Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise Security Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 46 Minuten Lesedauer

    • Sie erstellen ein Ereignisprofil in Ihrem ServiceNow AI Platform Instanz und bestimmen, welche Splunk Wichtige Ereignisse erstellen Security Incidents.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Vor ServiceNow AI Platform Security Incident Response( SIR) Security Incidents werden aus erfassten wichtigen Ereignissen erstellt, die Feldwerte aus Warnungen werden in einem Layout von angezeigt ServiceNow AI Platform Security Incident, damit Sie eine Vorschau anzeigen können, wie der tatsächliche Security Incident erstellt wird.

    Aus Integrationsperspektive mithilfe der verfügbaren APIs Splunk ES Bemerkenswerte Ereignisse werden einzeln und manuell als diskrete bemerkenswerte Ereignisse weitergeleitet oder automatisch in erfasst Security Operations Umgebung von ServiceNow AI Platform Instanz abhängig vom definierten Profiltyp.

    Die Integrations-Workflows erfassen verschiedene Arten wichtiger Ereignisse, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese wichtigen Ereignisse werden basierend auf den Profilen erfasst, die Sie in konfigurieren Security Operations Umgebung Ihrer Instanz.

    Alle wichtigen Elemente werden anfänglich für einen konfigurierten Korrelationssuchtyp in einem Profil erfasst. Erfasste wichtige Elemente können dann weiter gefiltert werden, um anzugeben, welche wichtigen Personen Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für wichtige Ereignisse erstellen, die als hohes Risiko identifiziert werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten wichtigen Ereignissen erstellt werden, werden einzelne Feldwerte in den wichtigen Ereignissen den entsprechenden Feldern in einem Layout des Security Incident zugeordnet, um eine Vorschau anzuzeigen.

    Prozedur

    1. Namen für die Ereignisprofile in Ihrem ServiceNow AI Platform Die Instanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden.
    2. Die ServiceNow AI Platform Erfasst bestimmte wichtige mithilfe der Workflows der Integration.
      Alle wichtigen Ereignisse, die die Auswahlkriterien in erfüllen Splunk ES Konsole wird anfänglich in erfasst ServiceNow AI Platform Instanz.
    3. Ein Profil in Ihrem ServiceNow AI Platform Ist eine Kapselung eines bedeutenden Ereignisses in Ihrem Splunk ES Konsole.
      Es besteht eine 1-zu-1-Beziehung zwischen wichtigen Ereignissen, die mit einem Profil erfasst werden, und Verbindungen mit Ihrem Splunk ES Konsole: Ein bemerkenswerter Ereignistyp für eine Verbindung.
    4. Informationen zum Erstellen von Profilen für geplante wichtige Ereignisse finden Sie unter Richten Sie ein Profil für die geplante Erfassung bedeutender Ereignisse ein.
    5. Informationen zum Erstellen von Profilen für die manuelle Ereignisweiterleitung finden Sie unter Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein.

    Richten Sie ein Profil für die geplante Erfassung bedeutender Ereignisse ein

    Abhängig vom definierten Profil Splunk ES Wichtige Ereignisse werden automatisch in erfasst Security Operations Umgebung von ServiceNow AI Platform Instanz.

    Die folgende Tabelle zeigt die Liste der Aufgaben, die Sie ausführen müssen, um ein Profil für die geplante Erfassung wichtiger Ereignisse einzurichten:

    Tabelle : 1. Schritte zum Einrichten eines Profils für die geplante Erfassung bedeutender Ereignisse
    Aufgabe Abschnitt
    Erstellen Sie ein Ereignisprofil Siehe Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse
    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationssuche aus Siehe Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für aus Splunk ES Integration der Ereigniserfassung
    Ordnen Sie wichtige Ereignisfelder zu Siehe Zuordnung von wichtigen Ereignisfeldern für Splunk Enterprise Security Integration
    Erstellen Sie anwenderdefinierte Zuordnungen Siehe Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von auffälligen Ereignis-Incidents und Details zu beitragenden Ereignissen (geplante Erfassung)
    Zeigen Sie eine Vorschau des Security Incidents an Siehe Vorschau des Security Incidents für anzeigen Splunk Enterprise Security Integration der Ereigniserfassung
    Planen und rufen Sie neue und aktualisierte wichtige Ereignisse ab Siehe Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für ab Splunk Enterprise Security Integration der Ereigniserfassung
    Automatisieren Sie Aktualisierungen und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie Aktualisierungen und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für die geplante Erfassung wichtiger Ereignisse

    Sie können ein Profil einrichten, damit wichtige Ereignisse automatisch erfasst werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Dient zum Erstellen eines Ereignisprofils für ein bemerkenswertes Ereignis oder einen Korrelationsregeltyp in Ihrem ServiceNow AI Platform Instanz, navigieren Sie zu Splunk Integration > Splunk-Ereignisprofilan.
    2. Wenn Splunk Formular „Ereignisprofil“ wird nicht angezeigt. Klicken Sie auf Name In der Fortschrittsleiste.
    3. Klicken Sie auf Neu.
    4. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Feld Beschreibung
      Name Eindeutiger Name für das Profil. Wenn Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrem ServiceNow AI Platform Instanz muss eindeutig sein.
      Aktiv Das Kontrollkästchen ist standardmäßig deaktiviert und deaktiviert. Sie sollten alle Abschnitte im Profil abschließen, bevor Sie es aktivieren.
      Typ Wählen Sie den Profiltyp aus der Auswahlliste aus.
      • Geplante Ereigniserfassung: Dieser Profiltyp unterstützt wichtige Ereignisse, die in einem konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus.
      • Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt wichtige Ereignisse, die manuell von Ihrem weitergeleitet werden Splunk Enterprise Security Incident-Überprüfungskonsole bei Bedarf. Lesen Sie die folgenden Schritte, um das Formular für diese Profiltypen auszufüllen.
      Quelle Splunk Server- oder Suchende, die Sie für die Erfassung wichtiger Ereignisse konfiguriert haben. Wenn Sie mehrere haben Splunk Server konfiguriert, wählen Sie den entsprechenden Server für die wichtigsten Ereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Laufzeitausführungspriorität an, wenn zwei oder mehr Profile dieselben Auslösebedingungen haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für einen geplanten Ereignistyp mit wichtigen Elementen.
      Splunk es-Ereignisprofil
    5. Wählen Sie für ein Profil mit einem geplanten bedeutenden Ereignis eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Speichern Sie das Profil und den Fortschritt im Schritt „Ereignisauswahl“.
      Aktualisieren Speichern Sie Aktualisierungen an diesem Profil, und kehren Sie zu zurück Splunk Ereignisprofilliste.
      Speichern Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
      Löschen Löschen Sie diesen Profildatensatz, und kehren Sie zu zurück Splunk Ereignisprofilliste.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, wichtige Ereignisse für die automatische Erfassung auszuwählen.

