Splunk

Integrationsversion: 50.0

Die Splunk-App bereitet Fälle mit allen relevanten Warnungen und Ereignissen aus Splunk vor. Es gibt zwei Möglichkeiten, diese Fälle in Google Security Operations aufzunehmen: Pull- und Push-Methoden.

Die erste Methode wird als pull-basiert bezeichnet. Wenn Sie diese Methode verwenden, müssen Sie den Splunk Pull Connector konfigurieren, um Fälle in Google SecOps aufzunehmen. Dieser Connector ruft Fälle aus der Splunk-App ab. Für diese Methode ist keine zusätzliche Konfiguration in der Splunk-App erforderlich.

Die zweite Methode wird als push-basiert bezeichnet. Bei dieser Methode führt die Splunk-App API-Aufrufe an Google SecOps aus, um einen neuen Fall hinzuzufügen. Damit Sie diese Methode verwenden können, müssen Sie einen Google SecOps-API-Schlüssel generieren und der Konfiguration der App einen Google SecOps-URI hinzufügen.

Erstellen Sie einen API-Schlüssel:

1. Gehen Sie zu Einstellungen > „Erweitert“ > „API“.

2. Klicken Sie rechts oben auf das Pluszeichen, um einen neuen API-Schlüssel hinzuzufügen.

3. Geben Sie den Namen des API-Schlüssels ein und klicken Sie auf Erstellen.

4. Kopieren Sie den API-Schlüssel.

Splunk für die Verwendung mit Google SecOps konfigurieren

Voraussetzungen für das Aktivieren oder Deaktivieren der Token-Authentifizierung

Bevor Sie die Token-Authentifizierung aktivieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Die Splunk-Plattforminstanz, in der Sie die Tokenauthentifizierung aktivieren möchten, darf nicht im Legacy-Modus betrieben werden, in dem Splunk Web als separater Prozess ausgeführt wird. Wenn sich die Splunk-Plattform im Legacy-Modus befindet, wird die Token-Authentifizierung nicht ausgeführt. Weitere Informationen zum Legacy-Modus finden Sie im Splunk Enterprise-Administratorhandbuch im Dokument Start and Stop Splunk Enterprise.

• Das Konto, mit dem Sie sich in der Splunk-Plattform anmelden, muss eine Rolle mit der Splunk-Plattformfunktion „edit_tokens_settings“ haben, bevor Sie die Token-Authentifizierung aktivieren oder deaktivieren können.

Tokenauthentifizierung über Splunk Web aktivieren

Wenn die Tokenauthentifizierung deaktiviert ist, wird in Splunk Web auf der Seite Tokens die folgende Meldung angezeigt:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Führen Sie die folgenden Schritte auf der Instanz aus, auf der Sie die Tokenauthentifizierung aktivieren möchten:

1. Melden Sie sich als Administrator oder als Nutzer mit Berechtigung zum Verwalten von Tokeneinstellungen bei der Splunk-Plattforminstanz an. Sie können sich nicht mit einem Token in Splunk Web anmelden. Sie müssen einen gültigen Nutzernamen und ein gültiges Passwort angeben.

2. Wählen Sie nach der erfolgreichen Anmeldung in der Systemleiste Einstellungen> „Tokens“ aus.

3. Klicken Sie auf Enable Token Authentication (Token-Authentifizierung aktivieren). Die Splunk-Plattforminstanz ermöglicht die Token-Authentifizierung sofort. Ein Neustart der Instanz ist nicht erforderlich.

Authentifizierungstokens mit Splunk Web erstellen

1. Klicken Sie in der Systemleiste auf Einstellungen > Tokens.

2. Klicken Sie auf Neues Token.

3. Geben Sie im Dialogfeld New Token (Neues Token) im Feld User (Nutzer) den Splunk-Plattformnutzer ein, für den Sie das Token erstellen möchten.

4. Geben Sie im Feld Zielgruppe eine kurze Beschreibung des Tokenzwecks ein.

5. Optional: Wählen Sie in der Liste Ablauf die Option Absolute Zeit oder Relative Zeit aus. Diese Auswahl bestimmt, was Sie in das Textfeld unter der Liste eingeben müssen.

   • Wenn Sie Absolute Zeit ausgewählt haben, werden unter der Liste zwei Textfelder angezeigt.

