Profilen erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile Auslösebedingungen teilen. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.

        (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

        Stellen Sie für ein Profil mit einer neuen Feldzuordnung sicher, dass Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fahren Sie Fort Um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

        Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.

        Abbildung : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
        Suchsymbol für Option „vorhandene Zuordnung kopieren“ hervorgehoben.
        Tabelle : 3. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
        Option oder Feld Beschreibung
        Vorhandenes Profil für Feldzuordnung auswählen Eine vorhandene Feldzuordnung für Ihr Ereignis.

        Das Feld „aus Profil kopieren“ wird angezeigt.

        Führen Sie diese Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren.

        1. Klicken Sie links neben dem angezeigten Feld „aus Profil kopieren“ auf das Suchsymbol.
        2. In SplunkEreignisprofilliste, die angezeigt wird, klicken Sie auf den Profilnamen, der die Zuordnung enthält, die Sie kopieren möchten.

          Der Profilname wird im Feld „aus Profil kopieren“ angezeigt.

        Standardprofil

        Standardmäßiges Ereignisweiterleitungsprofil für alle SplunkEreignisse. Standard ist gelöscht (deaktiviert).

        Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige aktive Profil. Wird für jeden verwendet SplunkEreignisfeldzuordnung zu SIRSecurity Incident. Ein Profil passt auf alle weitergeleiteten Ereignisse.

        Das Feld „Quelle“ ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

        Quelltyp

        Splunk Server.

        Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption ausgewählt ist.

        Falls verfügbar, ermöglicht die Option „Quelltyp“ eine eindeutige Ereignisfeldzuordnung zu Security Incident-Feldern basierend auf SplunkQuelltyp.

        Wenn Sie Firewall-Protokollereignisse anders als Endpunkt-Erkennungsereignisse verwalten möchten und sich unterscheiden SplunkQuelltypen können Sie verschiedene Ereignisprofile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.

        Bestellung Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

        Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile Auslösebedingungen teilen. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.

        (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

        Klicken Sie unten im Formular zum Auswählen einer vorhandenen Zuordnung für Ihr Profil auf Beenden Zum Abschließen der Profilkonfiguration.

    Nächste Maßnahme

    Sie haben die Schritte zum Erstellen von Profilen für geplante Warnungen und die manuelle Ereignisweiterleitung erfolgreich abgeschlossen. Für Profile für die manuelle Ereignisweiterleitung haben Sie die Profilkonfiguration abgeschlossen. Der nächste Schritt besteht darin, Anhangsdaten im Zuordnungsschritt zu laden.

    Für Profile für geplante Warnungen besteht der nächste Schritt darin, Warnungen für die automatische Erfassung auszuwählen.