Splunk에서 기록된 미래 강화 데이터로 피벗하기
이 지침에서는 Splunk의 모든 이벤트에서 보강 데이터로 쉽게 피벗할 수 있도록 워크플로 작업을 추가하는 방법을 보여 드립니다. 여기서는 이미 Recorded Future에서 Splunk Enterprise 통합을 설치했다고 가정합니다.
이것은 Splunk의 검색 앱 내의 일반적인 이벤트 보기이며, 사용 가능한 작업이 제한되어 있음을 알 수 있습니다:
강화하려는 필드를 기록해 두는 것이 중요합니다. 이 경우 네트워크에서 시작된 방화벽을 통과하는 트래픽의 목적지이므로 'dst'를 사용합니다.
1단계: 설정>필드로 이동하여 Splunk 검색 헤드의 필드를 선택합니다:
2단계. 워크플로 작업 오른쪽에 있는 '새로 추가'를 선택합니다:
3단계. 대상 앱을 "TA_recordedfuture-cyber"로 선택 참고: 다른 앱을 대상으로 선택할 수 있으며, 조직 및 가능한 역할 기반 액세스 제어에만 이 방법을 권장합니다:
4단계. 워크플로 작업의 고유한 이름을 선택합니다:
5단계. 워크플로 작업의 레이블을 선택합니다. 참고: 이 필드에 변수($dst$)를 사용하여 메뉴에 "RF 강화 IPADDRESS(이 예제에서 사용됨)"라고 표시하거나 "RF 대상 강화"와 같은 정적 값을 사용할 수 있습니다.
6단계. 보강할 필드를 선택합니다:
7단계. 특정 이벤트 유형으로 제한하려면 여기에 입력하고, 그렇지 않으면 비워둡니다. 참고: 이벤트 유형은 일반적으로 TA 또는 앱의 일부로 정의되며, 이벤트 유형은 모든 검색을 통해 생성할 수 있습니다. 예 - 검색 문자열이 "index=extfws 소스 유형 = 넷스크린:방화벽 동작 = 허용됨"인 fwaccepts라는 이벤트 유형을 만들면 다른 디바이스의 트래픽이나 방화벽에서 삭제된 트래픽에 대해 워크플로우가 표시되지 않도록 제한할 수 있습니다.
8단계. 드롭다운 메뉴에서 모두 및 링크의 동작 유형에서 동작 표시를 선택합니다.
9단계. http://yoursearchhead.company.com/en-US/app/TA_recordedfuture-cyber/recorded_future_ip_enrichment?form.name=$dst$ 입력 를 URI에 입력하세요. 여기서 yoursearchhead.company.com은 Splunk 검색 헤드의 DNS 이름입니다. 참고: 선택한 필드 "$dst"의 변수 이름으로 끝을 대체하고 있습니다:
10단계. 드롭다운 메뉴에서 링크 열기를 '새 창'으로, 링크 방법을 '가져오기'로 선택합니다:
11단계. 오른쪽 하단의 '저장'을 선택하여 워크플로 작업을 저장합니다:
새 워크플로 작업이 저장된 후에는 녹화된 미래 앱 내에서만 비공개로 설정됩니다:
12단계. 워크플로 작업 오른쪽에서 사용 권한을 선택합니다.
13단계. "모든 앱"을 선택하여 다른 Splunk 앱에서 피벗을 사용하도록 설정하고 워크플로 작업에 대한 적절한 "역할 권한"을 선택한 다음 저장을 선택합니다:
14단계. 이벤트를 선택합니다(권한이 전역으로 설정된 경우 모든 앱에서). 이제 이벤트 메뉴를 통해 워크플로 작업을 사용할 수 있을 것입니다:
작업을 선택하면 엔티티 보강 대시보드가 있는 새 창/탭이 표시됩니다:
궁금한 점이 있거나 도움이 필요하면 [email protected]으로 문의하세요.