Ordnen Sie Warnungen für zu Splunk Enterprise Event IngestionIntegration

Yokohama-Sicherheitsmanagement

Release

yokohama

ft:locale

de-DE

ft:publication_title

Yokohama-Sicherheitsmanagement

ft:clusterId

security

bundleId

security

workflow

Technology

Ordnen Sie Warnungen für zu Splunk Enterprise Event IngestionIntegration

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

10 Minuten Lesedauer

Während des Schritts „Ereignisfeldzuordnung“ ordnen Sie einzelne Ereignisfelder aus ausgelösten Warnungen oder importierten Ereignisdaten Feldern auf zu Now Platform Security Incident Response( SIR) Security Incident.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Das vorkonfigurierte Zuordnungsraster der standardmäßigen Security Incident-Felder kann bearbeitet werden. Die Farbcodierung der Ereignisfelder hilft Ihnen, die Feldwerte zu überwachen, die Sie bereits zugeordnet haben. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Bearbeitungen auf die Felder für den Security Incident auswirken.

Ordnen Sie bis zu fünf Warnungen aus der Spalte „Warnungsbeispielerfassung“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen SplunkFelder, die nicht im Standardzuordnungsraster auf angezeigt werden SIRSecurity Incident.

Prozedur

Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.
Wählen Sie für ein Profil mit einer geplanten Warnung unter „Alarmbeispielerfassung“ die Warnung in aus Warnungsname Und klicken Sie auf Rufen Sie Beispieldaten Ab Dient zum Abrufen der neuesten Instanz einer ausgelösten Warnung aus Splunk EnterpriseKonsole.

Die Warnungen werden als Registerkarten angezeigt. Sie können bis zu fünf der neuesten Warnungen erfassen.

Der Abruf für Beispielereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

Hinweis:
Ein zusätzliches Zuordnungsfeld, Splunk-Warnungsname , Wird von der Integration hinzugefügt, um ein Ereignis bis zur Quellwarnungsregel in nachzuverfolgen Splunk. Dies kann in Szenarien hilfreich sein, in denen mehrere auftreten SplunkWarnungen werden in einem einzelnen Profil zusammengefasst.

Wenn ein einzelnes Feld mehrere Werte enthält, werden diese Werte analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet. Beispielsweise können die Quell-IP-Adressen, Asset-Namen oder URLs mehrere erkennbare Feldeinträge oder mehrere CIs aufweisen. Diese werden analysiert und einzelnen Feldeinträgen im Abschnitt „SIR-Incident-Feldzuordnung“ zugeordnet.

In der folgenden Abbildung werden die Feld-Name-Wert-Paare für die erfasste Warnung oder das importierte Beispielereignis auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
Fahren Sie für geplante Warnungsprofile mit Schritt fünf fort, um die Werte zuzuordnen.
Alternativ für ein Profil für einen Ereignistyp, den Sie aus exportieren möchten Splunk EnterpriseFühren Sie die folgenden Schritte aus, um Anhangsdaten in hochzuladen Now Platform®Instanz.
1. Wenn Sie sich noch nicht angemeldet haben, melden Sie sich bei an Splunk EnterpriseKonsole.
2. Navigieren Sie zur Registerkarte „Suchen“, und geben Sie einen Namen für eine Suche ein, die die Ereignisdaten enthält, die Sie exportieren möchten.
  
  Malware ist beispielsweise ein Suchbegriff, der für alle Malware-Ereignisse verwendet wird, die Sie mit dem Workflow dieser Integration weiterleiten können.
3. Erweitern Sie das Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.
  
  Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Zuordnungsseite in angezeigt werden Now Platform®Instanz.
4. In Ihrem Splunk EnterpriseKonsole klicken Sie oben rechts auf der Suchseite auf Exportieren Symbol.
5. Klicken Sie in der Liste für das Feld Format im angezeigten Dialogfeld auf XML-Format .
6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
7. Klicken Sie Auf Exportieren .
  Die Datei wird auf heruntergeladen Now Platform®Instanz.
8. Wenn die Zuordnungsseite nicht bereits in angezeigt wird Now Platform®Instanz, klicken Sie auf Zuordnung Im Fortschrittsbalken.
9. Klicken Sie in der Spalte Warnungsbeispielerfassung auf Laden Sie Anhangsdaten .
10. Klicken Sie im angezeigten Dialogfeld auf Wählen Sie Dateien aus Und navigieren Sie zu .Xml Datei, die Sie exportiert haben, und klicken Sie auf Offen .
  Die Wertpaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.
  In der folgenden Abbildung werden die Datenpaare für eine erfasste geplante Warnung auf der linken Seite dieses Formulars angezeigt. Wertepaare für importierte Ereignisse werden auch auf dieser Seite des Formulars angezeigt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „Sir Incident-Feldzuordnung“ des Formulars zuordnen.
Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
Ziehen Sie den Feldnamen, z. B. Kategorie , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.

Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. Im folgenden Bild Kategorie Ist zugeordnet zu Kategorie Feld im Security Incident. Sie können jedoch einen beliebigen Wert von der linken Seite mit einem Feld auf der rechten Seite abgleichen. Stellen Sie sicher, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet ist.

Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisse übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite geben an, dass noch kein Feld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Warnungsfeld mehreren Feldern in einem Security Incident zuordnen.

Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da Warnungsereignisfelder in bestimmten Fällen nur einmal zugewiesen werden können. Beispielsweise können Sie Feldern wie Kurzbeschreibung nur einmal Werte zuweisen. Sie können jedoch Listenfelder wie Arbeitsnotiz mehrmals zuweisen, indem Sie dem Zuordnungsraster zusätzliche Zeilen hinzufügen.
Führen Sie die folgenden Schritte aus, um der Standardzuordnung des Security Incidents auf der rechten Seite des Formulars Felder hinzuzufügen.
1. Klicken Sie rechts neben dem Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plussymbol.
  
  Ein neues Feld wird angezeigt.
2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.
  
  In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung Kategorie Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für Warnungsfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die Zuordnung nachzuverfolgen.
  
  Hinweis:
  Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incidents eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
3. Geben Sie alternativ einen Wert in das Suchfeld für die neue Zeile ein.
4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Warnungs-ID Die Sie im Feld „Eingabeausdruck“ wünschen.
  Ordnen Sie es mit der Ziehfunktion Ihrem neuen Feld zu.
Fahren Sie mit der Zuordnung fort, indem Sie Felder hinzufügen oder entfernen und der Zuordnung Werte hinzufügen.
Die folgende Abbildung ist ein Beispiel für ein bearbeitetes Zuordnungsraster. Im unteren Feld auf der rechten Seite wird das Feld „Arbeitsnotizen“ hinzugefügt und hat mehr als einen Wert. Die Werte sind durch Leerzeichen und Interpunktionszeichen ( Kategorie:${category} | Ziel-IP:78.146.73.180 ).

In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Raster hinzugefügt haben, und dem Feld „Arbeitsnotizen“ mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Interpunktionszeichen, die Sie in das Feld eingegeben haben, im Abschnitt „zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incidents angezeigt.

Das folgende Bild ist ein Beispiel dafür, wie die Werte im vorherigen Bild für den Security Incident angezeigt werden.

Filterbedingungen für die Incident-Generierung
Wahlweise: Nachdem Sie die vorherigen Zuordnungsschritte auf Feldebene abgeschlossen haben, können Sie dieselben Feldwerte im Filter Bedingungsgenerator verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen zu erstellen SIRSecurity Incident.
Führen Sie diese Schritte aus, um Filterbedingungen festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.
  
  Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.
  
  Die Optionen in den Listen für das erste Feld im Filter Bedingungsgenerator entsprechen den Feldern, die im Abschnitt „Warnungsbeispielerfassung“ für die von Ihnen erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach SplunkWarnung, die Sie erfassen, oder das Ereignis, das Sie manuell weiterleiten. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen Splunk EnterpriseWarnung oder Ereignis. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, können Sie zu zurückkehren Splunk EnterpriseKonsole und überprüfen Sie Ihre Warnungen und Ereignisse auf die Stichwörter.
2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
  Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen. Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.
  
  Das folgende Bild ist ein Beispiel mit zwei Bedingungen, die abgeglichen werden müssen, bevor Security Incidents erstellt werden.
  
  Sie haben die auslösenden Bedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen übereinstimmen.
  
  Diese Art der Filterung hilft Ihnen, Sicherheitsereignisse zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur erforderliche Warnungen erfasst, ohne dass geändert werden muss SplunkAbfrage oder Konfiguration der ausgelösten Warnung.
  
  Zusammenfassungswarnungen, um doppelte Incidents zu verhindern
Wahlweise: Um zu vermeiden, dass doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Incident-Feldkriterien, damit eingehende Warnungen zu einem offenen Security Incident zusammengefasst werden.
Führen Sie diese Schritte aus, um diese Kriterien festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Warnungszusammenfassungskriterien“, und aktivieren Sie das Kontrollkästchen „Aggregatbedingungen“, um diese Option zu aktivieren.
  
  Die Spalten mit übereinstimmenden Werten des Incident-Felds werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die auf konfiguriert sind SIRSecurity Incident.
2. Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten Now PlatformUnd verschieben Sie sie in die Liste „ausgewählt“.
  
  Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Wenn Sie Feldwerte für Security Incidents zur Verwendung für diese Kriterien überprüfen möchten, navigieren Sie zu Incidents > Alle Incidents anzeigenan.
  
  Wenn eine neue Warnung allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle aggregierten Warnungen zu einem Security Incident werden auf angezeigt SplunkZugehörige Liste „Ereignis zu Aufgaben“. Diese Liste enthält Details zu zugeordneten Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.
3. Wahlweise: Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
  In der Arbeitsnotiz wird protokolliert, dass eine neue Warnung zusammen mit einem Link zu den Warnungsdetails hinzugefügt wurde.
Sie haben erfolgreich Werte aus zugeordnet SplunkWarnung oder Ereignis an Felder auf einem SIRSecurity Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien einzuschränken. Sie haben auch Warnungen oder Ereignisse an vorhandene angehängt SIRSecurity Incidents.
Wahlweise: Öffnen Sie den Skripteditor, und fahren Sie mit der Bearbeitung fort.

Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skripteditor, um Warnungswerte für zu formatieren Splunk Enterprise Event IngestionIntegration.

Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung

Fortsetzen	Das Zuordnungsformular wird angezeigt. Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIRSecurity Incident.
Aktualisieren	Ihre Daten und werden gespeichert SplunkDie Liste „Ereignisprofile“ wird angezeigt.
Zurück	Das Formular „Warnungsauswahl“ wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil und das SplunkDie Liste „Ereignisprofile“ wird angezeigt.

Nächste Maßnahme

Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.