Crie e nomeie um perfil de evento para Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 8 min. de leitura
  • Crie um perfil de evento no Now Platforme determine qual Splunkos alertas criam incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Antes Now Platform Resposta a incidentes de segurança( SIR) incidentes de segurança são criados a partir de alertas ingeridos, os valores de campo dos alertas são exibidos em um layout de Now Platformincidente de segurança para que você possa visualizar como o incidente de segurança real será exibido.

    De uma perspectiva de integração usando APIs disponíveis, Splunkos eventos são encaminhados individualmente e manualmente como eventos discretos ou são combinados em alertas acionados que são automaticamente ingeridos no Operações de segurançado seu Now Platforminstância. Os fluxos de trabalho de integração ingerem diferentes tipos de alertas, como tentativas de acesso não autorizado e malware, por exemplo.

    Esses alertas são ingeridos com base nos perfis que você configura no Operações de segurançaambiente da sua instância. Inicialmente, todos os alertas são ingeridos para um tipo de alerta configurado em um perfil. Os alertas ingeridos podem ser filtrados ainda mais para especificar quais alertas criam incidentes de segurança. Por exemplo, você pode preferir filtros que criem incidentes de segurança somente para alertas identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de alertas ingeridos, os valores de campo individuais nos alertas filtrados são mapeados para os campos correspondentes em um layout de incidente de segurança para uma visualização.

    Nomes de alerta para perfis de evento no Now Platforma instância deve ser exclusiva e só pode ser mapeada para um perfil de evento ativo por vez. Estes são os nomes de alertas acionados que você configurou em Splunkserviço como parte da configuração da integração. Para obter mais informações sobre como configurar alertas no Splunk Enterpriseambiente, consulte Salve pesquisas em Splunk Enterpriseconsole para Splunk Enterprise Event Ingestionintegração.

    . Now Platformingere alertas específicos usando os fluxos de trabalho da integração. Todos os alertas que atendem aos critérios de seleção em Splunko console empresarial é inicialmente ingerido em seu Now Platforminstância.

    Um perfil no seu Now Platformé um encapsulamento de a. Splunkalerta em Splunkconsole empresarial. Há um relacionamento de um para um entre alertas que são ingeridos com um perfil e conexões com seu Splunkconsole empresarial: um alerta para uma conexão. Há uma única conexão https para um cabeçalho de pesquisa em seu Splunk Enterpriseconsole. Vários alertas podem vir de um único cabeçalho de pesquisa. Se você se conectar a vários cabeçalhos de pesquisa em Splunk Enterprise, você deve criar vários perfis no Now Platforminstância para ingerir esses alertas.

    Etapas para criar perfis para ingestão de alertas agendada

    Procedimento

    1. Para criar um perfil de evento para um alerta, no seu Now Platforminstância, navegue até Splunk Integration > Perfil de evento do Splunk.
    2. . SplunkO formulário Perfil de evento não é exibido, clique em Nome Na barra de andamento.
    3. Clique em Nova.
    4. Preencha os campos.

      Um exemplo de um formulário preenchido segue a tabela.

      Tabela 1.
      Campo Descrição
      Nome Nome exclusivo do perfil. Se os nomes não forem exclusivos, nomes de perfil duplicados não serão salvos.

      Nomes de perfil em seu Now Platforma instância deve ser exclusiva.

      Ativo A caixa de seleção está desmarcada por padrão.

      A opção Ativo está desabilitada e não está disponível para seleção até que você conclua todas as etapas de configuração do perfil e clique em Concluir .

      Tipo Selecione o tipo de perfil na lista de seleção.
      • Ingestão de alerta agendada - Este tipo de perfil oferece suporte a alertas acionados que são ingeridos em uma programação que você configura. Preencha os campos e clique em Continuar Para prosseguir para a etapa Seleção de alerta do perfil.
      • Encaminhamento manual de eventos - Este tipo de perfil oferece suporte a eventos individuais que são encaminhados manualmente do seu Splunk Enterpriseconsole sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
      Tipo de Origem Splunk término do servidor ou da pesquisa que você configurou para ingerir alertas. Se você tiver vários Splunkservidores configurados, selecione o servidor apropriado para os tipos de alerta que você planeja ingerir para o perfil. Você deve inserir um valor.
      Ordem O padrão é 100. Deixe esta configuração como padrão.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.

      (Opcional) Descrição Texto para ajudar você a distinguir este perfil de outros perfis.