     1. Geben Sie in das erste Feld ein gültiges Datum ein. Sie können auch auf das Feld klicken, um ein Datum aus einem Pop-up-Kalender auszuwählen.

     2. Geben Sie im zweiten Feld eine gültige 24‑Stunden-Zeit ein.

   • Andernfalls wird unter der Drop-down-Liste ein Textfeld angezeigt.

     1. Geben Sie einen String ein, der angibt, wie lange das Token nach der aktuellen Zeit gültig bleiben soll. Wenn das Token beispielsweise in 10 Tagen ablaufen soll, geben Sie +10d in dieses Feld ein.

6. Optional: Wählen Sie in der Liste Nicht vor die Option Absolute Zeit oder Relative Zeit aus.

   Wiederholen Sie den Schritt, den Sie für das Ablaufsteuerelement verwendet haben. Die „Not before“-Zeit darf weder in der Vergangenheit liegen noch später als die „Expiration“-Zeit sein.

7. Klicken Sie auf Erstellen. Im Fenster Neues Token wird das Feld Token aktualisiert und zeigt das generierte Token an.

8. Wählen Sie den gesamten Token-Text im Feld aus. Je nach Betriebssystem und Browser können Sie auf das Feld Token klicken und dann entweder dreimal klicken oder die Tastenkombination Strg+A bzw. Befehlstaste+A drücken. Prüfen Sie, ob Sie den gesamten Token-Text ausgewählt haben. Nach dem Schließen des Fensters gibt es keine weiteren Möglichkeiten, das vollständige Token zu sehen.

9. Kopieren Sie den Text aus dem Feld Token.

10. Fügen Sie das Token in eine Textdatei, E‑Mail oder andere Form der Kommunikation ein, die Sie an die Person senden, die Sie zur Verwendung des Tokens autorisiert haben. Bestätigen Sie, dass Sie das Token nur mit Personen teilen, die Sie zur Verwendung autorisiert haben. Jeder, der das vollständige Token hat, kann es zur Authentifizierung verwenden.

11. Klicken Sie auf Schließen.

12. Verwenden Sie ein Token, um die Google SecOps Splunk-Integration zu konfigurieren.

Installation

Einzelner Suchkopf

1. Laden Sie das TA-Siemplify-Paket auf Ihren lokalen Computer herunter: https://splunkbase.splunk.com/app/5010/.

2. Installieren Sie die App auf dem Suchkopf.

   Wählen Sie App: Search & Reporting aus. Das Dialogfeld App hochladen wird angezeigt.

3. Klicken Sie auf Datei auswählen und wählen Sie die App-Datei aus.

4. Klicken Sie auf Hochladen. Warten Sie, bis die Datei hochgeladen wurde.

5. Starten Sie Splunk neu.

TA-Siemplify konfigurieren

1. Rufen Sie in Splunk Enterprise die Seite Apps auf.

2. Wählen Sie Siemplify aus.

3. Fügen Sie auf dem Tab Add-on-Einstellungen Folgendes hinzu:

   Für die Push-Methode:

   • Legen Sie den Siemplify API-URI auf den URI Ihres Google SecOps-Servers fest.
   • Stellen Sie Modus auf Push-Modus ein.
   • Geben Sie im Feld API-Schlüssel den Tokenwert ein, der im Abschnitt „API-Schlüssel“ generiert wurde.

   Für die Pull-Methode:

   • Setzen Sie den Modus auf Pull-Modus.

4. Klicken Sie auf Speichern.

Benachrichtigungskonfiguration

Damit Benachrichtigungs- und Ereignisdaten an Google SecOps gesendet werden, muss einem vorhandenen Splunk-Hinweis eine Triggeraktion hinzugefügt werden.

Die Felder „Umgebung“, „Geräteanbieter“, „Geräteprodukt“ und „Ereignistyp“ unterstützen Ereignisvorlagen. Durch die Ereignisvorlagen können die spezifischen Felder in Google SecOps dynamisch auf Grundlage von Werten in der Benachrichtigung festgelegt werden. Wenn Sie Ereignisvorlagen verwenden möchten, setzen Sie einen Feldnamen in eckige Klammern: „[ ]“. Das erste Ereignis in der Benachrichtigung wird verwendet, um diese Felder auszufüllen.

