Configurar SplunkConfigurações de segurança empresarial

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use o. SplunkSegurança empresarial (ES) para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. Navegar até Tudo > Integração com Splunk ES > Configurações do Splunk ES.
    2. No formulário, preencha os campos.
      Tabela 1. Configurações do Splunk ES
      Campo Descrição
      Imponha um limite no número de eventos notáveis que podem ser agregados a um único incidente. Opção para impor um limite no número de eventos notáveis que você deseja agregar a um único incidente.

      Por padrão, o valor é definido como 100.
      Imponha um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas. Opção para impor um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas.

      Por padrão, o valor é definido como 1000.
      Imponha um limite no número de valores a serem analisados em cada campo recebido de Splunk. Opção para impor um limite no número de valores que você deseja analisar para cada campo recebido de Splunk.

      Por padrão, o valor é definido como 1000.
      Número de regras de correlação das quais extrair Splunk. Opção para definir o número de regras de correlação das quais recuperar Splunk.

      Por padrão, o valor é definido como 500.
      O parâmetro Tempo de vida útil para Splunktrabalho de pesquisa em segundos. Opção para definir o parâmetro Tempo de vida útil para Splunkpesquisa em forma de segundos.

      Por padrão, o valor é definido como 600.
      Número de tipos notáveis para lote em uma pesquisa. Opção para definir o número total de tipos notáveis que você deseja em lote em uma única pesquisa.

      Por padrão, o valor é definido como 20.
      Número de dias para reter o. Splunkpesquisar metadados do trabalho em ServiceNow Opção para definir o número de dias em que você deseja manter os metadados do trabalho de pesquisa do Splunk ServiceNow.

      Por padrão, o valor é definido como 30.
      O caractere delimitador para dividir os valores nos mapeamentos de campo. Opção para definir o caractere delimitador para dividir os valores em mapeamentos de campo.

      Por padrão, o valor é definido como (,).
      Número de minutos de sobreposição a serem adicionados ao buscar os eventos de Splunk(Para superar o atraso de indexação do Splunk) Opção para definir o número de minutos de sobreposição a serem adicionados ao recuperar os eventos de Splunkpara superar o atraso de indexação de Splunk.

      Por padrão, o valor é definido como 30.
      Extrair eventos notáveis atualizados Opção para recuperar eventos notáveis atualizados.

      Por padrão, o valor é definido como Não
      Ative esta configuração para atualizar o existente Splunkconfigurações de origem para suporte à autenticação baseada em token. Você deve atualizar a configuração de integração com os detalhes do token depois que esta configuração for habilitada. Opção para atualizar existente Splunksuporte à configuração de origem para autenticação baseada em token de uma versão existente.
      Nota:
      Depois que você fizer upgrade para a nova versão, o campo de token ficará indisponível. Você deve habilitar esta configuração para obter a autenticação baseada em token, após a qual você deve atualizar a configuração de integração com detalhes do token.

      Por padrão, o valor é definido como Não
    3. Clique em Salvar.