Crie e nomeie um perfil de evento para Splunk Enterprise Event Ingestionintegração
Crie um perfil de evento no Now Platforme determine qual Splunkos alertas criam incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Antes Now Platform Resposta a incidentes de segurança( SIR) incidentes de segurança são criados a partir de alertas ingeridos, os valores de campo dos alertas são exibidos em um layout de Now Platformincidente de segurança para que você possa visualizar como o incidente de segurança real será exibido.
De uma perspectiva de integração usando APIs disponíveis, Splunkos eventos são encaminhados individualmente e manualmente como eventos discretos ou são combinados em alertas acionados que são automaticamente ingeridos no Operações de segurançado seu Now Platforminstância. Os fluxos de trabalho de integração ingerem diferentes tipos de alertas, como tentativas de acesso não autorizado e malware, por exemplo.
Esses alertas são ingeridos com base nos perfis que você configura no Operações de segurançaambiente da sua instância. Inicialmente, todos os alertas são ingeridos para um tipo de alerta configurado em um perfil. Os alertas ingeridos podem ser filtrados ainda mais para especificar quais alertas criam incidentes de segurança. Por exemplo, você pode preferir filtros que criem incidentes de segurança somente para alertas identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de alertas ingeridos, os valores de campo individuais nos alertas filtrados são mapeados para os campos correspondentes em um layout de incidente de segurança para uma visualização.
Nomes de alerta para perfis de evento no Now Platforma instância deve ser exclusiva e só pode ser mapeada para um perfil de evento ativo por vez. Estes são os nomes de alertas acionados que você configurou em Splunkserviço como parte da configuração da integração. Para obter mais informações sobre como configurar alertas no Splunk Enterpriseambiente, consulte Salve pesquisas em Splunk Enterpriseconsole para Splunk Enterprise Event Ingestionintegração.
. Now Platformingere alertas específicos usando os fluxos de trabalho da integração. Todos os alertas que atendem aos critérios de seleção em Splunko console empresarial é inicialmente ingerido em seu Now Platforminstância.
Um perfil no seu Now Platformé um encapsulamento de a. Splunkalerta em Splunkconsole empresarial. Há um relacionamento de um para um entre alertas que são ingeridos com um perfil e conexões com seu Splunkconsole empresarial: um alerta para uma conexão. Há uma única conexão https para um cabeçalho de pesquisa em seu Splunk Enterpriseconsole. Vários alertas podem vir de um único cabeçalho de pesquisa. Se você se conectar a vários cabeçalhos de pesquisa em Splunk Enterprise, você deve criar vários perfis no Now Platforminstância para ingerir esses alertas.
Etapas para criar perfis para ingestão de alertas agendada
Procedimento
O que Fazer Depois
Para perfis de alertas agendados, a próxima etapa é selecionar alertas para ingestão automática.