Konfigurieren des TISC-Add-ons in Splunk

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Führen Sie das folgende Verfahren aus, um die Anwendung zu konfigurieren.

    Vorbereitungen

    Erforderliche Rolle: Splunk-Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Das folgende Verfahren beschreibt die Konfiguration des TISC-Add-ons in Splunk.

    Prozedur

    1. Suchen Sie nach Threat Intelligence-Sicherheitszentrum für Splunk App aus der linken Navigation.
    2. Klicken Sie auf Einrichten Unter Aktionen Spalte.
      Die Konfiguration Seite wird angezeigt, und Sie können einrichten ServiceNowTISC-Account.
    3. Wählen Sie Hinzufügen.
    4. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Konten hinzufügen
      Name Ein eindeutiger Name für den Account.
      Anwendername Geben Sie an ServiceNowAccount-Anwendername. Sie können denselben Anwendernamen verwenden, der für die Anwender verwendet wird, der während der Rollenerstellung erstellt wird sn_sec_tisc.api_obs_read_access Im obigen Schritt.
      Passwort Geben Sie An ServiceNowAccount-Passwort.
      Instanz-URL Geben Sie an ServiceNowInstanz-URL-Adresse.
    5. Klicken Sie auf Hinzufügen.
      Die ServiceNowInstanzaccount wird zu hinzugefügt Splunk.
    6. Navigieren Sie zu Eingaben Seite zum Erstellen von Sammlungen verwalten Sie Ihre Dateneingaben für ServiceNowAccount.
    7. Klicken Sie Auf Erstellen Sie Eine Neue Eingabe .
      Die Eingabe Hinzufügen Das Dialogfeld wird angezeigt, in dem Sie die Eingaben zu hinzufügen können ServiceNowAccount.

      Sobald der Eingabesatz definiert ist, sendet die Anwendung die Informationen an die TISC-Instanz, um eine bestimmte Anzahl erkennbarer Elemente abzurufen, die die Kriterien erfüllen.

    8. Geben Sie die Eingabedetails nach Bedarf ein.
      Feld Beschreibung
      Name Ein eindeutiger Name für Ihre Eingabe. Beispiel: Liste schädlicher IP-Adressen.
      Account Geben Sie an ServiceNowAccount-Anwendername. Sie können denselben Anwendernamen verwenden, der für die Anwender verwendet wird, die mit der Rolle erstellt werden sn_sec_tisc.api_obs_read_access Im obigen Schritt.
      Intervall Legen Sie das Zeitintervall in Sekunden fest, um die Daten von TISC abzurufen.
      Ablaufzeitraum (in Tagen) Option zum Festlegen des Ablaufzeitraums in Tagen.
      Hinweis:
      Der Ablauf des Beispiels ist auf 30 Tage festgelegt. Wenn beispielsweise Daten an einem bestimmten Datum abgerufen werden, kann ein Satz von 10.000 Datensätzen abgerufen werden. Diese Datensätze werden im KV-Speicher (Key-value) in gespeichert Splunk. Ab dem Erfassungsdatum werden die Datensätze 30 Tage lang aufbewahrt. Am 31. Tag werden sie automatisch aus dem KV-Store gelöscht.
      Läuft Nie Ab Wählen Sie diese Option aus, wenn Sie die erfassten Datensätze nicht ablaufen möchten.
      Filter Definieren Sie die Bedingungen, basierend auf denen Daten, die importiert werden sollen, gefiltert werden.

      Um die Filterbedingungen festzulegen, können Sie die Kriterien basierend auf den Feldern wie Bedrohungsbewertung, Konfidenzniveau und Typ definieren.

      Für einfache Filterbedingungen können Sie diese Filteroption verwenden. Wenn die Filterbedingungen jedoch komplexer sind und Sie erweiterte Filterung durchführen, können Sie JSON-Filter hinzufügen.
      • Die zulässigen Ganzzahloperatoren sind:

        "=", "!=", ">", "<", ">=", "<="

      • Die zulässigen Zeichenfolgenoperatoren sind:

        „=“, „!=“, „IN“

      Nachfolgend finden Sie ein Beispiel für einen einfachen Filter :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Mit JSON-basierten Filtern können Sie kompliziertere Bedingungen definieren. Der Status des JSON-Objekts muss „aktiv“ sein.

      Wählen Sie Aus JSON Kontrollkästchen „Filter“ zum Wechseln zu erweiterten Filtern, bei denen eine JSON zum Anwenden der Filterbedingung verwendet werden kann.

      Beispiel für erweiterten Filter :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Hinweis:
      Accounts sind standardmäßig aktiv, Eingaben sind jedoch standardmäßig inaktiv. Sie müssen sie aktivieren, um mit dem Importieren der Daten zu beginnen. Mögliche Filter finden Sie im Abschnitt „observable_Filters“ in Fügt dem Threat Intelligence-Sicherheitszentrum (TISC) Quelldatensätze erkennbarer Elemente hinzu Anwendung.
    9. Klicken Sie Auf Hinzufügen Zum Hinzufügen der Eingaben.
    10. Klicken Sie Auf Klon Oder kopieren, um einen neuen Account basierend auf dem vorhandenen Account zu kopieren und zu erstellen.
      Stellen Sie sicher, dass die Eingabe vor dem Klonen deaktiviert ist, um zu vermeiden, dass beim Importieren von Daten mit denselben Kriterien doppelte Einträge erstellt werden.
    11. Sobald die Daten abgerufen wurden, werden die folgenden Informationen abgerufen und im KV-Speicher in gespeichert SplunkZusammen mit den aus TISC abgerufenen Datensätzen:
      Feld Beschreibung
      Bedrohungsbewertung Die Punktzahl, die den Grad der Bedrohung angibt, die einem Datensatz zugeordnet ist.
      Vertrauen Gibt das Konfidenzniveau an, das der Genauigkeit der Bedrohungsbewertung zugeordnet ist.
      Ablaufzeitraum Die Dauer, für die der Datensatz in der Anwendung gültig ist, bevor er abläuft.
      Bedrohungsstufe Gibt den Schweregrad der Bedrohung an.
      Reputation Gibt die Reputation der beteiligten Entität an.
      Aktualisiert von Stellt die Informationen dazu bereit, wer den Datensatz zuletzt aktualisiert hat.
      Updatezeit Gibt den Zeitstempel an, zu dem der Datensatz zuletzt aktualisiert wurde.
      Erstellt um Gibt die Erstellungszeit des Datensatzes an.
      Days_to_expiry Gibt die Anzahl der Tage an, nach denen der Datensatz aus dem KV-Store gelöscht wird.
      Source_reports_Score Die gemeldete Quellpunktzahl aus TISC.
      SYS_ID SYS-ID des Datensatzes, der über TISC gesendet wird.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad des erkennbaren Elements an.
      Wert Wert des Datensatzes. Beispiel: IP, Hash usw.

      Diese Felder sowie alle anderen, die durch Ihre Kriterien definiert sind, sind in verfügbar SplunkUnd können über die Registerkarte „Suchen“ angezeigt, durchsucht und analysiert werden.