>

Anpassen der Weltkarte

Die globale Karte zeigt die Geolokalisierung aller übereinstimmenden IP-Adressen an, wenn Firewall-Protokolle mit einer Liste aufgezeichneter zukünftiger Risiken korreliert werden.

Anpassung an lokale Quellentypen

Es ist möglich, den Quelltyp zu ändern, solange gleichzeitig der Feldname in der Suchanweisung geändert wird.


    sourcetype=netscreen:firewall frühester=-24h
    | eval Name=dst
    | evaluierungszeit=start_time
    | Nachschlagen default_ip_risklist.csv Name OUTPUT Risk, RiskString, EvidenceDetails
    | Suche Risiko != ""
    | eval RiskScore = Risiko
    | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}. Regel")
    | eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}. EvidenceString")
    | Suche Risiko != ""
    | iplocation-Name
    | Felder + Name, Risiko, Breitengrad, Längengrad, Stadt, Land
    | Anzahl der Geostaten: latfield=lat longfield=lon

Die Suche kann an das lokale Setup angepasst werden. Die typischsten Änderungen betreffen die ersten 4 Zeilen der Suche:

  • Der Wert netscreen:firewall sollte mit dem Quelltyp Ihrer Firewall-Protokolle übereinstimmen.
  • Die eval Name=dst-Anweisung sollte mit dem Feldnamen der Ziel-IP-Adresse in Ihren Firewallprotokollen übereinstimmen
  • Die Nachschlage default_ip_risklist.csv sollte mit dem Namen der Risikoliste übereinstimmen, mit der Sie die Firewallprotokolle korrelieren möchten

Anpassen mit einem anderen Karten-Widget

Der Stil der Karte kann durch die Installation zusätzlicher Splunk-Apps mit Visualisierungen, wie z. B. leaflet_maps_app, geändert werden. Klicken Sie im Dashboard auf Bearbeiten :

Schaltfläche "Bearbeiten"

Wählen Sie das neue Design der Karte aus, indem Sie auf die Schaltfläche Visualisierung auswählen klicken:

Visualisierung auswählen

So sieht die Karte innerhalb des Flyer-Themas aus:

Weltkarte mit angewendetem Leaflet-Thema

Dies ist die Standard-Splunk-Karte:

Globale Karte mit dem Standard-Splunk-Design

Aktive Bedrohungen

In der ersten Zeile wird die aktuelle Größe der einzelnen Kategorien der Standard-Risikolisten angezeigt, die wie folgt lauten:

  • IP
  • Domain
  • Hash
  • Schwachstelle
  • URL

Die Karte sortiert die IP-Adressen in der Risikoliste basierend auf dem Standort und zeigt die zehn wichtigsten Länder in einem Kreisdiagramm sowie die zehn wichtigsten Risikoregeln pro Entität an, die am häufigsten durch die korrelierten Ereignisse ausgelöst wurden.

Weitere Hilfe

Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.

Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com