Erstellen Sie Konfigurationsdatensätze für die Sichtungssuche

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie mehrere Konfigurationsdatensätze für die Sichtungssuche, und verwenden Sie sie, wenn Sie mehrere Protokollspeicher abfragen oder die Suchparameter variieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    • Das CIM-Add-on muss auf der Splunk-Instanz installiert sein.
    • Gespeicherte Suchen und Inplace-Abfragen werden nur für die Splunk-Integration unterstützt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auch Konfigurationsdatensätze für Sichtungssuchen erstellen, um gespeicherte Suchen im Splunk-Enterprise-Protokollspeicher aufzurufen.
    Hinweis:
    Die Suchkonfigurationsabfragen beruhen darauf, dass Splunk-Protokolldaten konform mit dem Splunk Common Information Model (CIM) sind.
    Mit gespeicherten Suchkonfigurationen können Sie:
    • Erstellen Sie anwenderdefinierte Suchen, die mehrere Ereignisdatensätze kombinieren.
    • Designeffiziente und effektive Suche.
    • Verwenden Sie parametrisierte Eingaben in der gespeicherten Splunk-Suche.

    Das -Basissystem enthält die in der folgenden Abbildung gezeigten Beispielkonfigurationen:

    Abbildung : 1. Gespeicherte Suchkonfigurationen
    Suchkonfiguration
    Die gespeicherte Suche und die Inplace-Konfigurationsabfragen sind Beispielabfragen und können durch entsprechende Parameter für Ihre Umgebung ersetzt werden. Erstellen Sie nach Bedarf zusätzliche gespeicherte Suchkonfigurationen. Wenn Sie eine gespeicherte Suchkonfiguration definieren, müssen der Name und die Parameter in der Suchabfrage mit der in Ihrer Splunk-Instanz definierten gespeicherten Konfiguration übereinstimmen. Wenn der Name und die Parameter nicht identisch sind, werden bei einer Sichtungssuche möglicherweise keine genauen Ergebnisse angezeigt.
    Hinweis:
    Navigieren Sie in Ihrer Splunk-Instanz zur Seite Suchen, Berichte und Warnungen, und suchen Sie nach Ihrer gespeicherten Suchabfrage. Klicken Sie auf den Link Berechtigungen, um zur Seite „Berechtigungen“ zu navigieren. Wählen Sie das Optionsfeld Alle Apps aus, und aktivieren Sie die Option Leseberechtigung für Jeder. Dadurch wird der Spaltenwert „Freigabe“ für Ihre gespeicherte Suchabfrage von „Privat“ in „App“ geändert. Wenn dies nicht festgelegt ist, gibt die gespeicherte Suchabfrage möglicherweise keine Ergebnisse zurück.

    So überprüfen Sie, ob die gespeicherte Suchkonfiguration mit der in Ihrer Splunk-Instanz definierten Konfiguration übereinstimmt:

    1. Navigieren zu Einstellungen > Suchen, Berichte und Warnungen.
    2. Ändern Sie den App-Kontext in Alle.

      Eine Liste der Suchberichte wird angezeigt.

    3. Bestätigen Sie, dass die gespeicherte Suchabfrage in der Liste vorhanden ist.
    Das Formular „Konfigurationen für die Sichtungssuche“ enthält beispielsweise die E-Mail-Adresse und den E-Mail-Absender als Suchparameter:
    Abbildung : 2. Formular „Konfigurationen für Sichtungssuche“.
    Gespeicherte Konfiguration

    Definieren Sie in Ihrer Splunk-Instanz die gespeicherte Suche mit demselben Namen, Standardmäßige gespeicherte Suche – E-Mails, und denselben Suchparametern für die E-Mail-Adresse und den E-Mail-Betreff. Wenn der Name und die Suchparameter nicht identisch sind, generiert die Sichtungssuche kein genaues Ergebnis.

    Prozedur

    1. Navigieren zu Security Operations > Integrationen > Sichtungssuche – Konfiguration und erstellen Sie einen neuen Datensatz (Feldbeschreibungen finden Sie in der Tabelle).
      Tabelle : 1. Formular „Konfigurationen für Sichtungssuche“.
      Feld Beschreibung
      Name Name der Konfiguration
      Ist gespeicherte Suche Wenn Sie diese Option auswählen, wird eine gespeicherte Suchkonfiguration erstellt.
      Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie den Splunk-Protokollspeicher als Quelle aus.
      Aktiv Option für den gespeicherten Suchstatus. Nur aktive Suchkonfigurationen können verwendet werden, um eine Sichtungssuche durchzuführen.
      Erkennbarer Typ Der erkennbare Elementtyp kann ein beliebiger erkennbarer Elementtyp wie IP, Hash-Wert, URL, Domänenname usw. sein.
      Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die von der Suche zurückgegeben werden sollen.
      Suchen Die Standardsuchzeichenfolge ist $(observable), Sie können jedoch Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die vom Splunk-Protokollspeicher unterstützt werden.
    2. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben einen Konfigurationsdatensatz für die Sichtungssuche erstellt.

    Nächste Maßnahme

    Nachdem Sie die Suchabfrage definiert haben, klicken Sie auf Testabfrage für Sichtungssuche generierenund geben eine Liste erkennbarer Elemente an, um eine Testabfrage basierend auf dieser gespeicherten Suchkonfiguration zu generieren.