Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise Event IngestionIntegration
Erstellen Sie ein Ereignisprofil in Ihrem Now PlatformInstanz und bestimmen, welche SplunkWarnungen erstellen Security Incidents.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Vor Now Platform Security Incident Response( SIR) Security Incidents werden aus erfassten Warnungen erstellt, die Feldwerte aus Warnungen werden in einem Layout von angezeigt Now PlatformSecurity Incident, damit Sie eine Vorschau anzeigen können, wie der tatsächliche Security Incident angezeigt wird.
Aus Integrationsperspektive mithilfe verfügbarer APIs SplunkEreignisse werden einzeln und manuell als diskrete Ereignisse weitergeleitet oder zu ausgelösten Warnungen kombiniert, die automatisch in erfasst werden Security OperationsUmgebung von Now PlatformInstanz. Die Integrations-Workflows erfassen verschiedene Arten von Warnungen, z. B. nicht autorisierte Zugriffsversuche und Malware.
Diese Warnungen werden basierend auf den Profilen erfasst, die Sie in konfigurieren Security OperationsUmgebung Ihrer Instanz. Alle Warnungen werden anfänglich für einen konfigurierten Warnungstyp in einem Profil erfasst. Erfasste Warnungen können dann weiter gefiltert werden, um anzugeben, welche Warnungen Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für Warnungen erstellen, die als hoch riskant identifiziert werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten Warnungen erstellt, werden einzelne Feldwerte in den gefilterten Warnungen den entsprechenden Feldern in einem Layout von Security Incidents für eine Vorschau zugeordnet.
Warnungsnamen für Ereignisprofile in Ihrem Now PlatformInstanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden. Dies sind die Namen der ausgelösten Warnungen, die Sie in konfiguriert haben SplunkService als Teil des Setups für die Integration. Weitere Informationen zum Konfigurieren von Warnungen in finden Sie in Splunk EnterpriseUmgebung, siehe Speichern Sie Suchen in Splunk EnterpriseKonsole für Splunk Enterprise Event IngestionIntegration.
Die Now PlatformErfasst bestimmte Warnungen mithilfe der Workflows der Integration. Alle Warnungen, die die Auswahlkriterien in erfüllen Splunkenterprise-Konsole wird anfänglich in erfasst Now PlatformInstanz.
Ein Profil in Ihrem Now PlatformIst eine Kapselung von SplunkWarnung in Ihrem Splunkenterprise-Konsole. Es besteht eine 1-zu-1-Beziehung zwischen Warnungen, die mit einem Profil erfasst werden, und Verbindungen zu Splunkenterprise-Konsole: Eine Warnung für eine Verbindung. Es gibt eine einzelne HTTP-Verbindung zu einem Suchkopf in Ihrem Splunk EnterpriseKonsole. Mehrere Warnungen können von einem einzelnen Suchkopf stammen. Wenn Sie eine Verbindung zu mehreren Suchköpfen in herstellen Splunk EnterpriseKonsole müssen Sie mehrere Profile in erstellen Now PlatformInstanz zum Erfassen dieser Warnungen.
Schritte zum Erstellen von Profilen für die geplante Warnungserfassung
Prozedur
Nächste Maßnahme
Für Profile für geplante Warnungen besteht der nächste Schritt darin, Warnungen für die automatische Erfassung auszuwählen.