    Wählen Sie wichtige Ereignisse basierend auf dem Namen der Korrelationsregel für das Profil für aus Splunk ES Integration der Ereigniserfassung

    Nachdem Sie ein Profil für eine geplante Erfassung eines bedeutenden Ereignistyps erstellt haben, wählen Sie ein aus Splunk Enterprise Security Name der Korrelationsregel für dieses Profil, für das Sie entsprechende wichtige Ereignisse einem zuordnen möchten ServiceNow AI Platform Security Incident Response Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelationsregeln in an ServiceNow AI Platform Instanz, damit Sie die wichtigen Ereignistypen kennen, für die Sie Security Incidents erfassen und erstellen möchten. Wählen Sie eine Korrelationsregel aus. Sie können in diesem Formular ein oder mehrere wichtige Ereignisse aus der Liste auswählen.

    Prozedur

    1. Wenn die Seite „Auswahl des nennenswerten Ereignisses“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.
    2. Wählen Sie in der Liste der Korrelationsregeln eine der folgenden Optionen aus, um eine einzelne Korrelationsregel oder mehrere Korrelationsregeln auszuwählen, sie zu verschieben und sie von der Spalte verfügbar in die Spalte ausgewählt zu verschieben.

      Die Liste der Korrelationsregeln in diesem Formular stimmt mit der Liste der Korrelationsregeln in überein Splunk ES Incident-Überprüfungskonsole. In diesem Formular werden bis zu 500 Korrelationsregeln angezeigt. Wenn mehr als 500 Korrelationsregeln in aufgeführt sind Splunk ES, Nur die ersten 500 wichtigen Ereignisse werden in diesem Formular in angezeigt ServiceNow AI Platform Instanz.

      Option Beschreibung
      Geben Sie im Suchfeld Korrelationsregelliste Text ein. Die Spalte unter dem Suchfeld wird basierend auf dem von Ihnen eingegebenen Text mit verfügbaren Optionen gefiltert. Wählen Sie eine Korrelationsregel aus, und verschieben Sie den ausgewählten Alarm mit den Pfeiltasten aus Verfügbar Bis Ausgewählt .
      Doppelklicken Sie in der Korrelationsregelliste auf eine Korrelationsregel. Die Ausgewählt Spalte wird mit Ihrer Auswahl ausgefüllt.
      Klicken Sie in der Korrelationsregelliste einmal auf eine Korrelationsregel. Die Korrelationsregel ist ausgewählt. Verschieben Sie mit den Pfeiltasten die ausgewählte Korrelationsregel aus Verfügbar Bis Ausgewählt .

      Splunk es-Ereignisprofil: Wählen Sie ein bemerkenswertes Ereignis aus
    3. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fahren Sie fort, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung Das Formular „Zuordnung“ wird angezeigt.

      Zuordnung Ist im Fortschrittsbalken ausgewählt. Im nächsten Schritt werden wichtige Ereignisfelder einem zugeordnet SIR Security Incident.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste Splunk-relevante Ereignisprofile wird angezeigt.
      Zurück Die Name Schritt wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk-relevante Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Sie haben erfolgreich eine Korrelationsregel für eine geplante ausgewählt Splunk Enterprise Security Profil. Der nächste Schritt besteht darin, Felder in einem Security Incident wichtige Ereigniswerte zuzuordnen.

    Zuordnung von wichtigen Ereignisfeldern für Splunk Enterprise Security Integration

    Nachdem Sie die spezifische Korrelationsregel und den entsprechenden Ereignistyp für das Profil identifiziert haben, besteht der nächste Schritt darin, den Feldern in einem einzelne relevante Ereignisfelder zuzuordnen ServiceNow AI Platform Security Incident Response( SIR) Security Incident.

    Übersicht über die Zuordnung

    Für den Zuordnungsschritt können Sie Beispielereignisse für die ausgewählte Korrelationsregel erfassen oder wichtige Ereignisdaten für manuell weitergeleitete wichtige Ereignisse exportieren. Der Ereigniszuordnungsprozess ist unabhängig vom Profiltyp, den Sie erstellen, identisch.

    Die folgenden Abbildungen sind Beispiele für die Standardzuordnungskonfigurationen, die für jeden Ereignisprofiltyp bereitgestellt werden. Sie können die Felder anpassen, die den Security Incident ausfüllen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten relevanten Ereignisfelddaten der entsprechenden Stelle im SIR-Incident-Formular zugeordnet werden, und dann den SIR-Incident im Vorschauabschnitt visualisieren.

    Wenn mehrere Korrelationen verwendet werden, können beachtliche Ereignisse abgerufen werden, indem erforderliches Ereignis ausgewählt wird. Verwenden Warnungsname Um Ihre Warnung auszuwählen, wenn Sie mehrere Warnungen für die Erfassung konfiguriert haben.

    Nachdem Sie auf geklickt haben, um Daten abzurufen Splunk Namen der Ereignisfelder und entsprechende Werte werden auf der linken Seite des Formulars ausgefüllt. Dies sind die Splunk Wichtige Ereignisfelder, die zur Zuordnung zu verfügbar sind SIR Security Incident-Felder. Einige Felder können den SIR Security Incident-Feldern mehrmals zugeordnet werden.


    Standardzuordnung für geplante wichtige Ereignisse

    Möglicherweise möchten Sie einige Beispiele für wichtige Ereignisse auf Ihrem überprüfen Splunk Konsole, die für den Konfigurationsschritt der Feldzuordnung erfasst werden soll. Dieser Schritt wird auf der Fortschrittsleiste mit Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste. Sie können bis zu fünf Beispiele für wichtige Ereignisse aus erfassen Splunk Enterprise Security Zur Unterstützung des Zuordnungsprozesses für wichtige Ereignisfelder. Es gibt Optionen zum Erfassen der fünf neuesten bemerkenswerten Ereignisse für die ausgewählte Korrelationsregel oder zum Erfassen von bis zu fünf spezifischen bemerkenswerten Ereignissen basierend auf den bemerkenswerten Ereignis-IDs.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen wichtiger Ereignisse erforderlich sind:
    • Geplante Erfassung von Beispieldaten für wichtige Ereignisse: Für Beispieldaten, die für automatisch erfasste Profile für wichtige Ereignisse verwendet werden, werden verfügbare Felder für wichtige Ereignisse und ihre entsprechenden Werte in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt, sobald die Beispieldaten abgerufen wurden. Registerkarten werden angezeigt, auf denen Sie die Werte für eine bestimmte wichtige Ereignis-ID anzeigen können, die Sie abgerufen haben. Überprüfen Sie, ob alle kritischen Felder aus dem Abschnitt „Stichprobenerfassung für wichtige Ereignisse“ auf der linken Seite des Formulars zugeordnet sind ServiceNow Security Incident-Felder auf der rechten Seite des Formulars.
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie wichtige Ereignisfelder von der linken Seite ziehen und auf dem ablegen ServiceNow SIR-Incident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld „eingehendes bedeutendes Ereignis“ einem Feld für ausgehende Security Incidents zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des +-Symbols unten im SIR-Incident-Feldzuordnungsabschnitt hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für die Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um anzugeben, welche wichtigen Ereignisse Security Incidents erstellen sollen und welche wichtigen Ereignisse herausgefiltert werden sollen, z. B. Ereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für die Incident-Generierung“ unter dem Abschnitt „Zuordnung von wichtigen Ereignissen“.
    • Kriterien für Ereigniszusammenfassung: Definieren Sie zusätzliche Kriterien für die Ereigniszusammenfassung, die ein eingehendes Ereignis mit einem vorhandenen zusammenfassen SIR Security Incident stattdessen pf, um ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Feldübereinstimmungswertkriterien für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen sicherheitsrelevanten Ereignisdaten in einem einzelnen Security Incident platziert werden.
    • Formatfeldübersetzung: In bestimmten Fällen Ereignisfeldwerte im Splunk Wichtige Enterprise-Ereignisse werden möglicherweise nicht direkt in die Felder auf übersetzt SIR Security Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Beispielsweise kann ein Kategoriewert „Malware-Warnung“ und „Virusinfektion“ mit dem Skripteditor unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können in eine allgemeine schädliche Code-Aktivität im Feld Kategorie übersetzt werden SIR Security Incident mithilfe der Funktionalität „Formatierungsfeldübersetzung“.

