Splunk

Versión de integración: 50.0

La app de Splunk prepara casos con todas las alertas y eventos relevantes de Splunk. Existen dos formas de transferir estos casos a Google Security Operations: métodos basados en la extracción y métodos basados en la inserción.

El primer método se llama basado en extracción. Con este método, para transferir casos a Google SecOps, debes configurar el conector de extracción de Splunk, que extrae casos de la app de Splunk. Este método no requiere ninguna configuración adicional en la app de Splunk.

El segundo método se llama basado en envío. Con este método, la app de Splunk realiza llamadas a la API de Google SecOps para agregar un caso nuevo. Para trabajar con este método, debes generar una clave de la API de Google SecOps y agregar un URI de Google SecOps en la configuración de la app.

Crea una clave de API:

1. Navega a Configuración > Avanzada > API.

2. Haz clic en el signo más que se encuentra en la parte superior derecha para agregar una clave de API nueva.

3. Ingresa el nombre de la clave de API y haz clic en Crear.

4. Copie la clave de API.

Cómo configurar Splunk para que funcione con Google SecOps

Requisitos previos para habilitar o inhabilitar la autenticación con token

Antes de habilitar la autenticación con token, debes cumplir con los siguientes requisitos:

• La instancia de la plataforma de Splunk en la que deseas habilitar la autenticación con tokens no debe operar en modo heredado, en el que Splunk Web opera como un proceso independiente. Si la plataforma de Splunk está en modo heredado, no se ejecuta la autenticación con token. Para obtener más información sobre el modo heredado, consulta el documento Start and Stop Splunk Enterprise en el Manual del administrador de Splunk Enterprise.

• La cuenta que usas para acceder a la plataforma de Splunk debe tener un rol que tenga la capacidad edit_tokens_settings de la plataforma de Splunk antes de que puedas activar o desactivar la autenticación con tokens.

Habilita la autenticación con token a través de Splunk Web

Cuando la autenticación con token está desactivada, aparece el siguiente mensaje en la página Tokens de Splunk Web:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Completa los siguientes pasos en la instancia en la que deseas habilitar la autenticación con token:

1. Accede a la instancia de la plataforma de Splunk como usuario administrador o como usuario que puede administrar la configuración de los tokens. No puedes usar un token para acceder a Splunk Web. Debes proporcionar un nombre de usuario y una contraseña válidos.

2. Después de acceder correctamente, en la barra del sistema, selecciona Configuración > Tokens.

3. Haz clic en Habilitar autenticación con token. La instancia de la plataforma de Splunk habilita la autenticación con token de inmediato, y no es necesario reiniciar la instancia.

Usa Splunk Web para crear tokens de autenticación

1. En la barra del sistema, haz clic en Configuración > Tokens.

2. Haz clic en Token nuevo.

3. En el diálogo New Token, ingresa el usuario de la plataforma de Splunk para el que deseas crear el token en el campo User.

4. Ingresa una descripción breve del propósito del token en el campo Público.

5. (Opcional) En la lista Vencimiento, selecciona Hora absoluta o Hora relativa. Esta selección determina qué se debe ingresar en el campo de texto que se encuentra debajo de la lista.

   • Si seleccionaste Tiempo absoluto, aparecerán dos campos de texto debajo de la lista.

     1. Ingresa una fecha válida en el primer campo. También puedes hacer clic en el campo para seleccionar una fecha en un calendario emergente.

     2. Ingresa una hora válida de 24 horas en el segundo campo.

   • De lo contrario, aparecerá un campo de texto debajo de la lista desplegable.

     1. Ingresa una cadena que represente cuánto tiempo después de la hora actual quieres que el token siga siendo válido. Por ejemplo, si quieres que el token venza en 10 días, ingresa +10d en este campo.

6. En la lista Not Before, selecciona Absolute Time o Relative Time (opcional).

   Repite el paso que usaste para el control de vencimiento. La fecha y hora de inicio no pueden ser anteriores a la fecha y hora actuales ni posteriores a la fecha y hora de vencimiento.

