Zusätzliche Informationen zur Einrichtung auf Splunk ES

Splunk Enterprise Security einrichten

The app has built-in support for Splunk Enterprise Security. The support is available when the app is installed on a search head together with Splunk ES.

Erforderliche Schritte zur Verwendung der Splunk ES-Funktionalität

Splunk ES-Unterstützung aktivieren

In the Recorded Future for Splunk menu, select Configure. Ensure that the switch to enable support for Splunk ES is enabled.

Erforderliche Konfiguration in Splunk ES

To be able to use the full features of Splunk ES functionality, some configuration has to be done in Splunk Enterprise Security.

  • In the Enterprise Security menu bar, click Configure → Incident Management → Incident Review Settings.
  • Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field Combinations:
Etikett Feld
RF-Risiko-Score rf_a_risk
RF-ausgelöste Regeln rf_b_rules
RF Sehr bösartige Beweise rf_evidence_critical
Bösartige RF-Beweise rf_evidence_malicious
RF Verdächtige Beweise rf_evidence_suspicious
RF Ungewöhnliche Beweise rf_evidence_unusual
  • A restart of the Splunk instance will be required once the installation has completed.
  • If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"
    1. Klicken Sie in der Menüleiste "Enterprise Security" auf "→ Content Management konfigurieren"
    2. Geben Sie in der Filterleiste "Bedrohungsaktivität erkannt" ein.
    3. Klicken Sie auf den Link "Aktivieren", um die Korrelationssuche zu aktivieren

Anreicherung von erkannten Ereignissen

Splunk ES detects suspicious events using it's built-in Threat Intelligence framework. Recorded Future leverages the framework to perform detection of suspicious events.

Once an event has been detected it is however necessary to enrich it to make triage efficient. This can be done in two ways:

  1. Using saved searches which adds data from Recorded Future's Risk Lists to the events.
  2. Using the provided Adaptive Response action. This method makes a query to Recorded Future's API to fetch up-to-date information.

Nachfolgend finden Sie eine Anleitung, wie Sie die jeweilige Methode aktivieren können.

Gespeicherte Suchvorgänge zur Durchführung der Anreicherung

By default the app will enable four saved searches that will perform the enrichment of any compatible notable events. See below for the steps needed to switch to Adaptive Response based Enrichment.

Adaptive Response (AR) zur Durchführung der Anreicherung

Um Adaptive Response (AR) zu aktivieren, müssen die folgenden Schritte durchgeführt werden:

  • Deaktivieren Sie die Suchvorgänge, die wichtige Ereignisse bereichern:
    1. Wechseln Sie zu Konfigurieren → Content Management
    2. Disable "RF IP Threatlist Search", "RF Domain Threatlist Search" and "RF Hash Threatlist Search" (easier to find if you use the app filter, but not necessary).
  • Klicken Sie auf "Bedrohungsaktivität erkannt", um die Einstellungen zu öffnen.
    1. Klicken Sie neben "Adaptive Response-Aktion" auf "Neue Response-Aktion hinzufügen".
    2. Wählen Sie die Aktion "Aufgezeichnete Zukunft" aus
    3. Behalten Sie die Standardauswahl "Automatisch" bei.
  • Klicken Sie auf "Speichern"

Ad-hoc-Aufruf der adaptiven Reaktion

Ad-hoc-Aufrufe von Adaptive Response können vorgenommen werden, z. B. über das Incident Review-Dashboard. Der Benutzer, der die adaptive Reaktion auf diese Weise aufruft, muss über die list_storage_passwords entsprechende Berechtigung verfügen.