    Der nächste Schritt besteht darin, wichtige Ereignisse zu erfassen und Werte dem zuzuordnen SIR Security Incident-Felder.

    Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von auffälligen Ereignis-Incidents und Details zu beitragenden Ereignissen (geplante Erfassung)

    Während des Schritts „Feldzuordnung für nennenswerte Ereignisse“ ordnen Sie einzelne Ereignisfelder aus nennenswerten Ereignissen zu Feldern in einem zu ServiceNow AI Platform Security Incident Response( SIR) Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Das Zuordnungsraster kann für den in der Korrelationsregelauswahl ausgewählten bedeutenden Ereignistyp angepasst werden. Die Farbcodierung der Ereignisfelder hilft Ihnen, die Ereigniswerte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Ereignisinformationen nicht zugeordnet sind.

    Ordnen Sie bis zu fünf wichtige Ereignisse aus der Spalte „Stichprobenerfassung für bedeutendes Ereignis“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die normalerweise ein wichtiges Feld sind, das im Antwortformular für Security Incidents ausgefüllt werden soll, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen Splunk Felder, die nicht im Standardzuordnungsraster auf angezeigt werden SIR Security Incident.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.
    2. Klicken Sie für ein Profil mit einer geplanten Erfassung unter „Stichprobenerfassung für auffällige Ereignisse“ auf Rufen Sie Beispieldaten Ab Dient zum Abrufen der neuesten Beispiele für wichtige Ereignisse aus dem Splunk Enterprise Konsole für die ausgewählte Korrelationsregel.
      Hinweis:
      Sie können entweder die neuesten Beispiele für wichtige Ereignisse abrufen oder die eindeutigen Ereignis-IDs für die spezifischen Ereignisse angeben, die Sie für Ihre Experience für die Zuordnung wichtiger Ereignisse verwenden möchten.

      Die Ergebnisse der relevanten Ereignisfelder und -Werte werden als einzelne Registerkarten angezeigt. Sie können bis zu fünf wichtige Ereignisse erfassen.

      Der Abruf für Beispiele für wichtige Ereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      In der folgenden Abbildung werden die Feld-Name-Wert-Paare für das erfasste bemerkenswerte Ereignis oder die importierten Beispielereignisse auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf der Erfassung abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.


      Rufen Sie Beispieldaten und erfasste wichtige Ereignisse ab
    3. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
    4. Ziehen Sie den Feldnamen, z. B. Rule_Name , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.

      Drag-and-Drop für Werte, die durch Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. In der folgenden Abbildung: Rule_Name Ist dem zugeordnet Kurzbeschreibung Feld im Security Incident. Sie können jedoch einen beliebigen Wert von der linken Seite mit einem Feld auf der rechten Seite abgleichen. Stellen Sie sicher, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet ist.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass ein auffälliges Ereignisfeld noch nicht ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes wichtiges Feld mit mehr als einem Feld in einem Security Incident verknüpfen.

      Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

      Kurzbeschreibungsfeld und Wert für Security Incident hervorgehoben

    5. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
      1. Klicken Sie auf der rechten Seite des Formulars im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung: Rule_Name Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Felder für wichtige Ereignisse auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.

        Kategoriefelderzuordnung

        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Ereignis-ID Die Sie im Feld Eingabeausdruck wünschen.
    6. Fahren Sie mit der Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.
      Die folgende Abbildung ist ein Beispiel für eine bearbeitete Zuordnung. Im unteren Feld rechts wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Beachten Sie, dass Sie für das Feld mit langer Textzeichenfolge das Zuordnungsfeld erweitern können, um die vollständige Zeichenfolge anzuzeigen und die Größe nach Bedarf neu zu ändern, indem Sie die untere rechte Ecke des Felds wie im Screenshot unten mit dem Feld „hinzugefügte Arbeitsnotizen“ ziehen:
      Arbeitsnotizen mit mehreren hervorgehobenen Werten
      Warnung:
      Beachten Sie dies in SIR-Incident-Feldzuordnung Abschnitt, die URL und die Portnummer, die im erwähnt werden Eingabeausdruck Das Feld ist nur ein Beispiel und nicht die standardmäßig bereitgestellte URL oder Portnummer.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Zuordnungsabschnitt hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Interpunktionszeichen, die Sie in das Feld eingegeben haben, im Abschnitt „zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt, wie die Werte im vorherigen Bild für den Security Incident angezeigt werden.

      Feldwert für Arbeitsnotiz, der für Security Incident angezeigt wird.
    7. Um Aktualisierungen für die zugeordneten Felder in SIR zu erhalten, wählen Sie aus Aktivieren Sie Updates Kontrollkästchen für den Eingabeausdruck.Kontrollkästchen „Updates aktivieren“ aktiviert
    8. Wahlweise: Nachdem Sie die vorherigen Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ereignis erfüllen muss, um eine zu erstellen SIR Security Incident.
      Um Bedingungen für die Incident-Generierung festzulegen, gehen Sie wie folgt vor.
      1. Scrollen Sie im Formular zum Abschnitt Bedingungen für die Incident-Generierung, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Stichprobenerfassung für wichtige Ereignisse“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach Splunk Wichtige Ereignisse, die Sie erfassen, oder das Ereignis, das Sie für die manuell weitergeleiteten Beispiele für wichtige Ereignisse auswählen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen Splunk Enterprise Security Bemerkenswertes Ereignis. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu zurück Splunk Enterprise Security Konsole und überprüfen Sie Ihre wichtigen Ereignisse auf die Stichwörter.


        Generator für Filterbedingungen
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
        Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein. Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt werden müssen, bevor Security Incidents erstellt werden.


        Generator für Filterbedingungen:2

        Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche oder -Filter in zu ändern Splunk. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur nennenswerte Ereignisse zugeordnet, die allen Kriterien entsprechen.

