Criar registros de configuração de pesquisa de vistas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Crie vários registros de configuração de pesquisa de vistas e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de vistas para invocar pesquisas salvas no armazenamento de log do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o Splunk Common Information Model (CIM).
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de evento.
    • Pesquisas eficazes e com design eficiente.
    • Use entradas parametrizadas na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra, conforme mostrado nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração Inplace são consultas de exemplo e podem ser substituídas por parâmetros apropriados para o seu ambiente. Crie configurações adicionais de pesquisa salva conforme necessário. Ao definir uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida na sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de vistas.
    Nota:
    Na sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique no link Permissões para navegar até a página Permissões. Selecione o botão de opção Todos os aplicativos e habilite a opção Permissão de leitura para Todos. Isso mudará o valor da coluna Compartilhamento de Privado para Aplicação para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva pode não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida na sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Altere o Contexto da aplicação para Todos.

      Uma lista de relatórios de pesquisa será exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de vistas contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário de Configuração de pesquisa de vistas
    Configuração salva

    Na instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - e-mails e os mesmos parâmetros de pesquisa para o endereço e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem iguais, a pesquisa de vistas não gerará um resultado preciso.

    Procedimento

    1. Navegar até Security Operations > Integrações > Configuração de Pesquisa de Vistas e crie um novo registro (consulte a tabela para obter as descrições dos campos).
      Tabela 1. Formulário de Configuração de pesquisa de vistas
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem de pesquisa de vistas A origem da pesquisa de vistas. Selecione o armazenamento de log do Splunk como a origem.
      Ativo Opção para o status de pesquisa salvo. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de vistas.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é $(observable), mas você pode definir sua própria consulta de pesquisa especificando parâmetros que são compatíveis com o armazenamento de log do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de vistas.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de detecçõese especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.