Zusätzliche Informationen zur Einrichtung auf Splunk ES
Splunk Enterprise Security einrichten
Die App bietet integrierte Unterstützung für Splunk Enterprise Security. Die Unterstützung ist verfügbar, wenn die App zusammen mit Splunk ES auf einem Suchkopf installiert wird.
Erforderliche Schritte zur Verwendung der Splunk ES-Funktionalität
Splunk ES-Unterstützung aktivieren
Wählen Sie im Menü "Aufgezeichnete Zukunft für Splunk" die Option "Konfigurieren" aus. Stellen Sie sicher, dass der Schalter zum Aktivieren der Unterstützung für Splunk ES aktiviert ist.
Erforderliche Konfiguration in Splunk ES
Um den vollen Funktionsumfang von Splunk ES nutzen zu können, müssen einige Konfigurationen in Splunk Enterprise Security vorgenommen werden.
- Klicken Sie in der Menüleiste "Enterprise Security" auf "Einstellungen für → Incident Management → Incident Review konfigurieren".
- Klicken Sie auf die Schaltfläche "Neuen Eintrag hinzufügen" im Abschnitt "Incident Review - Event Attributes". Fügen Sie die folgenden Beschriftungs- und Feldkombinationen hinzu:
| Etikett | Feld |
|---|---|
| RF-Risiko-Score | rf_a_risk |
| RF-ausgelöste Regeln | rf_b_rules |
| RF Sehr bösartige Beweise | rf_evidence_critical |
| Bösartige RF-Beweise | rf_evidence_malicious |
| RF Verdächtige Beweise | rf_evidence_suspicious |
| RF Ungewöhnliche Beweise | rf_evidence_unusual |
- Nach Abschluss der Installation ist ein Neustart der Splunk-Instanz erforderlich.
-
Wenn Sie dies noch nicht getan haben, aktivieren Sie die Enterprise Security-Korrelationssuche mit dem Namen "Bedrohungsaktivität erkannt"
- Klicken Sie in der Menüleiste "Enterprise Security" auf "→ Content Management konfigurieren"
- Geben Sie in der Filterleiste "Bedrohungsaktivität erkannt" ein.
- Klicken Sie auf den Link "Aktivieren", um die Korrelationssuche zu aktivieren
Anreicherung von erkannten Ereignissen
Splunk ES erkennt verdächtige Ereignisse mithilfe des integrierten Threat Intelligence-Frameworks. Recorded Future nutzt das Framework, um verdächtige Ereignisse zu erkennen.
Sobald ein Ereignis erkannt wurde, ist es jedoch notwendig, es anzureichern, um eine effiziente Triage zu ermöglichen. Dies kann auf zwei Arten erfolgen:
- Verwendung gespeicherter Suchen, die Daten aus den Risikolisten von Recorded Future zu den Ereignissen hinzufügt.
- Verwenden der bereitgestellten Adaptive Response-Aktion. Diese Methode führt eine Abfrage an die API von Recorded Future durch, um aktuelle Informationen abzurufen.
Nachfolgend finden Sie eine Anleitung, wie Sie die jeweilige Methode aktivieren können.
Gespeicherte Suchvorgänge zur Durchführung der Anreicherung
Standardmäßig aktiviert die App vier gespeicherte Suchen, die die Anreicherung aller kompatiblen wichtigen Ereignisse durchführen. Im Folgenden finden Sie die Schritte, die erforderlich sind, um zur Adaptive Response-basierten Anreicherung zu wechseln.
Adaptive Response (AR) zur Durchführung der Anreicherung
Um Adaptive Response (AR) zu aktivieren, müssen die folgenden Schritte durchgeführt werden:
-
Deaktivieren Sie die Suchvorgänge, die wichtige Ereignisse bereichern:
- Wechseln Sie zu Konfigurieren → Content Management
- Deaktivieren Sie "RF IP Threat List Search", "RF Domain Threat List Search" und "RF Hash Threat List Search" (leichter zu finden, wenn Sie den App-Filter verwenden, aber nicht notwendig).
-
Klicken Sie auf "Bedrohungsaktivität erkannt", um die Einstellungen zu öffnen.
- Klicken Sie neben "Adaptive Response-Aktion" auf "Neue Response-Aktion hinzufügen".
- Wählen Sie die Aktion "Aufgezeichnete Zukunft" aus
- Behalten Sie die Standardauswahl "Automatisch" bei.
- Klicken Sie auf "Speichern"
Ad-hoc-Aufruf der adaptiven Reaktion
Ad-hoc-Aufrufe von Adaptive Response können vorgenommen werden, z. B. über das Incident Review-Dashboard. Der Benutzer, der die adaptive Reaktion auf diese Weise aufruft, muss über die list_storage_passwords entsprechende Berechtigung verfügen.