        Hinweis:
        Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche (‘), Unterstriche (-), bei (@) oder ampersands (&) enthält, diese Zeichen müssen möglicherweise zu Zuordnungsübersetzungszwecken ersetzt werden und möglicherweise einen doppelten Ereignisnamen erstellen. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Beispiel: Wenn das erste Ereignisfeld lautet Warnungen.Warnung Und das zweite Ereignisfeld ist Warnungen@Warnungen , Diese Felder können nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Ereignisfeld ein Suffix hinzugefügt, und das Feld wird in umbenannt Warnungen@Alert(1) .

      Kriterien für Ereigniszusammenfassung zur Behandlung ähnlicher wichtiger Elemente und zur Vermeidung doppelter Incidents

    9. Wahlweise: Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Ereigniszusammenfassungskriterien, damit eingehende wichtige Ereignisse zu einem offenen Security Incident zusammengefasst werden.
      Um die Kriterien festzulegen, führen Sie die folgenden Schritte aus.
      1. Scrollen Sie im Formular zum Abschnitt „Kriterien für Ereigniszusammenfassung“, und wählen Sie aus Aggregatbedingungen Kontrollkästchen zum Aktivieren dieser Option.

        Die Incident-Felder mit übereinstimmenden Werten werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die in konfiguriert sind SIR Security Incident.

      2. Wählen Sie im Eingabefeld Mehrfachauswahl die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten ServiceNow AI Platform.
      3. Verwenden Sie Fügen Sie Neue Kriterien Hinzu Zum Auswählen mehrerer Felder, die Bedingungen entsprechen.
        Alle Feldwerte, die Sie im Eingabefeld für Mehrfachauswahl auswählen, werden für Zusammenfassungskriterien mit der Bedingung UND abgeglichen. Klicken Sie Auf Fügen Sie Neue Kriterien Hinzu Dient zum Auswählen mehrerer übereinstimmender Felder, bei denen eine Zusammenfassung stattfindet, wenn eine der definierten Bedingungen für mehrere ausgewählte Felder mit der ODER-Bedingung erfüllt wird.

        Zusammenfassungskriterien

        Wenn ein neues bemerkenswertes Ereignis allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird das neue bemerkenswerte Ereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten wichtigen Ereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten wichtigen Ereignisse in einem Security Incident werden auf angezeigt Splunk Zugehörige Liste „Ereignis zu Aufgaben“. Diese Liste enthält Details zu zugeordneten Zeitstempeln und zusammengefassten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese wichtigen Ereignisse zu vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter zugehörige Links zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.


        Splunk-Ereignis in zugehörige Liste „Aufgaben“ hervorgehoben
      4. Wahlweise: Um eine Arbeitsnotiz für ein neues bedeutendes Ereignis zu protokollieren, das kürzlich dem Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
        In der Arbeitsnotiz wird protokolliert, dass ein neuer wichtiger Eintrag hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und allen anderen Details, die dem Feld „Arbeitsnotiz“ in Ihrem Zuordnungsabschnitt hinzugefügt wurden.
      Sie haben erfolgreich Werte aus einem zugeordnet Splunk Bemerkenswertes Ereignis für Felder in einem SIR Security Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch wichtige Ereignisse an vorhandene angehängt SIR Security Incidents, wenn die Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.
    10. Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Formular „Zuordnung“ wird angezeigt.

      Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIR Security Incident.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste Splunk-Ereignisprofile wird angezeigt.
      Zurück Das Formular „Auswahl des nennenswerten Ereignisses“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk-Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.

    Vorschau des Security Incidents für anzeigen Splunk Enterprise Security Integration der Ereigniserfassung

    Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem zugeordnet haben ServiceNow AI Platform® Security Incident Response( SIR) Security Incident. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle wichtigen Felder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie eine Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung nach Bedarf erneut, um Felder mit Fehlern zu beheben oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIR Security Incidents werden nicht als tatsächliche Incidents in gespeichert SIR Produkt.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie auf Vorschau In der Fortschrittsleiste.
    2. Wählen Sie in der Auswahlliste Ereignisname ein Element aus, wenn mehrere Ereignisse verwendet wurden.
    3. Wählen Sie Ereignis-IDs aus der Auswahlliste Beispiel-IDs für bemerkenswerte Ereignisse aus.
    4. Wählen Sie in der Auswahlliste Beispiel-IDs für bemerkenswerte Ereignisse ein Element aus.

      Ereignisauswahlliste erweitert auswählen.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.

    5. Überprüfen Sie die Feldzuordnung der wichtigen Ereigniswerte für den Security Incident.

      Fehlermeldung zu einem Security Incident in der Vorschau.

      Das vorangegangene Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem bemerkenswerten Ereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Eine Fehlermeldung wird angezeigt, die angibt, dass für keinen Eingabewert gefunden wurde Konfigurationselement Feld in ServiceNow® Kundenmanagement-Datenbank (CMDB). Daher wird dieser zugeordnete Feldwert ohne weitere Änderung nicht im SIR Security Incident-Formular angezeigt.

    6. Klicken Sie auf, um diesen Fehler zu beheben Zuordnung In der Fortschrittsleiste.
    7. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    8. Zeigen Sie erneut eine Vorschau der Zuordnung an, und beheben Sie alle Fehler, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung ist ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte von SIR Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren ausgefüllt, die aus abgerufen wurden Splunk Enterprise Security Bemerkenswerte Ereignisbeispiele. Das erste Feld „Arbeitsnotizen“ hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsabschnitt hinzugefügt.


      Felder „Arbeitsnotiz“ und „Beschreibung“ in der Security Incident-Vorschau
    9. Nachdem Sie Fehler behoben und überprüft haben, ob die Felder so sind, wie Sie sie möchten, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten wichtigen Ereignissen angezeigt.

      Zeitplanung Ist im Fortschrittsbalken ausgewählt.
      Fertigstellen Klicken Sie für Profile, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Beenden . Es gibt keinen Planungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus exportiert werden Splunk Enterprise Security Konsole.
      Aktualisieren Ihre Daten werden gespeichert, und Sie werden zu zurückgegeben Splunk Ereignisprofilliste.
      Zurück Der Zuordnungsschritt auf der Fortschrittsleiste wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil und das Splunk Die Liste „Ereignisprofile“ wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, ist der nächste Schritt bis Planen und rufen Sie Warnungen für ab Splunk Enterprise Event Ingestion Integration.

    Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für ab Splunk Enterprise Security Integration der Ereigniserfassung

    Für automatisierte Erfassungsprofile für wichtige Ereignisse ist dieser Schritt in der Ereignisprofilkonfiguration erforderlich. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf wichtiger Ereignisse überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische wichtige Ereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Bei Profilen für die automatisierte Erfassung bedeutender Ereignisse wählen Sie aus, ob Sie während des Planungsschritts historische wichtige Ereignisse erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen wichtigen Ereignissen und aktualisierten wichtigen Ereignissen abfragen, die der Warnungsprofilkonfiguration entsprechen.

