>

Anpassen und Tunen: Dashboards anpassen

Dashboard-Änderungen

Einige der aufgezeichneten Zukunfts-Dashboards, wie z. B. das Korrelations-Dashboard, können leicht geändert werden. Es wird empfohlen, die Änderungen an einem Klon eines vorhandenen Dashboards vorzunehmen und die Standard-Dashboards unverändert zu lassen.

Der häufigste Grund für Änderungen ist die Verwendung unterschiedlicher Daten für die Korrelationssuche, daher wird sie im Folgenden ausführlich beschrieben.

Klonen eines Dashboards

Klicken Sie in der oberen rechten Ecke auf ... und wählen Sie Klonen aus, um das aktuelle Dashboard zu klonen.

Menü "Klonen"

Geben Sie den neuen Titel und Namen des Dashboards ein.

Dashboard klonen

Wenn die Option Privat ausgewählt ist, ist das neue Dashboard nur für den aktuellen Benutzer zugänglich. Klicken Sie auf Dashboard klonen und dann auf Ansicht , um das neue Dashboard anzuzeigen. Klicken Sie auf Bearbeiten , um Ihre Änderungen hinzuzufügen.

Customizing

Klicken Sie auf die Schaltfläche Quelle , um die Quelle anzuzeigen
XML für das Dashboard. Beachten Sie die folgenden drei Felder, sourcetype, Name und risklist, die in der folgenden Abbildung hervorgehoben sind:

Sourcetype und Nachschlagetabelle
  • sourcetype wählt den Quelltyp der Protokolle aus, die auf dem Splunk-Server gespeichert sind.
  • Name gibt den Namen des Felds an, das zum Korrelieren von Daten verwendet werden soll. Der Screenshot zeigt ein Dashboard mit dem Feld "dst", das normalerweise die Ziel-IP-Adresse im Protokoll enthält.
  • inputlookup gibt den Namen der Nachschlagetabelle an, mit der die Daten korreliert werden sollen, in der Regel eine Risikoliste, die im Abschnitt inputs der Recorded Future App for Splunk konfiguriert ist.

In diesem Beispiel ist sie auf "ip_risklist.csv" gesetzt.

Splunk Explorer-Dashboard. ist eine einfache Möglichkeit, verschiedene Alternativen zu testen, um Splunk-Ereignisdaten mit Risikolisten zu korrelieren.

Datenstruktur
Die IP-Risikoliste hat das folgende Format


Name,Risiko,RiskString,EvidenceDetails
46.18.32.101,66.0,2/47,"{""EvidenceDetails"":[{""Timestamp"":""2016-11-02T16:26:00.000Z"",
""Kritikalität"":1,""Regel"":"Historische Blacklist mit mehreren Kategorien"",""CriticalityLabel"":"
"Ungewöhnlich"",""EvidenceString"":""1 Sichtung auf 1 Quelle: hpHosts Neueste Ergänzungen. Höchst 
letzter Link (2. November 2016): hxxp://hosts-file.net/?s=doggytalk.be"",""MitigationString"":""""},
{""Timestamp"":""2018-04-15T12:34:28.869Z"",""Criticality"":3,""Rule"":""Phishing Gastgeber"",
""CriticalityLabel"":""Malicious"",""EvidenceString"":""1 Sichtung auf 1 Quelle: PhishTank: 
Phishing-Berichte (verifiziertes Phishing). IP-Adresse, die als Host von 1 aktivem Phishing gemeldet wurde 
URL: hxxp://letiz.be/uploads/bnz.html."",""MitigationString"":""""}]} "

Das Format ist eine Standard-CSV-Datei und das Feld, das für Korrelationen verwendet wird, heißt "Name", was für alle standardmäßigen aufgezeichneten zukünftigen Risikolisten gleich ist.

Unter der Annahme, dass der Ereignisquellentyp den Namen "dest" anstelle von "dst" für das Feld mit IP-Adressen hat, muss die Zeile "eval Name=dst" in "eval Name=dest" aktualisiert werden, um dies widerzuspiegeln. Weitere Änderungen können erforderlich sein, wenn die benutzerdefinierte Risikoliste einen anderen Namen für das Feld verwendet, das für die Korrelation verwendet wird, sodass alle Untersuchen im Dashboard ebenfalls geändert werden müssen, um den neuen Feldnamen zu verwenden.

Gesucht nach geänderten Dashboards

Dashboards werden unter Weitere → Dashboards angezeigt. Die Ansicht zeigt alle Dashboards für alle Add-ons in Splunk an, kann jedoch so eingeschränkt werden, dass nur Dashboards angezeigt werden, die sich auf die Recorded Future-App beziehen, indem Sie auf Diese App klicken.

Weitere Hilfe

Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.

Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com