Beispiel: Wenn Sie eine Benachrichtigung mit dem Feld „device_vendor“ und dem Wert Microsoft haben, können Sie [device_vendor] in den Konfigurationsparameter „Device Vendor“ (Geräteanbieter) einfügen. Wenn die Benachrichtigung an Google SecOps gesendet wird, wird der Anbieter auf Microsoft festgelegt.

1. Rufen Sie in Splunk Alerts auf.

2. Wählen Sie in der Liste Bearbeiten die Option Benachrichtigung bearbeiten aus.

3. Gehen Sie im Abschnitt Trigger Actions (Trigger-Aktionen) zu Add Actions (Aktionen hinzufügen) > Send Alert to Siemplify (Benachrichtigung an Siemplify senden).

4. Konfigurieren Sie die Benachrichtigung so:

   • Name:Der hier festgelegte Wert wirkt sich auf den Namen der Benachrichtigung aus.
   • Priorität:Der hier festgelegte Wert wirkt sich auf die Priorität des Google SecOps-Falls aus.
   • Kategorie:Wird verwendet, um die visuelle Familie zu definieren.
   • Umgebung:Entspricht der Umgebung in Google SecOps. Lassen Sie das Feld leer, wenn keine Umgebung verwendet werden soll. Die Vorlagenfunktion mit eckigen Klammern wird unterstützt.
   • Geräteanbieter:Wird verwendet, um den Anbieter des Systems zu definieren, das das Ereignis an Google SecOps sendet. Wenn die Benachrichtigungen von Microsoft Sysmon generiert wurden, verwenden Sie Microsoft oder einen Wert aus der Benachrichtigung/dem Ereignis mithilfe von Vorlagen.
   • Geräteprodukt:Wird verwendet, um das Produkt des Systems zu definieren, das das Ereignis an Google SecOps sendet. Wenn die Benachrichtigungen von Microsoft Sysmon generiert wurden, sollte dieser Wert „Sysmon“ oder ein Wert aus der Benachrichtigung/dem Ereignis sein, der mithilfe von Vorlagen erstellt wurde.
   • Ereignistyp:Wird verwendet, um den Ereignistyp im Abschnitt „Google SecOps-Ereigniskonfiguration“ zu definieren. Wenn im Rahmen der Benachrichtigung nach schädlichen Prozessen gesucht wurde, sollte der Ereignistyp etwa „Prozess gefunden“ lauten oder aus einem Wert innerhalb der Benachrichtigung/des Ereignisses mithilfe von Vorlagen stammen.
   • Zeitfeld:Wird verwendet, um die StartTime und EndTime des Google SecOps-Falls zu definieren. Wenn dies nicht angegeben ist, wird das Feld „_indextime“ geprüft. Wenn „_indextime“ nicht gefunden werden kann, wird die Zeit verwendet, zu der die Benachrichtigung generiert wurde. Vorlagen werden nicht unterstützt.
   • Mehrwertige Felder erweitern:Wenn Sie diesen Wert auf 1 setzen, sucht das System nach mehrwertigen Feldern und erstellt zusätzliche Felder, die jedem Wert im mehrwertigen Feld zugeordnet werden. Wenn beispielsweise das Feld „src_hosts“ mit mehreren Werten die Werte „Server1“, „Server2“ und „Server3“ enthält, Das System erstellt neue Felder: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Diese Option wird nur unterstützt, wenn „Alle Ereignisdaten abrufen“ deaktiviert ist.
   • Alle Ereignisdaten abrufen:Bei dieser Einstellung wird versucht, die Rohereignisse abzurufen, aus denen eine Benachrichtigung mit einem Transformationsbefehl (chart, timechart, stats, top, rare, contingency, highlight) besteht. Dazu ist eine Änderung am Splunk-Suchheader erforderlich.

5. So aktivieren Sie Rohereignisse aus Transformationssuchen: Kopieren Sie $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf nach $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf. Bearbeiten Sie $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf und entfernen Sie die Kommentarzeichen aus #dispatch.buckets =1.

6. Speichern Sie die Datei und starten Sie Splunk neu, damit die Einstellungen wirksam werden.

Fehlerbehebung

So ändern Sie die Protokollebene in DEBUG:

1. Wählen Sie in Splunk Web Ihre Anwendung aus.

2. Gehen Sie zu Einstellungen > Servereinstellungen > Serverprotokollierung.

3. Wählen Sie für den Parameter Logebene die Option DEBUG aus.

4. Klicken Sie auf Speichern.

Das Abfragen von Logdaten aus Google SecOps TA hängt von Ihrer Splunk-Implementierung ab. Wenn Sie Splunk CIM installiert haben, befinden sich die Logs im Index cim_modactions. Andernfalls befinden sich die Logs im Index _internal.