7. Haz clic en Crear. La ventana New Token actualiza el campo Token para mostrarte el token que se generó.

8. Selecciona todo el texto del token en el campo. Según tu sistema operativo y navegador, puedes hacer clic en el campo Token y, luego, hacer triple clic o presionar Ctrl + A o Comando + A en el teclado. Confirma que seleccionaste todo el texto del token. No habrá más oportunidades para ver el token completo después de cerrar la ventana.

9. Copia el texto del campo Token.

10. Pega el token en un archivo de texto, un correo electrónico o cualquier otra forma de comunicación para la persona a la que autorizaste a usarlo. Confirma que solo compartes el token con las personas a las que autorizaste a usarlo. Cualquier persona que tenga el token completo puede usarlo para autenticarse.

11. Haz clic en Cerrar.

12. Usa un token para configurar la integración de Google SecOps en Splunk.

Instalación

Cabezal de búsqueda único

1. Descarga el paquete TA-Siemplify en tu computadora local. https://splunkbase.splunk.com/app/5010/

2. Instala la app en el visor.

   Selecciona App: Search & Reporting. Aparecerá el diálogo Subir una app.

3. Haz clic en Elegir archivo y selecciona el archivo de la app.

4. Haz clic en Subir. Espera a que se suba el archivo.

5. Reinicia Splunk.

Configura TA-Siemplify

1. En Splunk Enterprise, ve a la página Apps.

2. Selecciona Siemplify.

3. En la pestaña Configuración del complemento, agrega lo siguiente:

   Para el método basado en envío, haz lo siguiente:

   • Establece el URI de la API de Siemplify en el URI de tu servidor de Google SecOps.
   • Establece Mode en Push mode.
   • En el campo Clave de API, ingresa el valor del token que se generó en la sección Claves de API.

   Para el método basado en extracción, haz lo siguiente:

   • Establece el Modo en Modo de extracción.

4. Haz clic en Guardar.

Configuración de alertas

Para enviar datos de alertas y eventos a Google SecOps, se debe agregar una acción de activación a una alerta de Splunk existente.

Los campos Entorno, Proveedor del dispositivo, Producto del dispositivo y Tipo de evento admiten plantillas de eventos. Las plantillas de eventos permiten que los campos específicos dentro de Google SecOps se configuren de forma dinámica según los valores de la alerta. Para utilizar plantillas de eventos, encierra el nombre de un campo entre corchetes "[ ]". El primer evento de la alerta se usará para completar estos campos.

Ejemplo: Si tienes una alerta que contiene un campo device_vendor con un valor de Microsoft, puedes colocar [device_vendor] en el parámetro de configuración Device Vendor y, cuando se envíe la alerta a Google SecOps, el proveedor se establecerá en Microsoft.

1. En Splunk, navega a Alertas.

2. En la lista Editar, selecciona Editar alerta.

3. En la sección Trigger Actions, navega a Add Actions > Send Alert to Siemplify.

4. Configura la alerta de la siguiente manera:

   • Nombre: El valor establecido aquí afectará el nombre de la alerta.
   • Prioridad: El valor establecido aquí afectará la prioridad del caso de SecOps de Google.
   • Categoría: Se usa para definir la familia visual.
   • Entorno: Se asigna al entorno en Google SecOps. Déjalo en blanco si no hay ningún entorno. Se admite el uso de plantillas con corchetes.
   • Proveedor del dispositivo: Se usa para definir el proveedor del sistema que envía el evento a Google SecOps. Si las alertas se generaron con Microsoft Sysmon, usa Microsoft o un valor dentro de la alerta o el evento con plantillas.
   • Producto del dispositivo: Se usa para definir el producto del sistema que envía el evento a Google SecOps. Si las alertas se generaron con Microsoft Sysmon, este valor debe ser Sysmon o un valor dentro de la alerta o el evento que use plantillas.
   • Tipo de evento: Se usa para definir el tipo de evento en la sección Configuración de eventos de Google SecOps. Si la alerta buscaba procesos maliciosos, el tipo de evento debería ser algo como "Se encontró un proceso" o un valor dentro de la alerta o el evento que use plantillas.
   • Campo de hora: Se usa para definir la hora de inicio y la hora de finalización del caso de Google SecOps. Si no se proporciona, se verificará el campo "_indextime". Si no puede encontrar "_indextime", usará la hora en que se generó la alerta. No se admite el uso de plantillas.
   • Expand MultiValue Fields: Si estableces este parámetro en 1, el sistema encontrará todos los campos con varios valores y creará campos adicionales que se asignen a cada valor del campo con varios valores. Por ejemplo, si un campo de varios valores, src_hosts, contiene el valor Server1, Server2, Server3. El sistema creará nuevos campos de src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Esta opción solo se admite cuando la opción Bring All Events Data está inhabilitada.
   • Bring All Events Data: Este parámetro de configuración intentará traer los eventos sin procesar que componen una alerta que contiene un comando de transformación (gráfico, gráfico de tiempo, estadísticas, principales, poco frecuentes, contingencia, destacados). Para admitir esto, se requiere un cambio en el encabezado de búsqueda de Splunk.

