Konfigurieren Splunk Enterprise-Sicherheitseinstellungen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer
  • Verwenden Sie Splunk Enterprise Security (es)-Einstellungen zum Ändern der voreingestellten Konfigurationen und ihrer Werte gemäß Ihren Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Navigieren zu Alle > Splunk ES-Integration > Splunk ES-Einstellungenan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Splunk ES-Einstellungen
      Feld Beschreibung
      Erzwingen Sie einen Grenzwert für die Anzahl der wichtigen Ereignisse, die zu einem einzelnen Incident zusammengefasst werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl Ihrer wichtigen Ereignisse, die Sie zu einem einzelnen Incident aggregieren möchten.

      Standardmäßig ist der Wert auf 100 festgelegt.

      Erzwingen Sie einen Grenzwert für die Anzahl der Security Incidents, die innerhalb von 24 Stunden erstellt werden können. Option zum Erzwingen eines Grenzwerts für die Anzahl der Security Incidents, die innerhalb von 24 Stunden erstellt werden können.

      Standardmäßig ist der Wert auf 1000 festgelegt.

      Erzwingen Sie einen Grenzwert für die Anzahl der Werte, die in jedem von empfangenen Feld analysiert werden sollen Splunk. Option zum Erzwingen eines Grenzwerts für die Anzahl der Werte, die Sie für jedes von empfangene Feld analysieren möchten Splunk.

      Standardmäßig ist der Wert auf 1000 festgelegt.

      Anzahl der Korrelationsregeln, aus denen abgerufen werden soll Splunk. Option zum Definieren der Anzahl der Korrelationsregeln, aus denen abgerufen werden soll Splunk.

      Standardmäßig ist der Wert auf 500 festgelegt.

      Der Parameter für die Gültigkeitsdauer für Splunk Suchauftrag in Sekunden. Option zum Definieren des Parameters „Time-to-Live“ für Splunk Suche in Sekunden.

      Standardmäßig ist der Wert auf 600 festgelegt.

      Anzahl der wichtigsten Typen, die in einer Suche in Batch ausgeführt werden sollen. Option zum Definieren der Gesamtzahl der wichtigen Typen, die in einer einzigen Suche Batch-Dateien verwendet werden sollen.

      Standardmäßig ist der Wert auf 20 festgelegt.

      Anzahl der Tage, die beibehalten werden sollen Splunk Suchauftragsmetadaten in ServiceNow Option zum Definieren der Anzahl der Tage, in denen Sie die Metadaten des Splunk-Suchauftrags beibehalten möchten ServiceNow.

      Standardmäßig ist der Wert auf 30 festgelegt.

      Das Trennzeichen zum Aufteilen der Werte in Feldzuordnungen. Option zum Definieren des Trennzeichens, um die Werte in Feldzuordnungen aufzuteilen.

      Standardmäßig ist der Wert auf (,) festgelegt.

      Anzahl der Minuten, die beim Abrufen der Ereignisse hinzugefügt werden sollen Splunk(Um die Indexierungsverzögerung von Splunk zu überwinden) Option zum Definieren der Anzahl der Überschneidungsminuten, die beim Abrufen der Ereignisse aus hinzugefügt werden sollen Splunk Um die Indexierungsverzögerung von zu überwinden Splunk.

      Standardmäßig ist der Wert auf 30 festgelegt.

      Aktualisierte bedeutende Ereignisse abrufen Option zum Abrufen aktualisierter wichtiger Ereignisse.

      Standardmäßig ist der Wert auf Nein festgelegt

      Aktivieren Sie diese Einstellung, um vorhandene zu aktualisieren Splunk Quellkonfigurationen für die Unterstützung der tokenbasierten Authentifizierung. Sie müssen die Integrationskonfiguration mit Tokendetails aktualisieren, nachdem diese Einstellung aktiviert wurde. Option zum Aktualisieren vorhandener Elemente Splunk Quellkonfiguration für tokenbasierte Authentifizierungsunterstützung von einer vorhandenen Version.
      Hinweis:
      Nach dem Upgrade auf die neue Version ist das Token-Feld nicht mehr verfügbar. Sie müssen diese Einstellung aktivieren, um die tokenbasierte Authentifizierung abzurufen. Danach müssen Sie die Integrationskonfiguration mit Tokendetails aktualisieren.

      Standardmäßig ist der Wert auf Nein festgelegt

      Aktivieren Sie das Kontrollkästchen, um geschlossene wichtige Elemente während der Erfassung abzurufen. Option zum Abrufen der geschlossenen Ereignisse in ServiceNow Splunk Es-Instanz. Wenn diese Option deaktiviert ist, werden nur aktive Ereignisse in die Instanz abgerufen.

      Standardmäßig ist der Wert auf Nein festgelegt

    3. Klicken Sie auf Speichern.