Erforderliche Konfiguration für Suchhead-Cluster

Überblick

Das Recorded Future Add-on für Splunk Enterprise Security wurde für die Ausführung auf Suchköpfen innerhalb eines Splunk-Systems entwickelt. Im Falle eines Search Head Clusters (SHC) ist das Installationsverfahren das Standardverfahren für SHCs, d.h. es sollte auf dem Deployer-Knoten installiert und dann die SHC-Knoten bereitgestellt werden.

Vor dem Bereitstellen der App sollte die erforderliche Konfigurationsänderung vorgenommen worden sein, um die Kohärenz der SHC-Konfiguration sicherzustellen.

Die App erkennt, dass sie an einem SHC betrieben wird. Nur der Hauptknoten des SHC führt die modularen Eingänge für die Aktualisierung von Risikolisten und Warnungen aus.

Erforderliche Konfiguration

Um eine kohärente Konfiguration im gesamten SHC beizubehalten, ist es erforderlich, die Liste der Konfigurationsdateitypen zu ändern, die über den SHC synchronisiert werden. Zwei zusätzliche Konfigurationsdateien sind erforderlich:

• input.conf, die die konfigurierten modularen Eingaben enthält, die zum Aktualisieren von Risikolisten und ALERN verwendet werden.
• ta_recorded_future_settings.conf, die den API-Schlüssel configure (verschlüsselt) und verschiedene App-spezifische Einstellungen enthält.

Splunk lässt derzeit nicht zu, dass Apps mit den erforderlichen Konfigurationseinstellungen ausgeliefert werden, sodass diese Konfiguration vom Client durchgeführt werden muss.

Die folgende Strophe wird benötigt in $SPLUNK_HOME/etc/system/local/server.conf:

[shclustering]
conf_replication_include.ta_recorded_future_settings = wahr
conf_replication_include.inputs = true

Sobald diese Änderung vorgenommen wurde und die App bereitgestellt wurde, ist es möglich, eine Verbindung zu einem der SCH-Suchkopfknoten herzustellen und die Einrichtung durchzuführen.