>

Alert-Überwachung einrichten

Die Warnungsüberwachung wird unter Konfiguration -> Eingaben konfiguriert. Standardmäßig ist keine Alert-Überwachung konfiguriert.

Durch das Hinzufügen einer Eingabe für die Warnungsüberwachung werden die folgenden Schritte ausgeführt:

  1. Die App wendet sich an die API von Recorded Future und sucht nach Warnungen, die den konfigurierten Kriterien entsprechen.
  2. Wenn es aufgezeichnete zukünftige Warnungen gibt, die übereinstimmen, werden Informationen zu diesen abgerufen. Für jeden dieser Alerts wird im Splunk-System ein Event (sourcetype rf:alerts) angelegt. Anhand dieser Ereignisse ist es möglich, Splunk-basierte Warnungen einzurichten oder Berichte zu erstellen.

Die App verfolgt nicht, ob sie bereits eine Warnung abgerufen hat oder nicht. Solange die Warnung den Filterkriterien entspricht, wird ein Ereignis erstellt.

Hinzufügen der Warnungsüberwachung

Hinzufügen einer neuen Warnungsüberwachung

  1. Klicken Sie auf das grüne Symbol "Neuen Input erstellen" und wählen Sie "Aufgezeichnete zukünftige Warnungen".
    Hinzufügen einer Warnungsüberwachung
  2. Der Name ist das Risikolisten-Handle.
  3. Das Intervall steuert, wie oft Splunk Warnungen abfragt. Die Standardeinstellung ist alle 300 Sekunden, kann jedoch an die Anforderungen des Unternehmens angepasst werden. Kleine Intervalle können viele API-Credits verbrauchen, aber lange Intervalle können zu Verzögerungen zwischen dem Auslösen einer Recorded Future-Warnung und dem Zeitpunkt führen, an dem sie in Splunk verfügbar ist.
  4. Index steuert den Index, in dem die rf:alerts-Ereignisse indiziert werden. Stellen Sie sicher, dass Sie einen Index mit korrekten Rollenzuweisungen auswählen - belassen Sie es bei main/default, wenn Sie sich nicht sicher sind.
  5. Status der Warnung. Standardmäßig stimmt der Filter mit jedem Warnungsstatus überein, dies kann jedoch nach Bedarf konfiguriert werden.
  6. Ausgelöst: Filtern Sie nach dem Zeitpunkt, an dem die Warnung ausgelöst wurde. Die Standardeinstellung ist jederzeit. Die Notation ist die gleiche wie im Recorded Future-Webclient. Ex:
    1. "-2d bis jetzt"
    2. "-2h bis -1h"
    3. "Gestern gestern"
  7. Warnungsregel. Standardmäßig wird jede Warnungsregel abgeglichen, aber es ist möglich, bei Bedarf eine bestimmte Regel anzugeben.

Alert-Monitoring pflegen

In der Liste der konfigurierten Eingänge (Konfiguration -> Eingänge) gibt es Dropdown-Menüs für jeden Eingang.

Alert-Überwachung pflegen

Über "Bearbeiten" können Sie die Alert-Überwachung neu konfigurieren. Um die Überwachung zu deaktivieren, verwenden Sie "Deaktivieren", dies kann jederzeit im gleichen Dropdown-Menü wieder aktiviert werden.