Netzwerk

Netzwerkzugriff auf Splunk API-Zugriff von Google SecOps auf Splunk: Traffic über Port 8089 zulassen.

Google SecOps-Add-on in einer Clusterumgebung bereitstellen

Führen Sie die folgenden Schritte aus, um einen Deployment-Server und Suchköpfe zu erstellen:

1. Melden Sie sich über SSH auf dem Bereitstellungsserver an.

2. Prüfen Sie, ob die Datei /opt/splunk/etc/system/local/serverclass.conf vorhanden ist. Falls nicht, führen Sie Folgendes aus:

   vi /opt/splunk/etc/system/local/serverclass.conf

   Hier ein Beispiel für die Konfiguration:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Laden Sie die App-Datei in das Verzeichnis /opt/splunk/etc/deployment-apps hoch und extrahieren Sie sie.

4. Splunk-Nutzer erstellen, falls er nicht vorhanden ist:

   useradd splunk

5. Die Splunk-Gruppe „create“ ist nicht vorhanden:

   groupadd splunk

6. Fügen Sie Splunk-Nutzerberechtigungen für die App hinzu:

   chown splunk:splunk {app path}

7. Melden Sie sich mit SSH bei Suchköpfen an.

8. Fügen Sie Suchköpfe als Clients zum Bereitstellungsserver hinzu:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Starten Sie alle Suchköpfe neu.

10. Melden Sie sich in der Benutzeroberfläche des Bereitstellungsservers an.

11. Rufen Sie die Einstellungen > „Verteilte Umgebung“ > „Forwarder Manager“ auf.

12. Rufen Sie den Tab Serverklassen auf und klicken Sie auf Neue Serverklasse.

13. Geben Sie einen Namen für die Serverklasse an.

14. Fügen Sie das Google SecOps-Add-on als App und die Suchheader als Clients hinzu.

15. Starten Sie alle Search Heads neu.

16. Achten Sie darauf, dass die App auf allen Suchköpfen richtig konfiguriert ist. Splunk synchronisiert die Apps nicht konsistent im Cluster.

Bekannte Probleme

Wenn Sie den Fehler int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed in den Logs erhalten, prüfen Sie, ob die Parameter „API-Stamm“ und „API-Schlüssel“ in der Konfiguration einen Wert haben, auch wenn Sie im Pull-Modus arbeiten.

Splunk-Integration in Google SecOps konfigurieren

Mit der Splunk-Integration können Sie die Verbindung mithilfe einer CA-Zertifikatsdatei überprüfen. Dies ist eine zusätzliche Methode zur Bestätigung der Verbindung.

Für diese Methode benötigen Sie Folgendes:*

• CA-Zertifikatsdatei
• Splunk-Integration Version 26.0 oder höher

Integration in Google SecOps konfigurieren:

1. Parsen Sie Ihre CA-Zertifikatsdatei in einen Base64-String.

2. Öffnen Sie die Seite mit der Integrationskonfiguration.

3. Geben Sie im Feld CA Certificate File (CA-Zertifikatsdatei) den CA-Zertifikatsstring ein.

4. Wenn Sie die Verbindung testen möchten, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Aktionen

Hostereignisse abrufen

Beschreibung

Ereignisse im Zusammenhang mit Hosts in Splunk abrufen

Parameter

Ausführen am

Diese Aktion wird für die Hostname-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

JSON-Ergebnis

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Fall-Repository

Ping

Beschreibung

Testen Sie die Verbindung zu Splunk mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Fall-Repository

Splunk Csv Viewer

Beschreibung

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

SplunkQuery

Beschreibung

Führen Sie eine Abfrage in Splunk aus.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

JSON-Ergebnis

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Fall-Repository

Ereignis einreichen

Beschreibung

Ereignis an Splunk senden.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

JSON-Ergebnis

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Fall-Repository

Wichtige Ereignisse aktualisieren

Beschreibung

Aktualisieren Sie wichtige Ereignisse in Splunk ES.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Fall-Repository

Entitätsabfrage ausführen

Beschreibung

Führen Sie eine Entitätsabfrage in Splunk aus.

