>

Verwenden der Alert-API zum Anzeigen aufgezeichneter zukünftiger Alerts in Splunk

 

Einführung

Mit der neuen Warnungs-API , die 2018 eingeführt wurde, können Clients programmgesteuert auf ihre Recorded Future-Warnungen zugreifen.  Auf dieser Support-Seite erfahren Sie, wie Splunk Integration-Clients die Alert-API verwenden können, um Warnungen in Splunk zu integrieren.  Einen allgemeinen Überblick über die Verwendung der Warnungs-API finden Sie auf dieser Supportseite
 
Beachten Sie, dass bei dieser Add-on-Funktionalität davon ausgegangen wird, dass eine 3.x-Version der Splunk Enterprise Integration Application (Kern) von Recorded Future (siehe https://splunkbase.splunk.com/app/2629/) installiert ist.  Außerdem wird in v4.x dieser Integrationsanwendung (Release im September 2018) ein "Alerts"-Dashboard in das Standardpaket integriert. 
 
 

Grundlegende Anweisungen

  1. Die alerts.py Datei sollte sich im bin-Verzeichnis der Recorded Future App befinden.
    • Möglicherweise muss die Datei in splunk:splunk umgewandelt werden
    • Möglicherweise muss die Datei auf 755 chmod geändert werden
  2. .conf-Dateien sollten im lokalen Verzeichnis der Recorded Future App abgelegt werden.
    • Möglicherweise müssen Dateien in splunk:splunk umgewandelt werden
    • Möglicherweise muss der Pfad in Dateien angepasst werden, wenn das Splunk-Home-Verzeichnis nicht /opt/splunk/ ist
  3. Kopieren Sie die XML-Datei in das Verzeichnis local/data/ui/views der Recorded Future App.
    • Möglicherweise müssen Dateien in splunk:splunk umgewandelt werden
    • Möglicherweise müssen Sie die Zugriffsberechtigungen anpassen und die globale Ansicht festlegen (alle Apps, alle Apps, Lesen, Administratorschreiben)
    • Muss zur Standardnavigation hinzugefügt werden, um in der App sichtbar zu sein
Die Skripte sollten den im KV-Speicher gespeicherten API-Schlüssel abrufen, es sollte nichts eingegeben werden müssen.  Wenn Sie Probleme bei der Einrichtung oder Konfiguration haben, vereinbaren Sie bitte eine Remote-Sitzung über Ihr Account-Team.  Der Benutzer für den API-Schlüssel muss über Warnungen verfügen, die für ihn freigegeben wurden, um die Warnungen aus der API abrufen zu können.