Créer des enregistrements de configuration de recherche d’observations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Créez plusieurs enregistrements de configuration de recherche de perceptions et utilisez-les lors de l’interrogation de plusieurs magasins de journaux ou de la modification des paramètres de recherche.

    Avant de commencer

    Rôle requis : sn_si.admin

    • Le module complémentaire CIM doit être installé sur l’instance Splunk.
    • Les recherches enregistrées et les requêtes sur place sont prises en charge uniquement pour l’intégration Splunk.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez également créer des enregistrements de configuration de recherche de perceptions pour appeler des recherches enregistrées dans le magasin de journaux d’entreprise Splunk.
    Remarque :
    Les requêtes de configuration de recherche reposent sur les données de journal Splunk pour être conformes au modèle CIM (Common Information Model) Splunk.
    Avec les configurations de recherche enregistrées, vous pouvez :
    • Créez des recherches personnalisées qui combinent plusieurs enregistrements d’événements.
    • Concevez des recherches efficaces et efficientes.
    • Utilisez des entrées paramétrées dans la recherche enregistrée Splunk.

    Le système de base inclut les exemples de configurations illustrées dans l’image ci-dessous :

    Figure 1. Configurations de recherche enregistrées
    Configuration de recherche
    Les requêtes de recherche enregistrées et de configuration sur place sont des exemples de requêtes et peuvent être remplacées par des paramètres appropriés pour votre environnement. Créez des configurations de recherche enregistrées supplémentaires selon vos besoins. Lorsque vous définissez une configuration de recherche enregistrée, le nom et les paramètres de la requête de recherche doivent correspondre à la configuration enregistrée définie sur votre instance Splunk. Si le nom et les paramètres ne sont pas les mêmes, il se peut que vous ne voyiez pas de résultats précis lorsque vous effectuez une recherche d’observations.
    Remarque :
    Sur votre instance Splunk, accédez à la page Recherches, rapports et alertes et localisez votre requête de recherche enregistrée. Cliquez sur le lien Autorisations pour accéder à la page Autorisations. Sélectionnez la case d’option Toutes les applications et activez l’option Autorisation de lecture pour tout le monde. Cela changera la valeur de la colonne Partage de Privé à Application pour votre requête de recherche enregistrée. Si cette option n’est pas définie, la requête de recherche enregistrée peut ne pas renvoyer de résultats.

    Pour vérifier si la configuration de recherche enregistrée correspond à la configuration définie sur votre instance Splunk :

    1. Accédez à la Paramètres > Recherches, rapports et alertes.
    2. Remplacez le contexte de l’application par Tous.

      Une liste des rapports de recherche s’affiche.

    3. Vérifiez que la requête de recherche enregistrée figure bien dans la liste.
    Par exemple, le formulaire Configuration de la recherche de perceptions contient l’adresse e-mail et l’expéditeur d’e-mail comme paramètres de recherche :
    Figure 2. Formulaire Configuration de la recherche de perceptions
    Configuration enregistrée

    Dans votre instance Splunk, définissez la recherche enregistrée avec le même nom, Recherche enregistrée par défaut - E-mails, et les mêmes paramètres de recherche pour l’adresse e-mail et l’objet de l’e-mail. Si le nom et les paramètres de recherche ne sont pas les mêmes, la recherche de perceptions ne génère pas de résultat précis.

    Procédure

    1. Accédez à la Security Operations > Intégrations > Configuration de la recherche de perceptions et créez un nouvel enregistrement (voir la table des descriptions de champ).
      Tableau 1. Formulaire Configuration de la recherche de perceptions
      Champ Description
      Nom Nom de la configuration.
      Est une recherche enregistrée Si vous sélectionnez cette option, la configuration de recherche enregistrée est créée.
      Source de recherche de perceptions Source de la recherche d’observations. Sélectionnez le magasin de journaux Splunk comme source.
      Actif Option pour l’état de recherche enregistré. Seules les configurations de recherche actives peuvent être utilisées pour effectuer une recherche d’observations.
      Type d'observable Le type d’observable peut être n’importe quel type d’observable tel que l’adresse IP, la valeur de hachage, l’URL, le nom de domaine, etc.
      Nombre maximum d'observables par recherche Nombre maximal d’observables à renvoyer à partir de la recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par le magasin de journaux Splunk.
    2. Cliquez sur Envoyer.

    Résultats

    Vous avez créé un enregistrement de configuration de recherche de perceptions.

    Que faire ensuite

    Après avoir défini la requête de recherche, cliquez sur Générer une requête de test de recherche de détections, puis spécifiez une liste de valeurs observables pour générer une requête de test en fonction de cette configuration de recherche enregistrée.