Wird Konfiguriert TISC Add-on in Splunk

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Gehen Sie wie folgt vor, um die Anwendung zu konfigurieren.

    Vorbereitungen

    Erforderliche Rolle: Splunk Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Im folgenden Verfahren wird die Konfiguration des TISC-Add-ons in beschrieben Splunk.

    Prozedur

    1. Suchen Sie nach Threat Intelligence-Sicherheitszentrum für Splunk App aus der linken Navigation.
    2. Klicken Sie auf Einrichten Unter Aktionen Spalte.
      Die Konfiguration Seite wird angezeigt, und Sie können einrichten ServiceNow TISC Account.
    3. Wählen Sie Hinzufügen.
    4. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Konten hinzufügen
      Name Ein eindeutiger Name für den Account.
      Anwendername Geben Sie an ServiceNow Account-Anwendername. Sie können denselben Anwendernamen verwenden, der für die Anwender verwendet wird, der während der Rollenerstellung erstellt wird sn_sec_tisc.api_obs_read_Access Im obigen Schritt.
      Passwort Geben Sie An ServiceNow Account-Passwort.
      Instanz-URL Geben Sie an ServiceNow Instanz-URL-Adresse.
    5. Klicken Sie auf Hinzufügen.
      Die ServiceNow Instanzaccount wird zu hinzugefügt Splunk.
    6. Navigieren Sie zu Eingaben Seite zum Erstellen von Sammlungen verwalten Sie Ihre Dateneingaben für ServiceNow Account.
    7. Klicken Sie Auf Neue Eingabe Erstellen .
      Die Eingabe Hinzufügen Das Dialogfeld wird angezeigt, in dem Sie die Eingaben zu hinzufügen können ServiceNow Account.

      Sobald der Eingabesatz definiert ist, sendet die Anwendung die Informationen an den TISC Instanz zum Abrufen einer bestimmten Anzahl erkennbarer Elemente, die die Kriterien erfüllen.

    8. Geben Sie die Eingabedetails entsprechend ein.
      Feld Beschreibung
      Name Ein eindeutiger Name für Ihre Eingabe. Beispiel: Liste schädlicher IP-Adressen.
      Account Geben Sie an ServiceNow Account-Anwendername. Sie können denselben Anwendernamen verwenden, der für die Anwender verwendet wird, die mit der Rolle erstellt werden sn_sec_tisc.api_obs_read_Access Im obigen Schritt.
      Intervall Legen Sie das Zeitintervall in Sekunden fest, aus dem die Daten abgerufen werden sollen TISC.
      Ablaufzeitraum (in Tagen) Option zum Festlegen des Ablaufzeitraums in Tagen.
      Hinweis:
      Der Ablauf des Beispiels ist auf 30 Tage festgelegt. Wenn beispielsweise Daten an einem bestimmten Datum abgerufen werden, kann ein Satz von 10.000 Datensätzen abgerufen werden. Diese Datensätze werden im KV-Speicher (Key-value) in gespeichert Splunk. Ab dem Erfassungsdatum werden die Datensätze 30 Tage lang aufbewahrt. Am 31. Tag werden sie automatisch aus dem KV-Store gelöscht.
      Läuft Nie Ab Wählen Sie diese Option aus, wenn Sie die erfassten Datensätze nicht ablaufen möchten.
      Zusätzliche Attribute Ermöglicht Ihnen das Hinzufügen zusätzlicher Attribute aus der Liste der empfohlenen Optionen, die in den KV-Store aufgenommen werden sollen. Attribute müssen durch Kommas getrennt werden.

      Eine Liste der zulässigen Attribute wird in der Tabelle nach der Tabelle mit obligatorischen Attributen bereitgestellt.
      Filter Definieren Sie die Bedingungen, anhand derer Daten importiert werden sollen, gefiltert werden.

      Um die Filterbedingungen festzulegen, können Sie die Kriterien basierend auf den Feldern wie Bedrohungspunktzahl, Konfidenzniveau und Typ definieren.

      Für einfache Filterbedingungen können Sie diese Filteroption verwenden. Wenn die Filterbedingungen jedoch komplexer sind und Sie erweiterte Filterung durchführen, können Sie JSON-Filter hinzufügen.
      • Die zulässigen Ganzzahloperatoren sind:

        "=", "!=", ">", "<", ">=", "<="

      • Die zulässigen Zeichenfolgenoperatoren sind:

        „=“, „!=“, „IN“

      Unten finden Sie ein Beispiel für einen einfachen Filter :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Mit JSON-basierten Filtern können Sie kompliziertere Bedingungen definieren. Der Status des JSON-Objekts muss „aktiv“ sein.

      Wählen Sie Aus JSON Kontrollkästchen „Filter“, um zu erweiterten Filtern zu wechseln, bei denen eine JSON zum Anwenden der Filterbedingung verwendet werden kann.

