Configuration du complément TISC dans Splunk

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Suivez la procédure ci-dessous pour configurer l’application.

    Avant de commencer

    Rôle requis : administrateur Splunk

    Pourquoi et quand exécuter cette tâche

    La procédure ci-dessous décrit la configuration du module complémentaire TISC dans Splunk.

    Procédure

    1. Recherchez Centre de sécurité des renseignements sur les menaces pour l’application Splunk dans le volet de navigation de gauche.
    2. Cliquez sur Configurer dans la colonne Actions .
      La page Configuration s’affiche et vous pouvez configurer votre ServiceNow compte TISC.
    3. Sélectionnez Ajouter.
    4. Renseignez les champs du formulaire.
      Champ Description
      Ajouter des comptes
      Nom Nom unique pour le compte.
      Nom d'utilisateur Indiquez le nom d’utilisateur de votre ServiceNow compte. Vous pouvez utiliser le même nom d’utilisateur que celui utilisé pour les utilisateurs qui est créé lors de la création du rôle sn_sec_tisc.api_obs_read_access dans l’étape ci-dessus.
      Mot de passe Fournissez le ServiceNow mot de passe du compte.
      URL de l'instance Indiquez l’adresse URL de l’instance ServiceNow .
    5. Cliquez sur Ajouter.
      Le ServiceNow compte d’instance Splunkest ajouté au .
    6. Accédez à la page Entrées pour créer des collections, gérez vos entrées de données pour votre ServiceNow compte.
    7. Cliquez sur Créer une entrée.
      La boîte de dialogue Ajouter une entrée s’affiche pour vous permettre d’ajouter les entrées à votre ServiceNow compte.

      Une fois le jeu d’entrées défini, l’application envoie les informations à l’instance TISC pour récupérer un nombre spécifique d’observables qui répondent aux critères.

    8. Renseignez les détails de l’entrée, le cas échéant.
      Champ Description
      Nom Un nom unique pour votre entrée. Par exemple, la liste d’adresses IP malveillantes.
      Compte Indiquez le nom d’utilisateur de votre ServiceNow compte. Vous pouvez utiliser le même nom d’utilisateur que celui utilisé pour les utilisateurs créés avec le rôle sn_sec_tisc.api_obs_read_access dans l’étape ci-dessus.
      Intervalle Définissez l’intervalle de temps en secondes pour récupérer les données à partir de TISC.
      Période d’expiration (en jours) Option permettant de définir la période d’expiration en jours.
      Remarque :
      La date de péremption de l’échantillon est fixée à 30 jours. Par exemple, lorsque des données sont extraites à une date spécifique, un ensemble de 10 000 enregistrements peut être récupéré. Ces enregistrements seront stockés dans le magasin KV (clé-valeur) au sein de Splunk. À compter de la date d’ingestion, les enregistrements sont conservés pendant 30 jours. Le 31e jour, ils seront automatiquement supprimés de la boutique KV.
      N’expire jamais Choisissez cette option si vous ne souhaitez pas faire expirer les enregistrements ingérés.
      Filtres Définissez les conditions selon lesquelles les données à importer seront filtrées.

      Pour définir les conditions de filtre, vous pouvez définir les critères en fonction des champs tels que le score de menace, le niveau de fiabilité et le type.

      Pour les conditions de filtre simples, vous pouvez utiliser cette option de filtrage. Toutefois, si les conditions de filtre sont plus complexes et pour tout filtrage avancé, vous pouvez choisir d’ajouter des filtres JSON.
      • Les opérateurs de nombre entier autorisés sont :

        "=", "!=", ">", "<", ">=", "<="

      • Les opérateurs de chaîne autorisés sont les suivants :

        « = », « != », « IN »

      Vous trouverez ci-dessous un exemple de filtre simple :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Les filtres basés sur JSON vous permettent de définir des conditions plus complexes. L’état de l’objet JSON doit être actif.

      Cochez la case Filtres JSON pour passer à des filtres avancés où un JSON peut être utilisé pour appliquer une condition de filtre.

      Exemple de filtre avancé :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Remarque :
      Les comptes sont actifs par défaut, mais les entrées sont inactives par défaut, vous devez les activer pour commencer à importer les données. Pour connaître les filtres possibles, reportez-vous à Observable_filters section dans Ajoute des enregistrements sources observables à l’application Centre de sécurité des renseignements sur les menaces (TISC).
    9. Cliquez sur Ajouter pour ajouter les entrées.
    10. Cliquez sur Cloner ou copier pour copier et créer un compte basé sur le compte existant.
      Assurez-vous que l’entrée est désactivée avant le clonage pour éviter de créer des entrées en double lors de l’importation de données à l’aide des mêmes critères.
    11. Une fois les données extraites, les informations suivantes sont récupérées et stockées dans le magasin KV à l’intérieur Splunk , avec les enregistrements extraits de TISC :
      Champ Description
      Score de menace Score indiquant le niveau de menace associé à un enregistrement.
      Fiabilité Indique le niveau de fiabilité associé à l’exactitude du score de menace.
      Période d’expiration Durée pendant laquelle l’enregistrement est valide dans l’application avant son expiration.
      Niveau de menace Indique le niveau de gravité de la menace.
      Réputation Indique la réputation de l’entité impliquée.
      Mis à jour par Fournit les informations sur la personne qui a mis à jour l’enregistrement pour la dernière fois.
      Heure de mise à jour Indique l’horodatage de dernière mise à jour de l’enregistrement.
      Heure de création Indique l’heure de création de l’enregistrement.
      Days_till_expiry Indique le nombre de jours après lesquels l’enregistrement sera supprimé de la boutique KV.
      Source_reported_score Score source rapporté par TISC.
      Sys_id ID système de l’enregistrement qui passe par TISC.
      Gravité de la menace Indique la gravité de menace de l’observable.
      Valeur Valeur de l’enregistrement. Par exemple, IP, hachage, etc.

      Ces champs, ainsi que tous les autres définis par vos critères, seront disponibles dans Splunk et peuvent être consultés, recherchés et analysés via l’onglet de recherche.