[Dies gilt für v4.0.x der Recorded Future App für Splunk Enterprise]

Laden Sie die App herunter

Die neueste Version der Recorded Future-App für Splunk Enterprise ist auf splunkbase verfügbar.

Ersteinrichtung der App

Sobald die App auf dem Splunk-Server installiert wurde, erfolgt die Ersteinrichtung der App unter Configuration->Global configuration.

Die Konfigurationsansicht verfügt über drei Bereiche: Proxy, Protokollierung und Add-On-Einstellungen.

Um den API-Schlüssel, die Proxy-Einstellungen und die API-URL in der Splunk-App sehen und konfigurieren zu können, benötigt der Benutzer die Funktion "list_storage_passwords". Um den Protokollierungsgrad ändern zu können, benötigt der Benutzer die Fähigkeit 'admin_all_objects'.

Der API-Schlüssel muss im Bereich Add-On-Einstellungen konfiguriert werden, damit die App funktioniert.

Stellvertreter

Wenn der Splunk-Server einen Proxy verwendet, um auf das Internet zuzugreifen, sollte dies hier konfiguriert werden. Wenn kein Proxy verwendet wird, lassen Sie das Kontrollkästchen Aktiviert deaktiviert.

Host und Port müssen immer gesetzt werden. Wenn der Proxy eine Authentifizierung erfordert, sollten hier der Benutzername und das Passwort festgelegt werden. Wenn die Authentifizierung nicht verwendet wird, sollten diese Felder leer gelassen werden.

Protokollierung

Wenn eine zusätzliche Protokollierung erforderlich ist, ist es möglich, die Protokollebene hier anzupassen.

Die empfohlene Protokollebene ist INFO.

Die Integration wird im Standard-Splunk-Protokollverzeichnis ($SPLUNK_HOME/var/log/splunk) protokolliert. Die folgenden Protokolldateien werden erstellt (je nach App-Konfiguration und -Nutzung sind möglicherweise nicht alle vorhanden):

• ta_recordedfuture_cyber_recorded_future_risk_list.log
• ta_recordedfuture_cyber_recorded_future_alerts.log
• ta_recordedfuture_cyber_rest.log

Die in diesen Dateien protokollierten Ereignisse können entweder als Dateien auf dem Splunk-Server oder über die Splunk-GUI angezeigt werden.

Beispiel für eine Suche:

index=_* source="/opt/splunk/var/log/splunk/ta_recordedfuture_cyber_recorded_future_alerts.log"

Add-on-Einstellungen

Der für den ordnungsgemäßen Betrieb der App erforderliche API-Schlüssel für die aufgezeichnete Zukunft wird in das Feld API-Schlüssel eingegeben.

In einigen seltenen Situationen kann es notwendig sein, die URL der Recorded Future API zu ändern. Wenn Sie vom Recorded Future-Support dazu aufgefordert werden, sollte die URL in das Feld Recorded Future Api-URL eingegeben werden.

Weitere Hilfe

Ihr Berater von Recorded Future Intelligence Services steht Ihnen gerne bei weiteren Fragen und Ratschlägen zur Verfügung.  Wenn Sie nicht wissen, wer das ist, können Sie sich auch an [email protected] wenden.

Bitte wenden Sie sich nicht an den Splunk-Support bezüglich "Recorded Future for Splunk Enterprise".