5. Para habilitar los eventos sin procesar de las búsquedas de transformación, copia $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf en $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf. Edita $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf. Quita la marca de comentario de #dispatch.buckets =1.

6. Guarda el archivo y reinicia Splunk para que se aplique la configuración.

Soluciona problemas

Para cambiar el nivel de registro a DEBUG, completa los siguientes pasos:

1. En Splunk Web, selecciona tu aplicación.

2. Ve a Configuración > Configuración del servidor > Registro del servidor.

3. En el parámetro Nivel de registro, selecciona DEBUG.

4. Haz clic en Guardar.

La consulta de datos de registro del TA de Google SecOps dependerá de tu implementación de Splunk. Si tienes instalado Splunk CIM, los registros estarán en el índice cim_modactions. De lo contrario, los registros estarán en el índice _internal.

Red

Acceso de red al acceso a la API de Splunk desde Google SecOps a Splunk: Permite el tráfico a través del puerto 8089.

Cómo implementar el complemento de Google SecOps en un entorno de clúster

Para crear un servidor de implementación y cabezales de búsqueda, completa los siguientes pasos:

1. Accede al servidor de implementación con SSH.

2. Asegúrate de que exista el archivo /opt/splunk/etc/system/local/serverclass.conf. De lo contrario, ejecuta el siguiente comando:

   vi /opt/splunk/etc/system/local/serverclass.conf

   A continuación, se muestra un ejemplo de la configuración:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Sube y extrae el archivo de la app en el directorio /opt/splunk/etc/deployment-apps.

4. Crea el usuario de Splunk si no existe:

   useradd splunk

5. No existe el grupo de Splunk para crear:

   groupadd splunk

6. Agrega permisos de usuario de Splunk para la app:

   chown splunk:splunk {app path}

7. Accede a los servidores de búsqueda con SSH.

8. Agrega encabezados de búsqueda como clientes al servidor de implementación:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Reinicia todos los servidores de búsqueda.

10. Accede a la IU del servidor de implementación.

11. Navega a Configuración > Entorno distribuido > Administrador de reenvío.

12. Ve a la pestaña Clases de servidor y haz clic en Nueva clase de servidor.

13. Proporciona un nombre para la clase de servidor.

14. Agrega el complemento de Google SecOps como una app y los encabezados de búsqueda como clientes.

15. Reinicia todos los servidores de búsqueda.

16. Asegúrate de que la app esté configurada correctamente en todos los servidores de búsqueda. Splunk no sincroniza las apps de forma coherente en todo el clúster.

Problemas conocidos

Si recibes el error int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed en los registros, asegúrate de que los parámetros de la raíz de la API y la clave de API en la configuración tengan un valor, incluso si trabajas con el modo de extracción.

Configura la integración de Splunk en Google SecOps

La integración de Splunk te permite verificar la conexión con un archivo de certificado de CA. Este es un método de verificación de conexión adicional.

Para usar este método, debes tener lo siguiente:*

• Archivo del certificado de CA
• Versión 26.0 o posterior de la integración de Splunk

Configura la integración en Google SecOps:

1. Analiza tu archivo de certificado de CA en una cadena Base64.

2. Abre la página de configuración de la integración.

3. En el campo CA Certificate File, ingresa la cadena del certificado de CA.

4. Para probar la conexión, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Acciones

Obtén eventos del host

Descripción

Obtener eventos relacionados con hosts en Splunk

Parámetros

Ejecutar en

Esta acción se ejecuta en la entidad Hostname.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Muro de casos

Ping

Descripción

Prueba la conectividad a Splunk con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejecutar en

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Muro de casos

Splunk Csv Viewer

Descripción

Parámetros

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

SplunkQuery

Descripción

Ejecuta una consulta en Splunk.

Parámetros

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Muro de casos

Enviar evento

Descripción

Envía el evento a Splunk.

Parámetros

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Muro de casos

Actualiza los eventos destacados

Descripción

Actualiza los eventos notables en Splunk ES.

Parámetros

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Muro de casos

Ejecuta la consulta de entidad

Descripción

Ejecuta una consulta de entidades en Splunk.

¿Cómo trabajar con parámetros de acción?

Esta acción permite recuperar fácilmente información relacionada con entidades. Por ejemplo, es posible resolver el caso de uso en el que deseas ver la cantidad de eventos de los extremos afectados por los hashes proporcionados sin ninguna creación de consultas complicada. Para resolver este problema en Splunk, deberás preparar la siguiente consulta: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Para crear la misma consulta con la acción "Ejecutar consulta de entidad", deberás completar los parámetros de acción de la siguiente manera:

Todos los demás campos se pueden dejar vacíos.

Si el caso de uso es ver cuántos endpoints se vieron afectados por los hashes proporcionados, la configuración de "Ejecutar consulta de entidad" tendrá el siguiente aspecto.

En esta situación, el "operador de varias entidades" no tendrá impacto, ya que solo afecta la búsqueda cuando se proporcionan varias "claves de entidad".

Parámetros

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

• Dirección IP
• Host
• Usuario
• Hash
• URL

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Muro de casos

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se enumeran en las siguientes tablas:

• Parámetros de configuración de Splunk Query Connector
• Parámetros de configuración de Splunk Pull Connector
• Splunk ES: Parámetros de configuración del conector de eventos notables

Conector de consultas de Splunk

El conector envía consultas que forman parte de la lista dinámica (whitelist), recupera resultados y crea un caso en función de los resultados recuperados.

Ejemplos de consultas de Splunk para ver los registros

1. Las consultas se deben ingresar como las reglas de la lista dinámica (whitelist).

2. Las búsquedas con varios filtros deben usar un espacio como delimitador entre los filtros de búsqueda, por ejemplo, index=cim_modactions sourcetype=modular_alerts:risk.

3. Si usas varias reglas de lista dinámica (whitelist) en lugar de ingresar varios filtros de búsqueda delimitados por espacios en la misma regla, se ejecutará una búsqueda independiente para cada regla agregada.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Reglas del conector

El conector admite proxy.

Conector de extracción de Splunk

Extrae alertas y eventos de Splunk a Google SecOps.

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Reglas del conector

El conector admite proxy.

Splunk ES: conector de eventos notables

Transfiere eventos notables desde Splunk ES.

Cómo definir la prioridad del caso

La prioridad del caso se define con el parámetro Urgency en el evento destacado. Solo se tiene en cuenta este parámetro cuando se incorpora el evento notable en Google SecOps.

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Cómo usar el parámetro Query Filter

Si es necesario reducir la cantidad de eventos destacados según parámetros específicos, usa el parámetro Query Filter. El valor proporcionado en este parámetro se agrega a la cláusula WHERE de la consulta que se envía para obtener eventos destacados.

El ejemplo de la búsqueda enviada es el siguiente:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Por ejemplo, si Query Filter = isTesting = True, la consulta se verá de la siguiente manera:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Reglas del conector

El conector de Splunk ES usa listas dinámicas de bloqueo y de permiso (whitelist y blacklist). El conector usa el campo search_name del evento para compararlo con la lista dinámica.

Evento del conector

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Trabajos

Sincroniza los eventos cerrados de Splunk ES

Descripción

Sincroniza los eventos notables cerrados de Splunk ES y las alertas de SecOps de Google.

Parámetros

Sincroniza los comentarios de Splunk ES

Descripción

Este trabajo sincronizará los comentarios en los eventos de Splunk ES y los casos de Google SecOps.

Parámetros

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.