      A figura a seguir é um exemplo de um formulário preenchido para um alerta agendado.

      Formulário de nome de perfil preenchido para um alerta agendado.
    5. Para um perfil com um alerta agendado, escolha uma opção para continuar com a configuração do perfil.
      OpçãoDescrição
      Continuar Salve o perfil e o andamento na etapa Seleção de alerta.
      Atualizar Salve as atualizações neste perfil e retorne para SplunkLista de perfis de evento.
      Salvar Salve este perfil e permaneça na página.
      Excluir Exclua este registro de perfil e retorne para SplunkLista de perfis de evento.
      Etapas para criar perfis para encaminhamento manual de eventos
    6. Para criar um perfil compatível com o encaminhamento manual de eventos, siga estas etapas.

      Para eventos que você encaminha sob demanda do Splunkconsole empresarial, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos que você encaminha manualmente não são agendados no perfil de evento.

      1. Se ainda não estiver selecionado, na lista de seleção do campo Tipo, selecione Encaminhamento manual de eventos .
      2. No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.

        Consulte as figuras e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.

        Figura 1. Criar nova opção de mapeamento de campo
        Campo de opção de mapeamento realçado.
        Tabela 2. Opção Criar novo mapeamento de campo
        Opção ou campo Descrição
        Criar nova opção de mapeamento de campo Novo mapeamento de campo para seu evento.

        Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.

        Perfil padrão

        Perfil de encaminhamento de eventos padrão para todos Splunkeventos. O padrão é limpo (desabilitado).

        Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é o único perfil ativo e usado para cada Splunkmapeamento de campo de evento para a. SIRincidente de segurança. Um perfil se encaixa em todos os eventos encaminhados.

        O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.

        Tipo de origem

        Splunk servidor.

        Este campo não estará disponível se a opção de perfil padrão estiver habilitada.

        Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base em Splunktipo de origem.

        Se você quiser gerenciar eventos de log de firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes Splunktipos de origem, você pode criar perfis de evento diferentes com base nos tipos de origem para atender a esse requisito.

        Ordem O padrão é 100. Deixe esta configuração como padrão.

        Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.

        (Opcional) Descrição Texto para ajudar você a distinguir este perfil de outros perfis.

        Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.

        Para obter um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.

        Figura 2. Selecione o perfil existente para a opção de mapeamento de campo
        Ícone de pesquisa realçado para copiar opção de mapeamento existente.
        Tabela 3. Selecione o perfil existente para a opção de mapeamento de campo
        Opção ou campo Descrição
        Selecionar o perfil existente para mapeamento de campo Um mapeamento de campo existente para o seu evento.

        O campo Copiar do perfil é exibido.

        Siga estas etapas para copiar um mapeamento de campo existente para este perfil.

        1. À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa.
        2. Em SplunkLista de perfis de evento exibida, clique no nome do perfil que tem o mapa que você deseja copiar.

          O nome do perfil é exibido no campo Copiar do perfil.

        Perfil padrão

        Perfil de encaminhamento de eventos padrão para todos Splunkeventos. O padrão é limpo (desabilitado).

        Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é o único perfil ativo. É usado para cada Splunkmapeamento de campo de evento para a. SIRincidente de segurança. Um perfil se encaixa em todos os eventos encaminhados.

        O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.

        Tipo de origem

        Splunk servidor.

        Este campo não estará disponível se a opção de perfil padrão estiver selecionada.

        Se disponível, a opção Tipo de origem permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base em Splunktipo de origem.

        Se você quiser gerenciar eventos de log de firewall de forma diferente dos eventos de detecção de endpoint, e eles tiverem diferentes Splunktipos de origem, você pode criar perfis de evento diferentes com base nos tipos de origem para atender a esse requisito.

        Ordem O padrão é 100. Deixe esta configuração como padrão.

        Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.

        (Opcional) Descrição Texto para ajudar você a distinguir este perfil de outros perfis.

        Na parte inferior do formulário para selecionar um mapeamento existente para seu perfil, clique em Concluir para concluir a configuração do perfil.

    O que Fazer Depois

    Você concluiu com sucesso as etapas para criar perfis para alertas agendados e encaminhamento manual de eventos. Para perfis para encaminhamento manual de eventos, você concluiu a configuração do perfil. A próxima etapa é carregar dados de anexo na etapa de mapeamento.

    Para perfis de alertas agendados, a próxima etapa é selecionar alertas para ingestão automática.