Criar registros de configuração de pesquisa de detecções

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Crie vários registros de configuração de pesquisa de detecções e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de detecções para invocar pesquisas salvas no armazenamento de log do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o Splunk Common Information Model (CIM).
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinem vários registros de eventos.
    • Pesquisas eficazes e com design eficiente.
    • Use entradas com parâmetros na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de exemplo, conforme mostrado nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para o seu ambiente. Crie configurações adicionais de pesquisa salva conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida em sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de detecções.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique no link Permissões para navegar até a página Permissões. Selecione o botão de opção Todos os aplicativos e habilite a opção Permissão de leitura para Todos. Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se não estiver definido, a consulta de pesquisa salva poderá não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida na sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Mude o contexto da aplicação para Todos.

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de detecções contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário Configuração de pesquisa de detecções
    Configuração salva

    Na instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - e-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de detecções não gerará resultados precisos.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e crie um novo registro (consulte a tabela para obter as descrições dos campos).
      Tabela 1. Formulário Configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione o armazenamento de log do Splunk como a origem.
      Ativo Opção para o status de pesquisa salva. Somente configurações de pesquisa ativa podem ser usadas para executar uma pesquisa de detecções.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é $(observable), mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de log do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de detecções.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de detecçõese especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.