Planen Sie Warnungen für die Integration Splunk Enterprise Event Ingestion, und rufen Sie sie ab

Yokohama Sicherheitsmanagement

Release

yokohama

ft:locale

de-DE

ft:publication_title

Yokohama Sicherheitsmanagement

ft:clusterId

security

bundleId

security

workflow

Technology

Planen Sie Warnungen für die Integration Splunk Enterprise Event Ingestion, und rufen Sie sie ab

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

3 Minuten Lesedauer

Für Profile zur automatisierten Warnungserfassung ist dieser Schritt der letzte Schritt der Ereignisprofilkonfiguration. Während dieses Schritts können Sie die Standardeinstellungen für den Warnungsabruf überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie den Abruf Ihrer Warnung basierend auf einem Datumsbereich filtern.

Vorbereitungen

Erforderliche Rolle: Rolle sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Nachdem Sie alle Schritte im Fortschrittsbalken für die Profilkonfiguration abgeschlossen haben (siehe folgende Abbildung), haben Sie die Konfiguration für Profile für die manuelle Ereignisweiterleitung abgeschlossen. Für Ereignisse, die manuell von Ihrer Splunk Enterprise -Konsole weitergeleitet werden, ist keine Planung verfügbar. Bei Profilen für die automatisierte Warnungserfassung wählen Sie aus, ob Sie während des Schritts „Zeitplanung“ historische Warnungen erfassen möchten. Sie können auch auswählen, wie häufig zukünftige Warnungen abgefragt werden, die der Konfiguration des Warnungsprofils entsprechen.

Bei Profilen zur automatisierten Warnungserfassung überprüfen und ändern Sie vor der Aktivierung des Profils die Zeitplanung und den Warnungsabruf. Dieser Schritt ist der letzte Schritt im Ereignisprofil-Konfigurationsprozess für geplante Warnungsprofile.

Konfigurieren Sie diese Abfrageintervalle für einzelne Profile. Die Leistung der Splunk Integration zur Erfassung von Ereignissen wird durch die unterschiedlichen Abfrageintervalle beeinflusst. Bei der Planung möchten Sie möglicherweise die Systemlast gegen die Dringlichkeit des incident abwägen. Für jedes Profil ist ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch je nach Dringlichkeit des incident und der erwarteten Auslastung Ihres Systems ändern.

In der Konsole Splunk Enterprise legen Sie eine -Warnung fest, die basierend auf Inkrementen oder einer bestimmten Zeit ausgelöst wird. Verwenden Sie diese Einstellung, um die Zeitplanung in Ihrer Instanz Now Platform zu konfigurieren, damit die Zeitschritte in der Konsole Splunk Enterprise mit der Zeitplanung in Ihrer Instanz Now Platform synchronisiert werden.

Prozedur

Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie „Zeitplanung“aus.

Wählen Sie eine aus, um zu planen, wie und wann Warnungen von der Konsole Splunk Enterprise abgerufen werden.

Option	Beschreibung
Feld „Laufende Warnung“ ausgewählt Feld für einmaligen Abruf gelöscht	Laufende Warnung Basierend auf der Standardeinstellung ruft die Instanz Now Platform alle fünf Minuten neue Warnungen vom Server Splunk Enterprise ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und Filterkriterien übereinstimmen. Um die Warnungserfassung auf die Serverauslastung abzustimmen und die aktuellen Daten abzurufen, sollten Sie fünf Minuten als Einstellung bevorzugen. Dieser Wert kann jedoch nach Bedarf geändert werden.
Feld „Laufende Warnung“ gelöscht Feld „Einmaliger Abruf“ ausgewählt	Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf durchführen möchten, um Warnungen basierend auf historischen Ereignissen zu erfassen. Bei Konfiguration wird ein Profil einmal verwendet, um ausgelöste Warnungen abzurufen, einschließlich Warnungen von historischen Ereignissen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Ab dem Datumswert Seit werden ausgelöste Warnungen bis zum aktuellen Datum abgerufen. Nachdem die Warnungen abgerufen wurden, ruft diese Einstellung keine ausgelösten Warnungen für dieses Profil ab dem aktuellen Datum ab. Mit dieser Einstellung wird der Security Incident mit allen Warnungen ausgefüllt, die für den von Ihnen eingegebenen Bereich gefunden werden.

Option

Beschreibung

Feld „Laufende Warnung“ ausgewählt
Feld für einmaligen Abruf gelöscht

Laufende Warnung

Basierend auf der Standardeinstellung ruft die Instanz Now Platform alle fünf Minuten neue Warnungen vom Server Splunk Enterprise ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und Filterkriterien übereinstimmen. Um die Warnungserfassung auf die Serverauslastung abzustimmen und die aktuellen Daten abzurufen, sollten Sie fünf Minuten als Einstellung bevorzugen. Dieser Wert kann jedoch nach Bedarf geändert werden.

Feld „Laufende Warnung“ gelöscht
Feld „Einmaliger Abruf“ ausgewählt

Einmaliger Abruf

Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf durchführen möchten, um Warnungen basierend auf historischen Ereignissen zu erfassen.

Bei Konfiguration wird ein Profil einmal verwendet, um ausgelöste Warnungen abzurufen, einschließlich Warnungen von historischen Ereignissen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Ab dem Datumswert Seit werden ausgelöste Warnungen bis zum aktuellen Datum abgerufen.

Nachdem die Warnungen abgerufen wurden, ruft diese Einstellung keine ausgelösten Warnungen für dieses Profil ab dem aktuellen Datum ab. Mit dieser Einstellung wird der Security Incident mit allen Warnungen ausgefüllt, die für den von Ihnen eingegebenen Bereich gefunden werden.

Seite „Zeitplanung“ mit angezeigtem Kalender.

Als Beispiel für die Planung können Sie, wenn Sie eine tägliche Warnung Splunk haben, die einmal täglich um 4:00 Uhr Ortszeit ausgeführt wird, das entsprechende Warnungsprofil in Ihrer Instanz Now Platform so einrichten, dass es um 4:05 Uhr Ortszeit ausgeführt wird, um zu erfassen sofort melden und einen Security Incident erstellen. Geben Sie 04 05 00 in das Feld Erfassung von ersten Warnungen ein. Geben Sie im Feld Inkrement (Minuten) den Wert 1440 (24 Stunden) ein, um die nächste Warnungserfassung für 24 Stunden ab der ersten Warnungserfassung zu planen. In den Feldern wird sowohl die Zeit der ersten Warnungserfassung als auch die Zeit der nächsten Warnungserfassung angezeigt.

Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
1. Aktivieren Sie auf der Seite „Zeitplanung“ das Kontrollkästchen Laufende Warnung, um diese Option zu aktivieren.
2. Geben Sie im Feld Schritt (Minuten) denWert 1440 (24 Stunden) ein.
3. Klicken Sie auf das Kontrollkästchen Anfängliche Warnungserfassung auswählen, um die Bearbeitung der Felder Anfängliche Warnungserfassung und Nächste Warnungserfassung zu aktivieren.
4. Geben Sie im Feld Anfängliche Warnungserfassung 04 05 00ein.
  Im Feld Nächste Warnungserfassung (geschätzt) wird die Zeit der nächsten Warnungserfassung angezeigt.
Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.
Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Dieses Profil ist aktiviert und ruft basierend auf Ihrer Planung Warnungen aus der Konsole Splunk Enterprise ab. Innerhalb von 24 Stunden können maximal 1.000 Security Incidents erstellt werden. Bis zu 100 Ereignisse pro ausgelöste Warnung. Nachfolgende Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht sind.