Configurar Splunk Configurações do Enterprise Security
Use Splunk Configurações do Enterprise Security (ES) para modificar as configurações predefinidas e seus valores de acordo com seus requisitos.
Antes de Iniciar
Função necessária: sn_si.ingestion_profile_admin
Nota:
Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.
Procedimento
- Navegar até Tudo > Integração com Splunk ES > Configurações do Splunk ES.
-
No formulário, preencha os campos.
Tabela 1. Configurações do Splunk ES Campo Descrição Impor um limite no número de eventos notáveis que podem ser agregados a um único incidente. Opção para impor um limite no número de eventos notáveis que você deseja agregar a um único incidente. Por padrão, o valor é definido como 100.
Impor um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas. Opção para impor um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas. Por padrão, o valor é definido como 1000.
Impor um limite no número de valores a serem analisados em cada campo recebido Splunk. Opção para impor um limite no número de valores que você deseja analisar para cada campo recebido Splunk. Por padrão, o valor é definido como 1000.
Número de regras de correlação das quais extrair Splunk. Opção para definir o número de regras de correlação das quais recuperar Splunk. Por padrão, o valor é definido como 500.
O parâmetro Tempo de vida útil para Splunk trabalho de pesquisa em segundos. Opção para definir o parâmetro Tempo de vida útil para Splunk pesquise na forma de segundos. Por padrão, o valor é definido como 600.
Número de tipos notáveis para lote em uma pesquisa. Opção para definir o número total de tipos notáveis que você deseja em lote em uma única pesquisa. Por padrão, o valor é definido como 20.
Número de dias para reter o. Splunk pesquisar metadados do trabalho em ServiceNow Opção para definir o número de dias em que você deseja reter os metadados do trabalho de pesquisa do Splunk ServiceNow. Por padrão, o valor é definido como 30.
O caractere delimitador para dividir os valores em mapeamentos de campo. Opção para definir o caractere delimitador para dividir os valores em mapeamentos de campo. Por padrão, o valor é definido como (,).
Número de minutos de sobreposição a serem adicionados ao buscar os eventos de Splunk(Para superar o atraso de indexação do Splunk) Opção para definir o número de minutos de sobreposição a serem adicionados ao recuperar os eventos de Splunk para superar o atraso de indexação de Splunk. Por padrão, o valor é definido como 30.
Extrair eventos notáveis atualizados Opção para recuperar eventos notáveis atualizados. Por padrão, o valor é definido como Não
Ative esta configuração para atualizar o existente Splunk configurações de origem para suporte à autenticação baseada em token. Você deve atualizar a configuração de integração com os detalhes do token depois que essa configuração for habilitada. Opção para atualizar o existente Splunk configuração de origem para suporte à autenticação baseada em token de uma versão existente. Nota:Depois que você fizer upgrade para a nova versão, o campo de token ficará indisponível. Você deve habilitar esta configuração para obter a autenticação baseada em token, após a qual você deve atualizar a configuração de integração com detalhes do token.Por padrão, o valor é definido como Não
Habilite a caixa de seleção para extrair notables encerrados durante a ingestão. Opção para extrair os eventos encerrados para a ServiceNow Splunk Instância ES. Se desmarcado, somente os eventos ativos serão extraídos para a instância. Por padrão, o valor é definido como Não
- Clique em Salvar.