    Bei automatisierten Profilen zur Erfassung bedeutender Ereignisse überprüfen und ändern Sie die Planung und den Warnungsabruf, bevor das Profil aktiviert wird. Dies ist ein erforderlicher Schritt für den gesamten Ereignisprofilkonfigurationsprozess für geplante Warnungsprofile.

    Sie konfigurieren diese Abfrageintervalle pro Profil. Die Leistung von Splunk Die Integration der Ereigniserfassung kann durch die verschiedenen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem abgleichen Splunk Enterprise Security Server gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn ein bemerkenswertes Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein fünf-Minuten-Standardwert festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.

    Neue und aktualisierte wichtige Ereignisse werden abgerufen

    Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte wichtige Ereignisse ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllten. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die möglicherweise nicht vorhanden sind, wenn ein wichtiges Ereignis zum ersten Mal erstellt wird, aber verfügbar werden, nachdem ein Update erfolgt ist, z. B. während der Untersuchungsphase. Sobald ein Incident für ein bestimmtes bemerkenswertes Ereignis erstellt wurde, werden seine nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass der betreffende nun als aktives Ereignis behandelt wird ServiceNow® Security Incident. Alle anderen wichtigen Elemente, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Incident-Generierungskriterien überprüft, bis sie Teil eines aktiven Incident werden.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zeitplanung .
    2. Wählen Sie eines aus, um zu planen, wie und wann wichtige Ereignisse aus abgerufen werden Splunk Enterprise Security Konsole.
      OptionBeschreibung
      • Feld „laufende Ereigniserfassung“ ausgewählt
      • Feld „Einmalabruf“ gelöscht
      		 Laufendes Ereignis

      Basierend auf der Standardeinstellung ServiceNow AI Platform Instanz ruft aus ab Splunk Enterprise Security Server für neue und aktualisierte wichtige Ereignisse alle fünf Minuten. Security Incidents werden erstellt, wenn wichtige Ereignisse gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead der Erfassungsabfrage auszugleichen, der die aktuellsten Daten abrufen möchte, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
      • Feld „laufendes bedeutendes Ereignis“ gelöscht
      • Feld „Einmalabruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen historischer bedeutender Ereignisse wünschen.

      Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um wichtige Ereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Ab dem Wert seit Datum werden wichtige Ereignisse bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, signifikante Mengen historischer Ereignisse aus abzurufen Splunk Enterprise Security Aus Archivierungsgründen, aber eher aus einer minimalen Anzahl von laufenden Ereignissen, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die wichtigen Ereignisse abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren bedeutenden Ereignisse für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen wichtigen Ereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

      Planungsseite mit angezeigtem Kalender.

      Ein Beispiel für die Planung einer ersten Zeit der Erfassung eines bedeutenden Ereignisses, wenn Sie täglich eine haben Splunk Sicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Profil für wichtige Ereignisse in Ihrem einrichten ServiceNow AI Platform Instanz, die um 4:05 UHR Ortszeit ausgeführt werden soll, um das Security Failure-Ereignis sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie Ein 04 05 00 Im Feld erste Ereigniserfassung. Geben Sie im Feld Schritt (Minuten) den Wert ein 1440 (24 Stunden) zum Planen der nächsten Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung. Sowohl die erste Ereigniserfassungszeit als auch die nächste Ereigniserfassungszeit werden in den Feldern angezeigt.

    3. Um die Einstellungen für dieses Beispiel zu konfigurieren, führen Sie die folgenden Schritte aus.
      1. Wenn die Seite „Zeitplanung“ angezeigt wird, wählen Sie aus Laufende Ereigniserfassung Kontrollkästchen zum Aktivieren dieser Option.
      2. Geben Sie im Feld Schritt (Minuten) den Wert ein 1440 (24 Stunden).
      3. Klicken Sie auf Wählen Sie erste Ereigniserfassung aus Kontrollkästchen zum Aktivieren der Bearbeitung der Felder „erste Ereigniserfassung“ und „nächste Ereigniserfassung“.
      4. Geben Sie im Feld erste Ereigniserfassung ein 04 05 00 .
        Im Feld nächste Ereigniserfassung (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.
    4. Klicken Sie auf eine der folgenden Optionen, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „zusätzliche Optionen“ wird angezeigt. Zusätzliche Optionen Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, die wichtigsten Ereignisse zu aktualisieren, wenn der SIR-Incident erstellt und/oder geschlossen wird.
      Aktualisieren Ihre Daten und werden gespeichert Splunk Die Liste der Ereignissicherheitsprofile wird angezeigt.
      Zurück Das Formular „Zeitplanung“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil und das Splunk Enterprise Security Die Liste „Ereignisprofile“ wird angezeigt.

    Automatisieren Sie Aktualisierungen und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Security Incidents können erstellt und aktualisiert werden, nachdem sie mit einer bidirektionalen Schnittstelle mit erstellt wurden Splunk Enterprise Security Integration.

    Vorbereitungen

    Die Splunk Enterprise Security Die Integration verfügt über eine bidirektionale Schnittstelle, mit der wichtige Ereignisse Security Incidents erstellen und die wichtigen Ereignisse aktualisieren können, nachdem der Security Incident erstellt und/oder geschlossen wurde.

    Zu den relevanten Incident-Details gehören SIR Incident-Nummer, Zuweisungsgruppe, SIR Incident-URL. Dieser Abschnitt ist der letzte Teil der Profilkonfigurationseinrichtung, die optionale Funktionen zum Aktualisieren von bietet Splunk Enterprise Security Bemerkenswerte Ereignisse.

