Atividade Splunk Event Query
A atividade de fluxo de trabalho Consulta de eventos do Splunk pesquisa indicadores mal-intencionados nos logs de eventos do Splunk.
A atividade Splunk Event QueryActivity pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do Splunk.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Splunk |
| Falha | Ocorreu um erro ao tentar verificar a consulta do Splunk. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema Splunk. |
| senha | Senha do sistema Splunk. |
| observáveis | A lista de observáveis de Trusted Security Circle ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| base_url | URL do endpoint de integração do Splunk. |
| link_base_URL | Link para a interface da web Splunk, quando disponível. |
| origem | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Círculos de segurança confiável ou tarefa de incidente de segurança. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| dias_para_pesquisa | Dias para pesquisar a partir do dia atual. O padrão é 7. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |