Splunk

Version de l'intégration : 50.0

L'application Splunk prépare les demandes avec toutes les alertes et tous les événements pertinents de Splunk. Il existe deux façons d'ingérer ces cas dans Google Security Operations : les méthodes basées sur l'extraction et celles basées sur l'envoi.

La première méthode est appelée pull-based. Avec cette méthode, pour ingérer des cas dans Google SecOps, vous devez configurer le connecteur Splunk Pull, qui extrait les cas de l'application Splunk. Cette méthode ne nécessite aucune configuration supplémentaire dans l'application Splunk.

La deuxième méthode est appelée méthode basée sur l'envoi. Avec cette méthode, l'application Splunk effectue des appels d'API à Google SecOps pour ajouter une demande. Pour utiliser cette méthode, vous devez générer une clé API Google SecOps et ajouter une URI Google SecOps dans la configuration de l'application.

Créez une clé API :

1. Accédez à Paramètres> Avancés> API.

2. Cliquez sur le signe Plus en haut à droite pour ajouter une clé API.

3. Saisissez le nom de la clé API, puis cliquez sur Créer.

4. Copiez la clé API.

Configurer Splunk pour qu'il fonctionne avec Google SecOps

Conditions requises pour activer ou désactiver l'authentification par jeton

Avant de pouvoir activer l'authentification par jeton, vous devez remplir les conditions suivantes :

• L'instance de la plate-forme Splunk sur laquelle vous souhaitez activer l'authentification par jeton ne doit pas fonctionner en mode ancien, où Splunk Web fonctionne comme un processus distinct. Si la plate-forme Splunk est en mode ancien, l'authentification par jeton ne s'exécute pas. Pour en savoir plus sur l'ancien mode, consultez le document Démarrer et arrêter Splunk Enterprise dans le manuel de l'administrateur Splunk Enterprise.

• Le compte que vous utilisez pour vous connecter à la plate-forme Splunk doit disposer d'un rôle doté de la fonctionnalité de plate-forme Splunk edit_tokens_settings avant de pouvoir activer ou désactiver l'authentification par jeton.

Activer l'authentification par jeton à l'aide de Splunk Web

Lorsque l'authentification par jeton est désactivée, le message suivant s'affiche sur la page Jetons de Splunk Web :

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Suivez les étapes ci-dessous sur l'instance sur laquelle vous souhaitez activer l'authentification par jeton :

1. Connectez-vous à l'instance de la plate-forme Splunk en tant qu'administrateur ou en tant qu'utilisateur pouvant gérer les paramètres des jetons. Vous ne pouvez pas utiliser de jeton pour vous connecter à Splunk Web. Vous devez fournir un nom d'utilisateur et un mot de passe valides.

2. Une fois connecté, sélectionnez Paramètres> Jetons dans la barre système.

3. Cliquez sur Activer l'authentification par jeton. L'instance de la plate-forme Splunk permet l'authentification par jeton immédiatement, et il n'est pas nécessaire de redémarrer l'instance.

Utiliser Splunk Web pour créer des jetons d'authentification

1. Dans la barre système, cliquez sur Paramètres> Jetons.

2. Cliquez sur Nouveau jeton.

3. Dans la boîte de dialogue Nouveau jeton, saisissez l'utilisateur de la plate-forme Splunk pour lequel vous souhaitez créer le jeton dans le champ Utilisateur.

4. Saisissez une brève description de l'objectif du jeton dans le champ Audience.

5. (Facultatif) Dans la liste Expiration, sélectionnez Heure absolue ou Heure relative. Cette sélection détermine ce qu'il faut saisir dans le champ de texte situé sous la liste.

   • Si vous avez sélectionné Heure absolue, deux champs de texte s'affichent sous la liste.

     1. Saisissez une date valide dans le premier champ. Vous pouvez également cliquer sur le champ pour sélectionner une date dans un calendrier pop-up.

     2. Saisissez une heure valide au format 24 heures dans le deuxième champ.

   • Sinon, un champ de texte s'affiche sous la liste déroulante.

     1. Saisissez une chaîne représentant la durée de validité du jeton après l'heure actuelle. Par exemple, si vous souhaitez que le jeton expire dans 10 jours, saisissez +10d dans ce champ.

6. (Facultatif) Dans la liste Pas avant, sélectionnez Heure absolue ou Heure relative.

   Répétez l'étape que vous avez utilisée pour le contrôle de l'expiration. La date "Pas avant" ne peut pas être dans le passé ni postérieure à la date d'expiration.

7. Cliquez sur Créer. La fenêtre Nouveau jeton met à jour le champ Jeton pour afficher le jeton qui a été généré.

8. Sélectionnez tout le texte du jeton dans le champ. En fonction de votre système d'exploitation et de votre navigateur, vous pouvez cliquer sur le champ Jeton, puis effectuer un triple clic ou appuyer sur Ctrl+A ou Cmd+A sur votre clavier. Assurez-vous d'avoir sélectionné tout le texte du jeton. Vous n'aurez plus la possibilité de voir l'intégralité du jeton une fois la fenêtre fermée.

9. Copiez le texte du champ Jeton.

10. Collez le jeton dans un fichier texte, un e-mail ou tout autre moyen de communication à la personne que vous avez autorisée à l'utiliser. Confirmez que vous ne partagez le jeton qu'avec les personnes que vous avez autorisées à l'utiliser. Toute personne disposant du jeton complet peut l'utiliser pour s'authentifier.

11. Cliquez sur Fermer.

12. Utilisez un jeton pour configurer l'intégration Google SecOps Splunk.

Installation

Tête de recherche unique

1. Téléchargez le package TA-Siemplify sur votre ordinateur local. https://splunkbase.splunk.com/app/5010/

2. Installez l'application sur votre tête de recherche.

   Sélectionnez App: Search & Reporting. La boîte de dialogue Importer une application s'affiche.

3. Cliquez sur Sélectionner un fichier, puis sélectionnez le fichier de l'application.

4. Cliquez sur Importer. Attendez que le fichier soit importé.

5. Redémarrez Splunk.

Configurer TA-Siemplify

1. Dans Splunk Enterprise, accédez à la page Apps (Applications).

2. Sélectionnez Siemplify.

3. Dans l'onglet Paramètres du module complémentaire, ajoutez les éléments suivants :

   Pour la méthode push :

   • Définissez l'URI de l'API Siemplify sur l'URI de votre serveur Google SecOps.
   • Définissez Mode sur Mode Push.
   • Dans le champ Clé API, saisissez la valeur du jeton générée dans la section "Clés API".

   Pour la méthode basée sur l'extraction :

   • Définissez le Mode sur Mode Pull.

4. Cliquez sur Enregistrer.

Configuration des alertes

Pour envoyer des données d'alertes et d'événements à Google SecOps, une action de déclencheur doit être ajoutée à une alerte Splunk existante.

Les champs "Environnement", "Fournisseur de l'appareil", "Produit de l'appareil" et "Type d'événement" sont compatibles avec les modèles d'événements. Les modèles d'événements permettent de définir de manière dynamique les champs spécifiques de Google SecOps en fonction des valeurs de l'alerte. Pour utiliser les modèles d'événements, entourez un nom de champ de crochets "[ ]". Le premier événement de l'alerte sera utilisé pour remplir ces champs.

Exemple : Si vous avez une alerte qui contient un champ device_vendor avec une valeur Microsoft, vous pouvez insérer [device_vendor] dans le paramètre de configuration "Fournisseur de l'appareil". Lorsque l'alerte est envoyée à Google SecOps, le fournisseur est défini sur Microsoft.

1. Dans Splunk, accédez à Alerts (Alertes).

2. Dans la liste Modifier, sélectionnez Modifier l'alerte.

3. Dans la section Actions de déclencheur, accédez à Ajouter des actions > Envoyer une alerte à Siemplify.

4. Configurez l'alerte comme suit :

   • Nom : la valeur définie ici affecte le nom de l'alerte.
   • Priorité : la valeur définie ici affecte la priorité de la demande Google SecOps.
   • Catégorie : permet de définir la famille visuelle.
   • Environnement : mappage de l'environnement dans Google SecOps. Laissez ce champ vide si vous ne souhaitez pas définir d'environnement. Les modèles avec crochets sont acceptés.
   • Fournisseur de l'appareil : permet de définir le fournisseur du système qui envoie l'événement à Google SecOps. Si les alertes ont été générées par Microsoft Sysmon, utilisez Microsoft ou une valeur de l'alerte/de l'événement à l'aide de modèles.
   • Produit de l'appareil : utilisé pour définir le produit du système qui envoie l'événement à Google SecOps. Si les alertes ont été générées par Microsoft Sysmon, cette valeur doit être "Sysmon" ou provenir d'une valeur dans l'alerte/l'événement à l'aide de modèles.
   • Type d'événement : permet de définir le type d'événement dans la section "Configuration des événements Google SecOps". Si l'alerte recherchait des processus malveillants, le type d'événement doit être "Processus trouvé" ou provenir d'une valeur dans l'alerte/l'événement à l'aide de modèles.
   • Champ "Heure" : permet de définir les heures de début et de fin de la demande Google SecOps. Si cette valeur n'est pas fournie, le champ "_indextime" sera vérifié. S'il ne parvient pas à trouver "_indextime", il utilisera l'heure à laquelle l'alerte a été générée. Les modèles ne sont pas acceptés.
   • Développer les champs à valeurs multiples : si vous définissez cette option sur 1, le système recherchera les champs à valeurs multiples et créera des champs supplémentaires correspondant à chaque valeur du champ à valeurs multiples. Par exemple, si un champ à valeurs multiples, src_hosts, contient les valeurs suivantes : Server1, Server2, Server3. Le système créera les champs suivants : src_hosts_0 : Server1, src_hosts_1 : Server2, src_hosts_2 : Server3. Cette option n'est disponible que lorsque l'option "Importer toutes les données d'événements" est désactivée.
   • Importer toutes les données d'événements : ce paramètre tente d'importer les événements bruts qui composent une alerte contenant une commande de transformation (chart, timechart, stats, top, rare, contingency, highlight). Pour ce faire, une modification de la tête de recherche Splunk est nécessaire.

5. Pour activer les événements bruts à partir des recherches de transformations, copiez : $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf vers $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Modifier : $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Supprimer le commentaire : #dispatch.buckets =1

6. Enregistrez le fichier et redémarrez Splunk pour que ces paramètres prennent effet.

Dépannage

Pour définir le niveau de journalisation sur DEBUG, procédez comme suit :

1. Dans Splunk Web, sélectionnez votre application.

2. Accédez à Paramètres > Paramètres du serveur > Journalisation du serveur.

3. Pour le paramètre Niveau de journal, sélectionnez DEBUG.

4. Cliquez sur Enregistrer.

L'interrogation des données de journaux à partir de Google SecOps TA dépend de votre implémentation Splunk. Si vous avez installé Splunk CIM, les journaux se trouveront dans l'index cim_modactions. Sinon, les journaux se trouveront dans l'index _internal.

Réseau

Accès réseau à l'accès à l'API Splunk depuis Google SecOps vers Splunk : Autorisez le trafic sur le port 8089.

Déployer le module complémentaire Google SecOps dans un environnement de cluster

Pour créer un serveur de déploiement et des search heads, procédez comme suit :

1. Connectez-vous au serveur de déploiement à l'aide de SSH.

2. Assurez-vous que le fichier /opt/splunk/etc/system/local/serverclass.conf existe. Si ce n'est pas le cas, exécutez la commande suivante :

   vi /opt/splunk/etc/system/local/serverclass.conf

   Voici un exemple de configuration :

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Importez et extrayez le fichier d'application dans le répertoire /opt/splunk/etc/deployment-apps.

4. Créez un utilisateur Splunk s'il n'existe pas :

   useradd splunk

5. Le groupe Splunk n'existe pas :

   groupadd splunk

6. Ajoutez des autorisations utilisateur Splunk pour l'application :

   chown splunk:splunk {app path}

7. Connectez-vous aux têtes de recherche à l'aide de SSH.

8. Ajoutez des têtes de recherche en tant que clients au serveur de déploiement :

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Redémarrez tous les nœuds de recherche.

10. Connectez-vous à l'interface utilisateur du serveur de déploiement.

11. Accédez à Paramètres> Environnement distribué> Gestionnaire de transfert.

12. Accédez à l'onglet Classes de serveur, puis cliquez sur Nouvelle classe de serveur.

13. Attribuez un nom à la classe de serveur.

14. Ajoutez le module complémentaire Google SecOps en tant qu'application et les têtes de recherche en tant que clients.

15. Redémarrez tous les Search Heads.

16. Assurez-vous que l'application est correctement configurée sur tous les nœuds de recherche. Splunk ne synchronise pas systématiquement les applications sur l'ensemble du cluster.

Problèmes connus

Si l'erreur int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed s'affiche dans les journaux, assurez-vous que les paramètres de configuration "Racine de l'API" et "Clé API" ont une valeur, même si vous utilisez le mode Pull.

Configurer l'intégration Splunk dans Google SecOps

L'intégration Splunk vous permet de valider la connexion à l'aide d'un fichier de certificat d'autorité de certification. Il s'agit d'une méthode de validation de la connexion supplémentaire.

Pour utiliser cette méthode, vous devez disposer des éléments suivants* :

• Fichier de certificat CA
• Version 26.0 ou ultérieure de l'intégration Splunk

Configurez l'intégration dans Google SecOps :

1. Analysez votre fichier de certificat CA en une chaîne Base64.

2. Ouvrez la page de configuration de l'intégration.

3. Dans le champ Fichier de certificat CA, saisissez la chaîne du certificat CA.

4. Pour tester la connexion, cochez la case Valider le protocole SSL, puis cliquez sur Tester.

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Actions

Récupérer les événements hôtes

Description

Obtenez des événements liés aux hôtes dans Splunk.

Paramètres

Exécuter sur

Cette action s'exécute sur l'entité "Nom d'hôte".

Résultats de l'action

Résultat du script

Résultat JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Mur des cas

Ping

Description

Testez la connectivité à Splunk avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exécuter sur

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Mur des cas

Splunk Csv Viewer

Description

Paramètres

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

SplunkQuery

Description

Exécutez une requête dans Splunk.

Paramètres

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Résultat JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Mur des cas

Envoyer un événement

Description

Envoyez un événement à Splunk.

Paramètres

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Résultat JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Mur des cas

Mettre à jour les grands événements

Description

Mettez à jour les événements notables dans Splunk ES.

Paramètres

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Mur des cas

Exécuter une requête d'entité

Description

Exécutez une requête d'entité dans Splunk.

Comment utiliser les paramètres d'action ?

Cette action permet de récupérer facilement des informations sur les entités. Par exemple, vous pouvez résoudre le cas d'utilisation dans lequel vous souhaitez voir le nombre d'événements des points de terminaison concernés par les hachages fournis sans créer de requêtes complexes. Pour résoudre ce problème dans Splunk, vous devez préparer la requête suivante : index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Pour créer la même requête à l'aide de l'action "Execute Entity Query" (Exécuter une requête d'entité), vous devez remplir les paramètres de l'action de la manière suivante :

Vous pouvez laisser tous les autres champs vides.

Si le cas d'utilisation consiste à déterminer le nombre de points de terminaison affectés par les hachages fournis, la configuration de "Exécuter une requête d'entité" se présentera comme suit.

Dans ce cas, l'opérateur "Cross Entity Operator" n'aura aucun impact, car il n'affecte la requête que lorsque plusieurs "clés d'entité" sont fournies.

Paramètres

Exécuter sur

Cette action s'applique aux entités suivantes :

• Adresse IP
• Hôte
• Utilisateur
• Hash
• URL

Résultats de l'action

Résultat du script

Résultat JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Mur des cas

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :

• Paramètres de configuration de Splunk Query Connector
• Paramètres de configuration de Splunk Pull Connector
• Paramètres de configuration du connecteur Splunk ES - Notable Events

Connecteur de requêtes Splunk

Le connecteur envoie les requêtes qui font partie de la liste dynamique (whitelist), récupère les résultats et crée une fiche en fonction des résultats obtenus.

Exemples de requêtes Splunk pour afficher les journaux

1. Les requêtes doivent être saisies en tant que règles de liste dynamique (whitelist).

2. Les requêtes de recherche comportant plusieurs filtres doivent utiliser un espace comme délimiteur entre les filtres de recherche (par exemple, index=cim_modactions sourcetype=modular_alerts:risk).

3. Si vous utilisez plusieurs règles de liste dynamique (whitelist) au lieu de saisir plusieurs filtres de recherche délimités par des espaces dans la même règle, une recherche distincte est exécutée pour chaque règle ajoutée.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Paramètres du connecteur

Pour configurer le connecteur, utilisez les paramètres suivants :

Règles du connecteur

Le connecteur est compatible avec le proxy.

Splunk Pull Connector

Récupérez les alertes et les événements de Splunk dans Google SecOps.

Paramètres du connecteur

Pour configurer le connecteur, utilisez les paramètres suivants :

Règles du connecteur

Le connecteur est compatible avec le proxy.

Connecteur d'événements notables Splunk ES

Ingérez les événements notables depuis Splunk ES.

Définir la priorité d'une demande

La priorité de la demande est définie par le paramètre Urgency dans l'événement notable. Seul ce paramètre est pris en compte lors de l'ingestion de l'événement notable dans Google SecOps.

Paramètres du connecteur

Pour configurer le connecteur, utilisez les paramètres suivants :

Utiliser le paramètre Query Filter

Si vous devez affiner les événements notables en fonction de paramètres spécifiques, utilisez le paramètre Query Filter. La valeur fournie dans ce paramètre est ajoutée à la clause WHERE de la requête envoyée pour obtenir les événements notables.

Voici un exemple de requête envoyée :

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Par exemple, si Query Filter = isTesting = True, la requête se présente comme suit :

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Règles du connecteur

Le connecteur Splunk ES utilise des listes dynamiques d'autorisation et de blocage (whitelist et blacklist). Il utilise le champ search_name de l'événement pour le comparer à la liste dynamique.

Événement de connecteur

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Jobs

Synchroniser les événements Splunk ES fermés

Description

Synchronise les événements notables Splunk ES et les alertes Google SecOps fermés.

Paramètres

Synchroniser les commentaires Splunk ES

Description

Ce job synchronise les commentaires dans les événements Splunk ES et les demandes Google SecOps.

Paramètres

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.