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Wenn die Seite „zusätzliche Optionen“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zusätzliche Optionen .
    2. Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung wichtiger Ereignisse basierend auf Security Incident-Updates abzuschließen.
      Option oder FeldBeschreibung
      Bedeutende Ereignisse bei Erstellung von SIR-Incident aktualisieren Wählen Sie diese Option aus, wenn Sie den Status des bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem bedeutenden Ereignis erstellt wird. Dies kann sowohl für die anfänglich auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse auftreten.
      Aktualisierung des Anfangsstatus von bedeutendem Ereignis Sie müssen eine Statusoption aus dem Menü auswählen, in der alle verfügbaren Statuswerte angezeigt werden, die aus abgerufen wurden Splunk Enterprise Security Server. Dies kann einen anwenderdefinierten Erstellungsstatus umfassen, z. B. ServiceNow– Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes bedeutendes Ereignis erstellt wird. Dies umfasst namhafte, die neue Incidents erstellen, und namhafte, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      An bedeutendes Ereignis zurückgesendete Anfangskommentare Neben der Aktualisierung des Statuswerts für wichtige Ereignisse können Sie auch Kommentare zum Überprüfungsverlauf für Incidents für wichtige Ereignisse veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld in der Security Incident Response Incident-Formular.
      Bedeutende Ereignisse bei Abschluss von SIR-Incident schließen Wählen Sie diese Option aus, wenn Sie den Status eines bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem Ereignis geschlossen wird. Dies geschieht sowohl für die anfänglich auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse.
      Aktualisierung des Abschlussstatus von bedeutendem Ereignis Sie müssen eine Statusoption aus dem Listenmenü auswählen, in der alle verfügbaren Statuswerte angezeigt werden, die aus abgerufen werden Splunk Enterprise Security Server. Dies kann einen anwenderdefinierten Erstellungsstatus umfassen, z. B. ServiceNow– Zugewiesen, wie im Screenshot unten gezeigt. Wählen Sie den Statuswert aus, der für alle wichtigen Ereignisse festgelegt werden soll, wenn ein Security Incident für ein erfasstes bedeutendes Ereignis erstellt wird. Dies umfasst namhafte, die neue Incidents erstellen, sowie namhafte, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Abschlusskommentare, die an ein bemerkenswertes Ereignis zurückgesendet wurden Neben der Aktualisierung des bemerkenswerten Statuswerts können Sie Abschlusskommentare auch im Überprüfungsverlauf des Incident für wichtige Ereignisse veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format $⁠{Feldname}$ für jedes Feld in der Security Incident Response Incident-Formular.
      SIR-Automatisierungsaktivität mit Splunk-Ereigniskommentaren aktualisieren Option zum Aktualisieren Ihrer Splunk-Ereigniskommentare in SIR Automatisierungsaktivität. Der Kommentar in SIR Die Automatisierungsaktivität wird mit dem Präfix angezeigt Kommentar aus Splunk .
      Aktualisieren Sie Splunk-Kommentare mit SIR-Arbeitsnotizen Option zum Aktualisieren von SIR Arbeitsnotizen in den Splunk-Ereigniskommentaren. Der Kommentar in Splunk-Ereignis wird mit dem Präfix angezeigt Kommentar von ServiceNow .
    3. Klicken Sie Auf Beenden Um die Konfiguration abzuschließen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um wichtige Ereignisse aus abzurufen Splunk Enterprise Security Konsole basierend auf Ihrer Planung. Es gibt ein Limit von 1.000 Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Pro ausgelöster Warnung gelten bis zu 100 wichtige Ereignisse. Nachfolgende wichtige Ereignisse werden ignoriert, nachdem die Grenzwerte erreicht wurden.
      Die folgende Abbildung zeigt die Registerkarte „zusätzliche Optionen“ mit ausgefüllten Standardwerten:
      Zusätzliche Optionen:1
      Wenn die Konfiguration „zusätzliche Optionen“ aktiviert ist, zeigt die Incident-Überprüfung eines bedeutenden Ereignisses die Statusänderung und eine Aktualisierung der Verlaufskommentare an:
      Zusätzliche Optionen: 2

    Richten Sie ein Profil für die manuelle Ereignisweiterleitung ein

    Abhängig vom definierten Profil Splunk ES Bemerkenswerte Ereignisse werden manuell als diskrete bemerkenswerte Ereignisse an weitergeleitet Security Operations Umgebung von ServiceNow AI Platform Instanz.

    So richten Sie ein Profil für die manuelle Weiterleitung wichtiger Ereignisse ein:

    Aufgabe Abschnitt
    Erstellen Sie ein Ereignisprofil Siehe Erstellen Sie Profile für manuell weitergeleitete Ereignisse
    Ordnen Sie wichtige Ereignisfelder zu Siehe Zuordnung von wichtigen Ereignisfeldern für Splunk Enterprise Security Integration
    Erstellen Sie anwenderdefinierte Zuordnungen Siehe Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von Incidents und Details zu beitragenden Ereignissen (manuelle Weiterleitung)
    Zeigen Sie eine Vorschau des Security Incidents an Siehe Vorschau des Security Incidents für anzeigen Splunk Enterprise Security Integration der Ereigniserfassung

    Richten Sie Ihr ein Splunk Umgebung für manuelle Erfassung

    		 Siehe Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung
    Automatisieren Sie Aktualisierungen und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status Siehe Automatisieren Sie Aktualisierungen und den Abschluss wichtiger Ereignisse basierend auf dem SIR-Incident-Status

    Erstellen Sie Profile für manuell weitergeleitete Ereignisse

    Sie können ein Profil für manuell weitergeleitete Ereignisse einrichten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

    Für Ereignisse, die Sie bei Bedarf von Ihrem weiterleiten Splunk Enterprise Security Konsole können Sie die individuelle Feldzuordnung auf einem beliebigen vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

    1. Wenn nicht bereits ausgewählt, wählen Sie in der Auswahlliste für das Feld Typ die Option aus Manuelle Ereignisweiterleitung .
    2. Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.
      Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen finden Sie in den folgenden Abbildungen und Tabellen.
      Splunk: Manuelle Ereignisweiterleitung
      Tabelle : 2. Option „neue Feldzuordnung erstellen“
      Option oder Feld Beschreibung
      Erstellen Sie eine neue Feldzuordnungsoption Neue Feldzuordnung für Ihr Ereignis.

      Wenn Sie keine Feldzuordnung haben, die dem Profil ähnelt, das Sie erstellen, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.
      Standardprofil

      Standardmäßiges Ereignisweiterleitungsprofil für alle Splunk Ereignisse. Der Standardwert ist gelöscht (deaktiviert).

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil wird verwendet, wenn keine Übereinstimmung für die Quelle aus dem manuell weitergeleiteten Ereignis vorhanden ist. Es wird zum Standardprofil für alle Ereignisse mit unbekannten Quellen.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld für bemerkenswertes Ereignis) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die das bemerkenswerte ausgelöst hat, z. B. Brute Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Falls verfügbar, ermöglicht dieses Feld die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf der splunk-Korrelationsregel, die sich normalerweise für verschiedene Ereignistypen unterscheidet.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie verschiedene Profil-Ereignisprofile basierend auf der Korrelationsregel erstellen, um diese Anforderung zu erfüllen.
      Aktualisierung bedeutender Ereignisse automatisieren Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein SIR-Incident aus dem bedeutenden Ereignis erstellt wird und/oder wenn der SIR-Incident geschlossen wird. Dies tritt sowohl für die anfänglich auslösenden bedeutenden Ereignisse, die den SIR-Incident erstellen, als auch für zusammengefasste Ereignisse auf.

      Quelle ( Splunk Server)

      Die Splunk Server, den Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn Sie mehrere haben Splunk Server konfiguriert, wählen Sie den entsprechenden Server für die wichtigsten Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

      Wenn Sie eine große Anzahl von Profilen erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Überprüfen Sie für ein Profil mit einer neuen Feldzuordnung, ob Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fahren Sie Fort Um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

      Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.
      Manuell: Vorhandenes Profil
      Tabelle : 3. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
      Option oder Feld Beschreibung
      Vorhandenes Profil für Feldzuordnung auswählen Verwenden Sie eine vorhandene Feldzuordnung für Ihr neues Profil für wichtige Ereignisse. Das Feld aus Profil kopieren wird angezeigt.

      Führen Sie die folgenden Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren.