Wie arbeite ich mit Aktionsparametern?

Mit dieser Aktion können Sie ganz einfach Informationen zu Entitäten abrufen. So lässt sich beispielsweise der Anwendungsfall lösen, in dem Sie die Anzahl der Ereignisse der von den bereitgestellten Hashes betroffenen Endpunkte ohne komplizierte Abfrageerstellung sehen möchten. Um dieses Problem in Splunk zu beheben, müssen Sie die folgende Abfrage vorbereiten: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Um dieselbe Abfrage mit der Aktion „Execute Entity Query“ (Entitätsabfrage ausführen) zu erstellen, müssen Sie die Aktionsparameter so ausfüllen:

Alle anderen Felder können leer gelassen werden.

Wenn Sie sehen möchten, wie viele Endpunkte von den angegebenen Hashes betroffen waren, sieht die Konfiguration von „Execute Entity Query“ so aus:

„Cross Entity Operator“ hat in dieser Situation keine Auswirkungen, da er sich nur auf die Abfrage auswirkt, wenn mehrere „Entity Keys“ angegeben werden.

Parameter

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

• IP-Adresse
• Host
• Nutzer
• Hash
• URL

Aktionsergebnisse

Scriptergebnis

JSON-Ergebnis

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Fall-Repository

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Verwenden Sie die connectorspezifischen Parameter in den folgenden Tabellen, um den ausgewählten Connector zu konfigurieren:

• Konfigurationsparameter für Splunk Query Connector
• Konfigurationsparameter für Splunk Pull Connector
• Konfigurationsparameter für den Splunk ES – Notable Events Connector

Splunk Query Connector

Der Connector sendet Abfragen, die Teil der dynamischen Liste (whitelist) sind, ruft Ergebnisse ab und erstellt einen Fall basierend auf den abgerufenen Ergebnissen.

Splunk-Beispielabfragen zum Aufrufen der Logs

1. Abfragen sollten als Regeln für die dynamische Liste (whitelist) eingegeben werden.

2. Bei Suchanfragen mit mehreren Filtern sollte ein Leerzeichen als Trennzeichen zwischen den Suchfiltern verwendet werden, z. B. index=cim_modactions sourcetype=modular_alerts:risk.

3. Wenn Sie mehrere Regeln für dynamische Listen (whitelist) verwenden, anstatt mehrere durch Leerzeichen getrennte Suchfilter in dieselbe Regel einzugeben, wird für jede hinzugefügte Regel eine separate Suche ausgeführt.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Connector-Regeln

Der Connector unterstützt Proxys.

Splunk Pull Connector

Benachrichtigungen und Ereignisse aus Splunk in Google SecOps abrufen

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Connector-Regeln

Der Connector unterstützt Proxys.

Splunk ES – Notable Events Connector

Wichtige Ereignisse aus Splunk ES aufnehmen.

Fallpriorität festlegen

Die Fallpriorität wird durch den Parameter Urgency im wichtigen Ereignis definiert. Nur dieser Parameter wird beim Import des wichtigen Ereignisses in Google SecOps berücksichtigt.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Query Filter-Parameter verwenden

Wenn Sie wichtige Ereignisse anhand bestimmter Parameter eingrenzen müssen, verwenden Sie den Parameter Query Filter. Der in diesem Parameter angegebene Wert wird an die WHERE-Klausel der Anfrage angehängt, die zum Abrufen wichtiger Ereignisse gesendet wird.

Die gesendete Beispielabfrage sieht so aus:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Wenn Query Filter = isTesting = True, sieht die Abfrage beispielsweise so aus:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Connector-Regeln

Der Splunk ES-Connector verwendet eine dynamische Liste und eine Sperrliste (whitelist und blacklist). Der Connector verwendet das Feld search_name aus dem Ereignis, um es mit der dynamischen Liste zu vergleichen.

Connector-Ereignis

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Jobs

Splunk ES-Schließungsereignisse synchronisieren

Beschreibung

Synchronisiert geschlossene wichtige Ereignisse in Splunk ES und Google SecOps-Benachrichtigungen.

Parameter

Splunk ES-Kommentare synchronisieren

Beschreibung

Mit diesem Job werden Kommentare in Splunk ES-Ereignissen und Google SecOps-Vorgängen synchronisiert.

Parameter

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten