Speichern Sie Suchen in Splunk EnterpriseKonsole für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die folgenden Schritte zum Speichern von Suchen in Ihrem Splunk EnterpriseKonsole wird für einen Anwender mit bereitgestellt Splunk EnterpriseAdministratorrolle.

    Vorbereitungen

    Wenn Sie bereits gespeicherte Suchen und ausgelöste Warnungen in Ihrem haben Splunk EnterpriseKonsole, Sie müssen diese Suchen für diese Integration nicht ändern.

    Die Integration von Now Platform® Security OperationsProdukt mit SplunkDer Ereignisbenachrichtigungsservice ruft Ereignis- und Warnungsinformationen ab Splunk.

    Bevor Warnungen in erfasst werden Security OperationsUmgebung, konfigurieren Sie Suchen in Ihrer Splunk EnterpriseKonsole, damit Sie die relevanten Sicherheitsereignisse automatisch abrufen Splunk EnterpriseDie Sie als Warnungen speichern möchten.

    Wenn Sie keine gespeicherten Suchen und ausgelösten Warnungen für die Benachrichtigung eingerichtet haben, wenn wichtige Sicherheitsereignisse in auftreten Splunk EnterpriseKonsole: Führen Sie diese Schritte aus, um Suchvorgänge zu speichern.

    Erforderliche Rolle: Splunk EnterpriseAdministrator

    Prozedur

    1. Melden Sie sich bei an Splunk EnterpriseAccount.
    2. Klicken Sie auf Suchen Registerkarte.
    3. Geben Sie im angezeigten Feld neue Suche einen Wert für die Warnung ein, z. B. Malware.
    4. Um die Ereignisse im Zusammenhang mit Ihrer Suche anzuzeigen, klicken Sie rechts neben dem Feld „neue Suche“ auf das Suchsymbol, oder drücken Sie die Eingabetaste.
      Die Suchergebnisse mit Ereignissen werden angezeigt.
    5. Um die Suche als Warnung zu speichern, erweitern Sie oben rechts auf der Seite die Auswahlliste „Speichern als“, und wählen Sie aus Warnung .
    6. Füllen Sie im angezeigten Formular die Felder aus.
      FeldBeschreibung
      Titel Beschreibender Name für die Warnung, z. B. Malware-Ereignisse. Nachdem Sie diese Suche als Warnung gespeichert haben, Ereignisse aus einer ausgelösten Warnung in SplunkService werden mithilfe dieser Suchdaten automatisch in ausgelöste Warnungen verarbeitet. Dieser Titel der ausgelösten Warnung wird im Ereignisprofil verwendet, das Sie in erstellen Now PlatformInstanz, um zu identifizieren, für welche Ereignisse in Ihrer Instanz erfasst werden Now Platform® Security Incident Response SIRSecurity Incident-Erstellung.
      (Optional) Beschreibung Text, der Ihnen hilft, diese Warnung von anderen Warnungen zu unterscheiden.
      Warntyp Wählen Sie in den angezeigten Feldern aus Geplant Um nach dieser Warnung in einem Zeitplan zu suchen, oder Echtzeit Um kontinuierlich nach dieser Warnung zu suchen.
      Auslöserergebnisse Möglicherweise möchten Sie eine der folgenden Filterbedingungen festlegen:
      • Anzahl der Ergebnisse ist größer oder kleiner als
      • Einmalig (einmal) für jedes Ergebnis
      Auslöseraktionen Fügen Sie Aktionen hinzu, um diese Warnung auszulösen. Erweitern Sie die Liste „Auswahl hinzufügen“, und klicken Sie auf Zu ausgelösten Warnungen hinzufügen Damit sie im Formular angezeigt wird. Sie können diese Einstellung für die Warnungen bevorzugen, die Sie in erfassen Now PlatformInstanz.
    7. Klicken Sie auf Speichern.
      Ihre Warnung wird gespeichert und auf der Registerkarte „Warnungen“ auf der Suchseite angezeigt.
      Die SplunkDer Service ruft die Ereignisse ab, indem er den Kriterien entspricht, die Sie in der Warnung konfiguriert haben. Die Ereignisse werden zwischengespeichert, und Sie fordern diese Ereignisse dann aus Ihren Profilen an, die Sie in eingerichtet haben Now PlatformInstanz. Da der Abruf von Ereignissen aus einem Cache in erfolgt SplunkService, diese Erfassung von Ihrem Now PlatformWirkt sich nicht auf die Leistung von aus SplunkPlattform.

    Nächste Maßnahme

    Sie haben das erforderliche Setup für die Integration in erfolgreich abgeschlossen Splunk EnterpriseKonsole. Wenn Sie die Anwendung für die Integration noch nicht über installiert haben ServiceNow Store, Der nächste Schritt besteht darin, die Anwendung für die Integration zu installieren und zu konfigurieren.