Installation und Konfiguration des Splunk ES TA

Installation und Konfiguration

Installation

Um dieses Add-on zu installieren, führen Sie die folgenden Schritte aus:

  1. Laden Sie die neueste TA-Version von Splunkbaseherunter

  2. In Splunk, select "Manage Apps" from the drop-down menu next to the Splunk logo on the upper left of the screen

  3. Wählen Sie "App aus Datei installieren"

  4. Browse to the location of the TA-recorded_future.spl file, select it and upload. Restart Splunk when prompted to do so.

  5. Go back to "Manage Apps". Locate "Splunk ES Add-on for Recorded Future" in the list and run "Set up".

  6. In the Enterprise Security menu bar, click Configure -> Incident Management -> Incident Review Settings.

  7. Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field combinations:

    Etikett Feld
    RF-Risiko-Score rf_a_risk
    RF-ausgelöste Regeln rf_b_rules
    RF Sehr bösartige Beweise rf_evidence_critical
    Bösartige RF-Beweise rf_evidence_malicious
    RF Verdächtige Beweise rf_evidence_suspicious
    RF Ungewöhnliche Beweise rf_evidence_unusual

  8. A restart of the Splunk instance will be required once the installation has completed.

  9. If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"

    1. In the Enterprise Security menu bar, click Configure -> Content Management
    2. Geben Sie in der Filterleiste "Bedrohungsaktivität erkannt" ein.
    3. Klicken Sie auf den Link "Aktivieren", um die Korrelationssuche zu aktivieren

  10. Optionally, create a post install verification report. Run the "Validate app deployment" report. It will perform a number of tests, none of which should yield an error.

    1. Gehen Sie zu Dashboards, Berichte... -> Berichte.
    2. Führen Sie App-Bereitstellung überprüfen aus.

Alternatively, you can download the Add-on using the Splunk Web interface's "Find more apps online" feature. Steps 5 and onwards above must still be completed.

Konfiguration

After installation, you will need to set up the Add-on for Recorded Future to communicate with the Recorded Future API.

  1. Gehen Sie zu Konfiguration -> Konfiguration.
  2. Wählen Sie die Registerkarte Add-on-Einstellungen aus.
  3. Geben Sie den API-Schlüssel ein.
  4. Überprüfen Sie die anderen Registerkarten, wenn eine zusätzliche Konfiguration erforderlich ist.

Upgrading from previous versions

The setup needs to be run after the upgrade. The API key (previously called token in our documentation) will not carry over from the old configuration. The same goes for proxy and loglevel configurations.

Upgrade from 3.x versions

Due to the extent of the changes between version 2 and 3 of the app we recommend that you remove the app directory ($SPLUNK_HOME/etc/apps/TA-recorded_future) and make a fresh install of the app.

Wenn dies nicht möglich ist, befolgen Sie die folgenden Anweisungen.

Files and directories that can be removed

The following files and directories can be removed since they are not used anymore:

Aus dem Ordner bin: 

Zukunft
libfuturize
Vergangenheit
Aufforderungen
rf_integrations
rf_splunk
RFAPI
Splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py

Aus dem lokalen Ordner (falls vorhanden): 

commands.conf

Aus dem Ordner local/data/ui/nav (falls vorhanden): 

default.xml

Files that must be reviewed

Jede Datei im lokalen Ordner ist das Ergebnis einer lokalen Konfiguration. Diese haben Vorrang vor den neuen Einstellungen, die mit der App ausgeliefert werden. Überprüfen Sie die Unterschiede zwischen den einzelnen Dateien im lokalen Ordner im Vergleich zum neuen Standardordner im Standardordner, und passen Sie sie bei Bedarf an.

In particular correlation searches in savedsearches.conf are likely to cause issues if in place.