      Beispiel für erweiterten Filter :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Hinweis:
      Accounts sind standardmäßig aktiv, Eingaben sind jedoch standardmäßig inaktiv. Sie müssen sie aktivieren, um mit dem Importieren der Daten zu beginnen. Mögliche Filter finden Sie im Abschnitt „Observable_Filters“ in Fügt dem Threat Intelligence Security Center (TISC) Quelldatensätze erkennbarer Elemente hinzu Anwendung.
    9. Klicken Sie Auf Hinzufügen Zum Hinzufügen der Eingaben.
    10. Klicken Sie Auf Klon Oder kopieren, um einen neuen Account basierend auf dem vorhandenen Account zu kopieren und zu erstellen.
      Stellen Sie sicher, dass die Eingabe vor dem Klonen deaktiviert ist, um zu vermeiden, dass beim Importieren von Daten mit denselben Kriterien doppelte Einträge erstellt werden.
    11. Sobald die Daten abgerufen wurden, werden die folgenden Informationen abgerufen und im KV-Speicher in gespeichert Splunk Zusammen mit den aus TISC abgerufenen Datensätzen:
      Feld Beschreibung
      confidence Gibt das Konfidenzniveau an, das der Genauigkeit der Bedrohungspunktzahl zugeordnet ist.
      Kvlookup_created_time Gibt die Datensatzerstellungszeit im Schlüssel-Wert-Speicher an.
      Kvlookup_days_to_expiry Gibt die Anzahl der Tage an, nach denen der Datensatz aus dem KV-Store gelöscht wird.
      instance_url Gibt an ServiceNow Instanz-URL-Adresse.
      Reputation Gibt die Reputation der beteiligten Entität an.
      Source_reports_score Die gemeldete Quellpunktzahl von TISC.
      sys_id SYS-ID des Datensatzes, der durchgeht TISC.
      Threat_level Gibt den Schweregrad der Bedrohung an.
      Threat_Score Die Punktzahl, die das Ausmaß der Bedrohung angibt, die einem Datensatz zugeordnet ist.
      Threat_severity Gibt den Bedrohungsschweregrad des erkennbaren Elements an.
      type Gibt den Typ der erkennbaren Elemente an.
      Aktualisiert_von Stellt Informationen dazu bereit, wer den Datensatz zuletzt aktualisiert hat.
      Kvlookup_updated_time Gibt den Zeitstempel an, zu dem der Datensatz zuletzt im Schlüsselwertspeicher aktualisiert wurde.
      Wert Wert des Datensatzes. Beispiel: IP, Hash usw.
      Tabelle : 1. Zusätzliche Attribute
      Feld Beschreibung
      additional_context Geben Sie bei Bedarf zusätzlichen Kontext an.
      Attack_Phases Gibt Angriffsphasen in einer Kill Chain an, z. B. LM, MITRE ATT&CK.
      Autor Geben Sie den Autorennamen an.
      Kommentare Fügen Sie nach Bedarf zusätzliche Kommentare hinzu.
      erstellt Gibt an, wann das erkennbare Element erstellt wurde.
      Beschreibung Geben Sie die Beschreibung an.
      Ablaufzeit Gibt die Ablaufzeit des Datensatzes des erkennbaren Elements an.
      Erweiterungen Gibt die Erweiterungen eines erkennbaren Elements an.
      First_Observed Das erste Mal, dass die Daten beobachtet wurden.
      first_seen Das erste Mal, dass dieser Datensatz schädliche Aktivitäten ausgeführt hat.
      Historisch_signifikant Gibt an, ob das erkennbare Element als historisch signifikant betrachtet wird. Diese TISC-Systemkennzeichnung wird verwendet, um das erkennbare Element von der Archivierung auszuschließen.
      id Eindeutiger Bezeichner, der dem erkennbaren Element vom TISC-System zugewiesen ist.
      Is_defanged Kennzeichnung, die angibt, ob der Wert des erkennbaren Elements geändert wurde.
      Ist_falsch_positiv Eine boolesche Kennzeichnung, die angibt, ob das erkennbare Element als falsch positiv identifiziert wird.
      language Gibt die Sprache des Textinhalts in diesem Objekt an.
      Last_Observed Der Zeitpunkt, zu dem die Daten zuletzt beobachtet wurden.
      last_seen Die Zeit, zu der dieses Objekt zuletzt schädliche Aktivitäten ausgeführt hat.
      Notizen Fügen Sie zusätzliche Notizen für einen Datensatz erkennbarer Elemente hinzu.
      Nummer Vom System generierte Nummer, die dem erkennbaren Element von TISC zugewiesen wurde.
      Security_type Gibt an, ob das erkennbare Element zur Allowlist oder Denylist gehört.
      No_of_sources Stellt die Anzahl der eindeutigen Quellen dar, die zum erkennbaren Element beigetragen haben.
      Quellen Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      status Geben Sie den Status des erkennbaren Elements ein, ob aktiv oder inaktiv.
      tisc_Tags Wählen Sie die TISC-Tags aus, die einem erkennbaren Element zugeordnet sind.
      Taxonomien Wählen Sie die Taxonomie aus, die einem erkennbaren Element zugeordnet ist.
      tlp Eindeutiger Wert, der die Einstellung für die Datensensibilität pro TLP angibt.
      aktualisiert Gibt an, wann der Datensatz des erkennbaren Elements zuletzt aktualisiert wurde
      Usage_Categories Kategorien, unter die das erkennbare Element fällt, z. B. Botnet oder Phishing.
      Watch_list Kennzeichnung, die angibt, ob das erkennbare Element in der Beobachtungsliste enthalten ist.

      Diese Felder sowie alle anderen, die durch Ihre Kriterien definiert sind, sind in verfügbar Splunk Und können über die Registerkarte „Suche“ angezeigt, durchsucht und analysiert werden.