Champs personnalisés à plusieurs enregistrements Exemples d’alertes Splunk

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Lorsque vous créez plusieurs alertes Splunk d’enregistrement avec des champs personnalisés, vous devez définir des critères de recherche pour générer des données d’alerte. Des exemples de critères de recherche pour les incidents de sécurité et les événements de sécurité sont présentés.

    Recherche d’incident de sécurité

    Pour un incident de sécurité, ce critère génère une recherche pour remplir les colonnes de la table Incident de sécurité.

    host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

    Recherche d’événement de sécurité

    Pour un événement de sécurité, il s’agit de la même recherche, mais elle remplit les champs d’événement à la place. Si cet événement est transformé en incident de sécurité et que tous les champs qui n’existent pas dans l’événement sont renseignés, ils sont transférés vers l’incident de sécurité. Dans le cas contraire, ils restent dans le champ d’informations supplémentaires de l’événement et de l’alerte.

    host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip
    Remarque :
    Les critères de recherche que vous utilisez ajouteront autant d’enregistrements que la recherche en trouvera. Il peut ajouter 5 ou 10 000 000 000 d’enregistrements. Il ne s’agit donc PAS d’une méthode recommandée pour le transfert en masse de données. L’intention de cette méthode est d’ajouter un enregistrement par appel REST dans l’instance ServiceNow.