Zuordnung von Warnungen und Ereignissen für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Nachdem Sie die Quellen für die geplante Warnungserfassung oder die manuelle Ereignisweiterleitung identifiziert haben, besteht der nächste Schritt darin, den Feldern auf einem einzelne Ereignisfelder zuzuordnen Now Platform Security Incident Response( SIR) Security Incident.

    Übersicht

    Für den Zuordnungsschritt erfassen Sie als Anwender mit der Rolle „sn_si.admin“ Beispielwarnungen von Ihrem Splunk EnterpriseKonsole, oder Sie exportieren Ereignisdaten für eine Splunk EnterpriseEreignis.

    Die folgenden Abbildungen sind Beispiele für die standardmäßigen Zuordnungsraster, die für jeden Ereignisprofiltyp bereitgestellt werden. Diese Standardzuordnung kann bearbeitet werden. Mit dieser Änderung können Sie die Felder anpassen, die den Security Incident ausfüllen. Mit dem Zuordnungsschritt können Sie visualisieren, wie sich das Hinzufügen oder Entfernen von Ereignisfeldern auf auswirkt SIRSecurity Incident-Feldwerte.

    Wählen Sie aus Warnungsname , Und nachdem Sie auf geklickt haben Rufen Sie Beispieldaten Ab , SplunkWarnungsfeldwerte werden auf der linken Seite des Formulars ausgefüllt, wenn Beispielwarnungen vom Profil erfasst werden. Dies sind die SplunkWarnungsfelder, die Sie zuordnen SIRSecurity Incident-Felder.

    Abbildung : 1. Standardzuordnungsformular für Warnungen
    Standardzuordnungsformular für Warnungen.

    Nachdem Sie auf geklickt haben, um Anhangsdaten für weitergeleitete Ereignisse zu laden SplunkEreignisfelder werden auf der linken Seite des Formulars ausgefüllt. Dies sind die SplunkDatenfelder, die dem zugeordnet sind SIRSecurity Incident-Felder.

    Abbildung : 2. Standardzuordnungsformular für weitergeleitete Ereignisse
    Standardzuordnungsformular für Ereignisse.

    Möglicherweise möchten Sie einige Beispielwarnungen für überprüfen SplunkKonsole, die für den Konfigurationsschritt der Feldzuordnung erfasst werden soll. Dieser Schritt ist gekennzeichnet mit Zuordnung Auf dem Fortschrittsbalken. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.

    Ordnen Sie Warnungen zu und exportieren Sie Ereignisse bei Bedarf von Ihrem SplunkDie enterprise-Konsole enthält die folgenden Konzepte und Aufgaben:
    • Rufen Sie Beispieldaten für automatisch erfasste Warnungsprofile ab. Nachdem Daten aus einer ausgelösten Warnung auf abgerufen (abgerufen) wurden Splunk EnterpriseKonsole, verfügbare Warnungsfelder und die entsprechenden Werte werden in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt. Registerkarten werden angezeigt, auf denen Sie die Werte für eine von Ihnen abgerufene Warnungs-ID anzeigen können. Stellen Sie sicher, dass alle kritischen Felder aus dem Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars dem Raster auf der rechten Seite des Formulars zugeordnet sind.
    • Laden Sie bei Bedarf Ereignisbeispieldaten für alle manuell weitergeleiteten Ereignisprofile. Beispieldaten für diese Ereignisse werden in exportiert .Xml Datei aus Splunk EnterpriseKonsole und in geladen Now Platform®Instanz. Die importierten Daten werden im Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars angezeigt.
    • Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungen von der linken Seite ziehen und im Zuordnungsraster auf der rechten Seite ablegen. Das Zuordnungsraster auf der rechten Seite ordnet das Feld für eingehende Warnungen einem Feld für ausgehende Security Incidents zu.
    • Passen Sie das Zuordnungsraster an, indem Sie Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach.
    • Legen Sie Filterbedingungen fest, damit Sie angeben können, welche Warnungen in erfasst werden SIRAnwendung und welche Warnungen herausgefiltert werden.
    • Definieren Sie zusätzliche Incident-Feldkriterien, die eine eingehende Warnung zu einer vorhandenen aggregieren SIRSecurity Incident, um doppelte Incidents zu verhindern. Diese zusätzliche Filterung kann die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Security Event-Daten in einem einzelnen Security Incident platziert werden.
    • In bestimmten Fällen Ereignisfeldwerte in SplunkEnterprise-Konsole wird möglicherweise nicht direkt in die Felder auf übersetzt SIRSecurity Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skripteditor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Beispiel: Mit dem Skripteditor werden die Feldwerte „Malware-Warnung“ und „Virusinfektion“ in angezeigt SplunkKonsole, die beide in schädliche Codeaktivität übersetzen, im Feld „Kategorie“ auf der SIRSecurity Incident.

    Geplante Warnungsprofile

    Nach dem Erstellen eines geplanten Warnungsprofils wird der Prozess-Flow für die Konfiguration in der folgenden Abbildung angezeigt.

    Abbildung : 3. Prozess-Flow für geplante Warnungsprofile
    Prozess-Flow für geplante Warnung.

    Profile für manuelle Ereignisweiterleitung

    Nach dem Erstellen eines Profils für ein Ereignis wird der Prozess-Flow für die Konfiguration in der folgenden Abbildung angezeigt.

    Abbildung : 4. Prozess-Flow für Ereignisprofile
    Prozess-Flow für Ereignisexport.

    Der nächste Schritt besteht darin, ausgelöste Warnungen zu erfassen oder Daten zu exportieren und Werte zu zuzuordnen SIRSecurity Incident-Felder.