Zusätzliche Informationen zur Einrichtung auf Splunk ES
Splunk Enterprise Security einrichten
The app has built-in support for Splunk Enterprise Security. The support is available when the app is installed on a search head together with Splunk ES.
Erforderliche Schritte zur Verwendung der Splunk ES-Funktionalität
Splunk ES-Unterstützung aktivieren
In the Recorded Future for Splunk menu, select Configure. Ensure that the switch to enable support for Splunk ES is enabled.
Erforderliche Konfiguration in Splunk ES
To be able to use the full features of Splunk ES functionality, some configuration has to be done in Splunk Enterprise Security.
- In the Enterprise Security menu bar, click Configure → Incident Management → Incident Review Settings.
- Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field Combinations:
| Etikett | Feld |
|---|---|
| RF-Risiko-Score | rf_a_risk |
| RF-ausgelöste Regeln | rf_b_rules |
| RF Sehr bösartige Beweise | rf_evidence_critical |
| Bösartige RF-Beweise | rf_evidence_malicious |
| RF Verdächtige Beweise | rf_evidence_suspicious |
| RF Ungewöhnliche Beweise | rf_evidence_unusual |
- A restart of the Splunk instance will be required once the installation has completed.
-
If you haven't already done so, enable the Enterprise Security correlation
search called "Threat Activity Detected"
- Klicken Sie in der Menüleiste "Enterprise Security" auf "→ Content Management konfigurieren"
- Geben Sie in der Filterleiste "Bedrohungsaktivität erkannt" ein.
- Klicken Sie auf den Link "Aktivieren", um die Korrelationssuche zu aktivieren
Anreicherung von erkannten Ereignissen
Splunk ES detects suspicious events using it's built-in Threat Intelligence framework. Recorded Future leverages the framework to perform detection of suspicious events.
Once an event has been detected it is however necessary to enrich it to make triage efficient. This can be done in two ways:
- Using saved searches which adds data from Recorded Future's Risk Lists to the events.
- Using the provided Adaptive Response action. This method makes a query to Recorded Future's API to fetch up-to-date information.
Nachfolgend finden Sie eine Anleitung, wie Sie die jeweilige Methode aktivieren können.
Gespeicherte Suchvorgänge zur Durchführung der Anreicherung
By default the app will enable four saved searches that will perform the enrichment of any compatible notable events. See below for the steps needed to switch to Adaptive Response based Enrichment.
Adaptive Response (AR) zur Durchführung der Anreicherung
Um Adaptive Response (AR) zu aktivieren, müssen die folgenden Schritte durchgeführt werden:
-
Deaktivieren Sie die Suchvorgänge, die wichtige Ereignisse bereichern:
- Wechseln Sie zu Konfigurieren → Content Management
- Disable "RF IP Threatlist Search", "RF Domain Threatlist Search" and "RF Hash Threatlist Search" (easier to find if you use the app filter, but not necessary).
-
Klicken Sie auf "Bedrohungsaktivität erkannt", um die Einstellungen zu öffnen.
- Klicken Sie neben "Adaptive Response-Aktion" auf "Neue Response-Aktion hinzufügen".
- Wählen Sie die Aktion "Aufgezeichnete Zukunft" aus
- Behalten Sie die Standardauswahl "Automatisch" bei.
- Klicken Sie auf "Speichern"
Ad-hoc-Aufruf der adaptiven Reaktion
Ad-hoc-Aufrufe von Adaptive Response können vorgenommen werden, z. B. über das Incident Review-Dashboard. Der Benutzer, der die adaptive Reaktion auf diese Weise aufruft, muss über die list_storage_passwords entsprechende Berechtigung verfügen.