Anpassen und Tunen: Makros anpassen

Ein Makro wird in einer Konfigurationsdatei namens macros.conf definiert. in der Regel mit einer Splunk-Anwendung gebündelt. Die meisten Makros, die mit der Recorded Future App für Splunk gebündelt sind, verarbeiten die JSON-Objekte , die von der Recorded Future Connect API zurückgegeben werden.

Beispielsweise muss das Makro mit dem Namen "rf_hits" möglicherweise geändert werden, damit die Korrelationen in den Korrelationsdashboards funktionieren. (was auch immer in der vierten Zeile angegeben ist)

    [rf_hits(1)]
    args = Infield
    definition = dedupliziert $infield$ \
    | Nachschlagen rf_ip_threatfeed Namens als $infield$ OUTPUT Name als RF_Hit, Risk, RiskString, EvidenceDetails \
    | Suche RF_Hit=* \
    | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}. Regel") \
    | eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}. EvidenceString")
    iseval = 0

Weitere Hilfe

Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.

Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com