>

Installation und Konfiguration des Splunk ES TA

Installation und Konfiguration

Installation

Um dieses Add-on zu installieren, führen Sie die folgenden Schritte aus:

  1. Laden Sie die neueste TA-Version von Splunkbaseherunter

  2. Wählen Sie in Splunk im Dropdown-Menü neben dem Splunk-Logo oben links auf dem Bildschirm die Option "Apps verwalten" aus

  3. Wählen Sie "App aus Datei installieren"

  4. Navigieren Sie zum Speicherort der Datei TA-recorded_future.spl, wählen Sie sie aus und laden Sie sie hoch. Starten Sie Splunk neu, wenn Sie dazu aufgefordert werden.

  5. Gehen Sie zurück zu "Apps verwalten". Suchen Sie in der Liste nach "Splunk ES Add-on for Recorded Future" und führen Sie "Einrichten" aus.

  6. Klicken Sie in der Menüleiste "Unternehmenssicherheit" auf "Konfigurieren -> Incident Management -> Incident Review Settings".

  7. Klicken Sie auf die Schaltfläche "Neuen Eintrag hinzufügen" im Abschnitt "Incident Review - Event Attributes". Fügen Sie die folgenden Kombinationen aus Beschriftung und Feld hinzu:

    Etikett Feld
    RF-Risiko-Score rf_a_risk
    RF-ausgelöste Regeln rf_b_rules
    RF Sehr bösartige Beweise rf_evidence_critical
    Bösartige RF-Beweise rf_evidence_malicious
    RF Verdächtige Beweise rf_evidence_suspicious
    RF Ungewöhnliche Beweise rf_evidence_unusual

  8. Nach Abschluss der Installation ist ein Neustart der Splunk-Instanz erforderlich.

  9. Wenn Sie dies noch nicht getan haben, aktivieren Sie die Enterprise Security-Korrelationssuche mit dem Namen "Bedrohungsaktivität erkannt"

    1. Klicken Sie in der Menüleiste "Enterprise Security" auf "Konfigurieren -> Content Management"
    2. Geben Sie in der Filterleiste "Bedrohungsaktivität erkannt" ein.
    3. Klicken Sie auf den Link "Aktivieren", um die Korrelationssuche zu aktivieren

  10. Erstellen Sie optional einen Überprüfungsbericht nach der Installation. Führen Sie den Bericht "App-Bereitstellung überprüfen" aus. Es werden eine Reihe von Tests durchgeführt, von denen keiner zu einem Fehler führen sollte.

    1. Gehen Sie zu Dashboards, Berichte... -> Berichte.
    2. Führen Sie App-Bereitstellung überprüfen aus.

Alternativ können Sie das Add-on auch über die Funktion "Weitere Apps online finden" der Splunk-Weboberfläche herunterladen. Die oben genannten Schritte 5 und höher müssen noch abgeschlossen werden.

Konfiguration

Nach der Installation müssen Sie das Add-on für Recorded Future einrichten, um mit der Recorded Future-API zu kommunizieren.

  1. Gehen Sie zu Konfiguration -> Konfiguration.
  2. Wählen Sie die Registerkarte Add-on-Einstellungen aus.
  3. Geben Sie den API-Schlüssel ein.
  4. Überprüfen Sie die anderen Registerkarten, wenn eine zusätzliche Konfiguration erforderlich ist.

Upgrade von früheren Versionen

Das Setup muss nach dem Upgrade ausgeführt werden. Der API-Schlüssel (in unserer Dokumentation zuvor als Token bezeichnet) wird nicht aus der alten Konfiguration übernommen. Das Gleiche gilt für Proxy- und Loglevel-Konfigurationen.

Upgrade von 3.x-Versionen

Aufgrund des Ausmaßes der Änderungen zwischen Version 2 und 3 der App empfehlen wir Ihnen, das App-Verzeichnis ($SPLUNK_HOME/etc/apps/TA-recorded_future) zu entfernen und eine Neuinstallation der App durchzuführen.

Wenn dies nicht möglich ist, befolgen Sie die folgenden Anweisungen.

Dateien und Verzeichnisse, die entfernt werden können

Die folgenden Dateien und Verzeichnisse können entfernt werden, da sie nicht mehr verwendet werden:

Aus dem Ordner bin: 

Zukunft
libfuturize
Vergangenheit
Aufforderungen
rf_integrations
rf_splunk
RFAPI
Splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py

Aus dem lokalen Ordner (falls vorhanden): 

commands.conf

Aus dem Ordner local/data/ui/nav (falls vorhanden): 

default.xml

Dateien, die überprüft werden müssen

Jede Datei im lokalen Ordner ist das Ergebnis einer lokalen Konfiguration. Diese haben Vorrang vor den neuen Einstellungen, die mit der App ausgeliefert werden. Überprüfen Sie die Unterschiede zwischen den einzelnen Dateien im lokalen Ordner im Vergleich zum neuen Standardordner im Standardordner, und passen Sie sie bei Bedarf an.

Insbesondere Korrelationssuchen in savedsearches.conf verursachen wahrscheinlich Probleme, wenn sie vorhanden sind.