      1. Klicken Sie links neben dem angezeigten Feld aus Profil kopieren auf das Suchsymbol.
      2. In Splunk Liste „es-Ereignisprofile“, die angezeigt wird, klicken Sie auf den Profilnamen, der die Karte enthält, die Sie kopieren möchten.

        Der Profilname wird im Feld aus Profil kopieren angezeigt.
      Standardprofil

      Standardmäßiges Ereignisweiterleitungsprofil für alle Splunk Bemerkenswerte Ereignisse mit nicht übereinstimmender Quelle. Standard ist gelöscht (deaktiviert).

      Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung.

      Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
      Quelle (Feld für bemerkenswertes Ereignis) Dies ist ein Feld, das normalerweise die Korrelationsregel definiert, die das bemerkenswerte ausgelöst hat, z. B. Brute Force-Angriffe.

      Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.

      Falls verfügbar, ermöglicht dieses Feld die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf der splunk-Korrelationsregel, die sich normalerweise für verschiedene Ereignistypen unterscheidet.

      Wenn Sie verschiedene Korrelationsregeln separat verwalten möchten, können Sie verschiedene Profil-Ereignisprofile basierend auf der Korrelationsregel erstellen, um diese Anforderung zu erfüllen.
      Automatisieren Sie Wichtige Ereignisse Aktivieren Sie dieses Kontrollkästchen, wenn Sie den Status des bedeutenden Ereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem bedeutenden Ereignis erstellt wird oder wenn der Security Incident geschlossen wird. Dies tritt sowohl für die anfänglich auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse auf.

      Quelle ( Splunk Server)

      Splunk Server- oder Suchende, die Sie als Quelle für wichtige Ereignisse konfiguriert haben. Wenn Sie mehrere haben Splunk Server konfiguriert, wählen Sie den entsprechenden Server für die wichtigsten Ereignistypen aus, die für das Profil aktualisiert werden. Sie müssen einen Wert eingeben.
      Reihenfolge Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

      Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Laufzeitausführungspriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
      (Optional) Beschreibung Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

      Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Beenden Um die Profilkonfiguration abzuschließen.

    Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von Incidents und Details zu beitragenden Ereignissen (manuelle Weiterleitung)

    Während des Zuordnungsschritts für ein wichtiges Ereignis ordnen Sie einzelne Ereignisfelder aus wichtigen Ereignissen zu Feldern in einem zu ServiceNow AI Platform Security Incident Response( SIR) Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Ordnen Sie bis zu fünf wichtige Ereignisse aus der Spalte „Stichprobenerfassung für bedeutendes Ereignis“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardfelder, die normalerweise ein wichtiges Feld sind, das im SIR-Incident-Formular ausgefüllt werden soll, werden angezeigt. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen Splunk Felder, die nicht im Standardzuordnungsraster auf angezeigt werden SIR Security Incident.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.
    2. Führen Sie die folgenden Schritte aus, um Anhangsdaten in hochzuladen ServiceNow AI Platform® Instanz.
      1. Wenn Sie sich noch nicht angemeldet haben, melden Sie sich bei an Splunk Enterprise Konsole.
      2. Navigieren Sie zur Registerkarte Suche, und geben Sie einen Namen für eine Suche ein, die die wichtigen Ereignisdaten enthält, die Sie exportieren möchten.
        Ein Beispiel für ein Suchformat zum Abrufen wichtiger Ereignisse für die Korrelationsregel für Brute-Force-Zugriffsverhalten wäre das folgende: „Notable“|search Source=„Zugriff – Brute-Force-Zugriffsverhalten erkannt – Regel“.
      3. Erweitern Sie das bedeutende Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Zuordnungsseite in angezeigt werden ServiceNow AI Platform® Instanz.


        Splunk es: Wählen Sie wichtige Ereignisse für den Export aus
      4. In Ihrem Splunk Enterprise Konsole klicken Sie oben rechts auf der Suchseite auf Exportieren Symbol.
      5. Klicken Sie in der Auswahlliste für das Feld Format im angezeigten Dialogfeld auf XML-Format .
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.

        Splunk es: XML-Datei exportieren
        Exportiert Splunk Die XML-Datei für wichtige Ereignisse muss jetzt auf hochgeladen werden ServiceNow AI Platform® Instanz.
      8. Wenn die Zuordnungsseite nicht bereits in angezeigt wird ServiceNow AI Platform® Instanz, klicken Sie auf Zuordnung In der Fortschrittsleiste.
      9. Klicken Sie in der Spalte Beispielerfassung für ein Ereignis auf Laden Sie Anhangsdaten .

        Splunk es: Anhangsdaten laden
      10. Klicken Sie im angezeigten Dialogfeld auf Wählen Sie Dateien aus Und navigieren Sie zu .Xml Datei, die Sie exportiert haben, und klicken Sie auf Öffnen .
        Nachdem Sie auf klicken, um Anhangsdaten für manuell weitergeleitete Ereignisse zu laden, die Splunk ES Wichtige Ereignisfelder werden auf der linken Seite des Formulars ausgefüllt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „Sir Incident-Feldzuordnung“ des Formulars zuordnen.
        Die Wertpaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.
    3. Führen Sie die Schritte 5 bis 10 im aus Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von auffälligen Ereignis-Incidents und Details zu beitragenden Ereignissen (geplante Erfassung) Abschnitt.

    Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung

    Installieren und richten Sie den ein ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Anwendung in Ihrem Splunk enterprise-Konsole oder Splunk-Cloud-Instanz, wenn Sie Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise Security Konsole für diese Integration.

    Vorbereitungen

    Installieren und Einrichten von ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Anwendung in Ihrem Splunk enterprise-Konsole oder Splunk-Cloud-Instanz ist optional.

    Überprüfen Sie, ob Sie die Anwendung für diese Integration über installiert haben ServiceNow Store Vor der Installation des Add-on-Plugins aus splunkbase, das für die manuelle Ereigniserfassung erforderlich ist. Wenn Sie die Anwendung für die Integration nicht über installiert haben ServiceNow Store, Siehe Installieren und konfigurieren Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung Und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: Splunk Enterprise Security Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise Konsole für die -Integration herunterladen, installieren und einrichten ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Aus SPLunkbase in Ihrem Splunk Enterprise Security Konsole. Dies ServiceNow Das Erweiterungs-Add-on ist erforderlich, damit Security Incidents aus manuell exportierten Ereignissen in erstellt werden können ServiceNow AI Platform Instanz. Dies ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Anwendung ist für verfügbar Splunkbase .

    Für die manuelle Ereignisweiterleitung können Sie bis zu zwei verschiedene identifizieren ServiceNow AI Platform Endpunkte (Instanzen) in Ihrem Splunk Enterprise Security Konsole. Sie leiten die Ereignisse manuell an den Endpunkt oder Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise sowohl eine Bereitstellungs-(Entwicklungs-)Instanz als auch eine Produktionsinstanz angeben. Indem Sie separate Instanzen angeben und primäre und sekundäre Workflows für jede Instanz benennen, können Sie auswählen, wohin Sie verschiedene Ereignisse weiterleiten möchten.

