適応と調整: マクロの適応

マクロは macros.conf という設定ファイルで定義されています。通常、Splunkアプリケーションにバンドルされています。 Recorded Future App for Splunkにバンドルされているほとんどのマクロは、Recorded Future Connect APIから返された JSON オブジェクトを処理します。

たとえば、「rf_hits」というマクロは、相関ダッシュボードの相関関係を機能させるために変更する必要がある場合があります。 (4行目で指定されているもの)

    【rf_hits(1)】
    args = 内野
    定義= 重複除去 $infield$ \
    |ルックアップrf_ip_threatfeed名前を$infield$として出力するRF_Hit、リスク、リスク文字列、証拠詳細\
    |検索 RF_Hit=* \
    |eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.ルール") \
    |eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString")
    iseval = 0

さらにヘルプ

「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。

詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com