Schwenken auf aufgezeichnete zukünftige Anreicherungsdaten in Splunk
Diese Anleitung zeigt Ihnen, wie Sie eine Workflow-Aktion hinzufügen, um Daten aus einem beliebigen Ereignis in Splunk einfach anzureichern. Hier gehen wir davon aus, dass Sie die Splunk Enterprise-Integration von Recorded Future bereits installiert haben.
Dies ist eine typische Ereignisansicht in der Such-App in Splunk, beachten Sie, dass nur begrenzte Aktionen verfügbar sind:
Es ist wichtig, sich die Felder zu notieren, die Sie anreichern möchten. In diesem Fall verwenden wir "dst", da dies der Zielpunkt für den Datenverkehr ist, der durch unsere Firewall geleitet wird und aus unserem Netzwerk stammt.
Schritt 1: Gehen Sie zu Einstellungen>Felder auf Ihrem Splunk-Suchkopf:
Schritt 2. Wählen Sie "Neu hinzufügen" rechts neben Workflow-Aktionen:
Schritt 3. Wählen Sie die Ziel-App als "TA_recordedfuture-cyber" aus. HINWEIS: Sie können andere Apps als Ziel auswählen, wir empfehlen dies nur für die Organisation und mögliche rollenbasierte Zugriffssteuerungen:
Schritt 4. Wählen Sie einen eindeutigen Namen für Ihre Workflow-Aktion aus:
Schritt 5. Wählen Sie eine Bezeichnung für Ihre Workflow-Aktion aus. HINWEIS: Sie können die Variable ($dst$) in diesem Feld verwenden, um im Menü "RF Enrich IPADDRESS (Used in this example)" oder einen statischen Wert wie "RF destination enrichment" zu verwenden
Schritt 6. Wählen Sie das Feld aus, das wir anreichern möchten:
Schritt 7. Wenn Sie sich auf bestimmte Ereignistypen beschränken möchten, geben Sie diese hier ein, andernfalls lassen Sie dieses Feld leer. HINWEIS: Ereignistypen werden in der Regel als Teil eines TA oder einer App definiert, Ereignistypen können durch eine beliebige Suche erstellt werden. Beispiel: Wenn Sie einen Ereignistyp mit dem Namen fwaccepts und der Suchzeichenfolge "index=extfws sourcetype=netscreen:firewall action=allowed" erstellen, können Sie die Anzeige des Workflows für Datenverkehr von anderen Geräten oder für verworfenen Datenverkehr von der Firewall einschränken.
Schritt 8. Wählen Sie in den Dropdown-Menüs Aktion in beiden anzeigen und Aktionstyp des Links aus.
Schritt 9. Geben Sie http://yoursearchhead.company.com/en-US/app/TA_recordedfuture-cyber/recorded_future_ip_enrichment?form.name=$dst$ ein in den URI, wobei yoursearchhead.company.com der DNS-Name für Ihren Splunk-Suchkopf ist. HINWEIS: Wir ersetzen das Ende durch den Variablennamen aus unserem ausgewählten Feld "$dst":
Schritt 10. Wählen Sie Link zu "Neues Fenster" öffnen und Linkmethode zu "Abrufen" in den Dropdown-Menüs:
Schritt 11. Wählen Sie "Speichern" in der unteren rechten Ecke, um Ihre Workflow-Aktion zu speichern:
Nachdem die neue Workflow-Aktion gespeichert wurde, wird sie nur in der Recorded Future-App auf privat eingerichtet:
Schritt 12. Wählen Sie rechts neben den Workflow-Aktionen Berechtigungen aus.
Schritt 13. Wählen Sie "Alle Apps" aus, um das Pivot von anderen Splunk-Apps zu aktivieren, die entsprechenden "Rollenberechtigungen" für die Workflow-Aktion und wählen Sie dann Speichern aus:
Schritt 14. Wählen Sie ein Ereignis aus (in einer beliebigen App, wenn die Berechtigungen auf "global" festgelegt sind). Sie sollten nun sehen, dass Ihre Workflow-Aktion über die Ereignismenüs verfügbar ist:
Wenn Sie die Aktion auswählen, wird ein neues Fenster/eine neue Registerkarte mit dem Dashboard zur Anreicherung von Entitäten angezeigt:
Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich bitte an [email protected]