    Prozedur

    1. Wenn Sie noch nicht installiert haben ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security, Führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu Splunkbase .
      2. Suchen Sie nach ServiceNow Security Operations Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security.
        Hinweis:
        Überprüfen Sie, ob Sie ausgewählt haben ServiceNow Security Operations Ereigniserfassungs-Add-on für Splunk Enterprise Security. Es gibt zusätzliche ServiceNow add-ons, die in dieser Liste angezeigt werden. Diese Add-ons sind für verschiedene bestimmt ServiceNow Splunk Integrationen und sind für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihren Splunk Enterprise Security Account.
      5. Klicken Sie auf der Seite „Apps“ auf das Zahnradsymbol oder auf Apps Verwalten Verknüpfung in der Dropdown-Liste des Menüs.
      6. Klicken Sie oben links auf der angezeigten App-Seite auf Installieren Sie die App aus der Datei .
      7. Klicken Sie Auf Wählen Sie Datei , Wählen Sie aus ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security, Und klicken Sie auf Hochladen .
      8. Starten Sie bei Aufforderung neu Splunk Enterprise.
        Die ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Ist in installiert Splunk Enterprise Security Konsole. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das Add-on einzurichten.
      1. In Splunk Enterprise Security, Klicken Sie auf Apps Zahnradsymbol oder Apps Verwalten In der Dropdown-Liste des Menüs.
      2. In der Liste der Anwendungen, die in angezeigt wird Aktionen Klicken Sie auf die Spalte Einrichten Für ServiceNow Security Operations Ereigniserfassungs-Add-on für Splunk Enterprise Security.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular in Ihrem Splunk Enterprise Security Konsole.
        API-Endpunkte
      Feld im Abschnitt „primäre ServiceNow-Instanz angeben“Beschreibung
      Bezeichnung der Workflow-Aktion Name des ServiceNow AI Platform Workflow für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name von ServiceNow AI Platform Instanz, die Ihre Anwender überwachen Splunk Ereignisse werden als primäre Instanz identifiziert, z. B. ServiceNow-Ereigniserfassung (Produktion).

      Der Standard für dieses Feld ist ServiceNow-Ereigniserfassung (Produktion).

      In Ihrem Splunk Enterprise Security Konsole, wird dieser Workflow-Name für die Produktionsinstanz (primäre) in erweitert angezeigt Ereignisaktionen Dropdown-Liste einer Suche. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für ServiceNow AI Platform Instanz, die Sie im Feld „Bezeichnung der vorangegangenen Workflow-Aktion“ eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt Basis-API-Pfad. Weitere Informationen finden Sie in der Abbildung nach der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt von haben ServiceNow AI Platform Führen Sie die folgenden Schritte aus: Produktionsinstanz.

      1. Melden Sie sich bei an ServiceNow AI Platform Produktionsinstanz als Anwender mit der Rolle „Systemadministrator“ (Administrator).
      2. Geben Sie Ein Geskriptete REST-APIs Im Navigationsbereich.
      3. Nachdem der Navigationsbereich aktualisiert wurde, wählen Sie aus Geskriptete REST-APIs Modul, das angezeigt wird.
      4. Wenn die Ereigniserfassung nicht in der Spalte Name des aufgeführt ist Geskriptete REST-APIs Liste, die angezeigt wird, geben Sie im Suchfeld oben ein Ereigniserfassung .
      5. Kopieren Sie diesen Wert in der Spalte Basis-API-Pfad auf der aktualisierten Seite, und fügen Sie ihn in das Feld Endpunkt im Formular ein. Ein Beispiel für einen Basis-api-Pfad ist: /api/sn_sec_splunk_v2/event_ingestion .
      Anwendername Anwendername für Ihren ServiceNow AI Platform Instanz. Dieser Name ist der Anwendername für ServiceNow AI Platform Instanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_Account_Access) für die manuelle Ereignisweiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihr ein ServiceNow AI Platform Instanz für Splunk Enterprise Event Ingestion Integration.
      Passwort Passwort für Ihren ServiceNow AI Platform Instanz.

      Dieses Passwort ist das Passwort für ServiceNow AI Platform Instanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_Account_Access) für die manuelle Ereignisweiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt „Sekundäre ServiceNow-Instanz angeben“ Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Bezeichnung der Workflow-Aktion Name des ServiceNow AI Platform Workflow für Ihre sekundäre Instanz (Staging). Dieser Name ist der Name von ServiceNow AI Platform Instanz, die Ihre Anwender überwachen Splunk Ereignisse identifizieren sich als sekundäre Instanz, z. B. ServiceNow Ereigniserfassung (Bereitstellung).

      In Ihrem Splunk Enterprise Security Konsole, wird dieser Workflow-Name für die Instanz „Staging“ (sekundär) in der Dropdown-Liste „Ereignisaktionen“ einer Suche angezeigt. Dies ServiceNow AI Platform Instanz ist Ihre Bereitstellungsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für ServiceNow AI Platform Instanz, die Sie im Feld „Bezeichnung der vorherigen Workflow-Aktion“ für die sekundäre Instanz eingegeben haben ServiceNow AI Platform Instanz.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt Basis-API-Pfad. Dieser Wert für den Basis-API-Pfad für Ihre sekundäre Instanz ist derselbe Wert wie der Basis-API-Pfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorangehenden Abbildung des Formulars.
      Anwendername Anwendername für Ihren ServiceNow AI Platform Bereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunk_v2.api_Account_Access) verfügen.
      Passwort Passwort für Ihren ServiceNow AI Platform Bereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunkes.api_Account_Access) verfügen.
      Die folgende Abbildung ist ein Beispiel für die Liste geskriptete REST APIs in Ihrem ServiceNow AI Platform. In der Liste wird die Position des Endpunktwerts von angezeigt ServiceNow AI Platform Instanz, die Sie im Rahmen der Einrichtung für in das Formular eingeben ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Erweiterung in Ihrem Splunk Enterprise Security Konsole.
      Basis-API-Pfad hervorgehoben.
    3. Im Setup-Formular in Ihrem Splunk Enterprise Security Konsole, klicken Sie auf Speichern Um Ihre Änderungen zu speichern.

      Nach einigen Minuten oben links im Formular in Ihrem Splunk Enterprise Security Konsole wird eine Nachricht angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, werden die Namen (Workflow-Aktionsbezeichnungen) für gespeichert ServiceNow AI Platform Instanzen, die Sie im Formular erstellt haben, sind in der Auswahlliste Ereignisaktionen für ein ausgewähltes Ereignis einer Suche in verfügbar Splunk Enterprise Security Konsole.

    Nächste Maßnahme

    Wenn Sie Suchvorgänge noch nicht in gespeichert haben Splunk Enterprise Security-Konsole besteht der nächste Schritt darin, Suchvorgänge als Warnungen in Ihrer zu speichern Splunk Enterprise Security Konsole.