Splunk-Warnungsbeispiele mit mehreren Datensätzen und anwenderdefinierten Feldern

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

1 Minute Lesedauer

Wenn Sie Splunk-Warnungen für mehrere Datensätze mit anwenderdefinierten Feldern erstellen, müssen Sie Suchkriterien für die Generierung von Warnungsdaten definieren. Beispiele für Suchkriterien für Security Incidents und Security Events werden angezeigt.

Security Incident-Suche

Für einen Security Incident erstellt dieses Kriterium eine Suche, um Spalten in der Security Incident-Tabelle auszufüllen.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

Sicherheitsereignissuche

Für ein Sicherheitsereignis ist dies dieselbe Suche, aber stattdessen werden Ereignisfelder ausgefüllt. Wenn dieses Ereignis in einen Security Incident umgewandelt wird und alle Felder ausgefüllt werden, die im Ereignis nicht vorhanden sind, werden sie an den Security Incident übertragen. Andernfalls verbleiben sie im Feld „zusätzliche Informationen“ des Ereignisses und der Warnung.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip

Hinweis:

Die von Ihnen verwendeten Suchkriterien fügen so viele Datensätze hinzu, wie in der Suche gefunden werden. Es können 5 oder 10.000.000.000 Datensätze hinzugefügt werden. Daher ist dies keine empfohlene Methode für die Massenübertragung von Daten. Die Absicht dieser Methode besteht darin, der ServiceNow-Instanz pro REST-Aufruf einen Datensatz hinzuzufügen.