Crie registros de configuração de pesquisa de detecções

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Crie vários registros de configuração de pesquisa de detecções e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • As pesquisas salvas e as consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de detecções para invocar pesquisas salvas No armazenamento de logs do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o CIM (Common Information Model, modelo de informação comum) do Splunk.
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de eventos.
    • Design-eficiente e pesquisas eficazes.
    • Use entradas parametrizadas na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra mostradas nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para seu ambiente. Crie configurações de pesquisa salvas adicionais conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida na instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de detecções.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique em Permissões Link para navegar até a página de permissões. Selecione Todos os apps e habilite o. Permissão de leitura opção para Todos . Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva pode não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida em sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Mudança Contexto da aplicação para Todos .

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de detecções contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário de configuração de pesquisa de detecções
    Configuração salva

    Em sua instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - E-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de detecções não gerará um resultado preciso.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e criar um novo registro (consulte a tabela para obter descrições dos campos).
      Tabela 1. Formulário de configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione o armazenamento de log do Splunk como a origem.
      Ativo Opção para o status de pesquisa salvo. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de detecções.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é (observável) , Mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de logs do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de detecções.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de detecções e especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.