Halaman ini diterjemahkan oleh Cloud Translation API.

Splunk

Versi integrasi: 50.0

Aplikasi Splunk menyiapkan kasus dengan semua pemberitahuan dan peristiwa yang relevan dari Splunk. Ada dua cara untuk memasukkan kasus ini ke dalam Google Security Operations: metode berbasis penarikan dan berbasis pengiriman.

Metode pertama disebut berbasis penarikan. Dengan menggunakan metode ini, untuk memproses kasus ke Google SecOps, Anda perlu mengonfigurasi Konektor Pull Splunk, yang menarik kasus dari aplikasi Splunk. Metode ini tidak memerlukan konfigurasi tambahan apa pun di aplikasi Splunk.

Metode kedua disebut berbasis push. Dengan metode ini, aplikasi Splunk melakukan panggilan API ke Google SecOps untuk menambahkan kasus baru. Untuk menggunakan metode ini, Anda harus membuat kunci API Google SecOps dan menambahkan URI Google SecOps dalam konfigurasi aplikasi.

Buat kunci API:

Buka Setelan > Lanjutan > API.
Klik tanda plus di kanan atas untuk menambahkan kunci API baru.
Masukkan nama kunci API, lalu klik Buat.

Catatan: Agar metode berbasis push berfungsi, Anda harus memiliki izin tingkat dasar atau admin.
Salin kunci API.

Cara mengonfigurasi Splunk agar dapat berfungsi dengan Google SecOps

Prasyarat untuk mengaktifkan atau menonaktifkan autentikasi token

Sebelum dapat mengaktifkan autentikasi token, Anda harus memenuhi persyaratan berikut:

Instance platform Splunk tempat Anda ingin mengaktifkan autentikasi token tidak boleh beroperasi dalam mode lama, di mana Splunk Web beroperasi sebagai proses terpisah. Jika platform Splunk dalam mode lama, autentikasi token tidak akan berjalan. Untuk mengetahui informasi selengkapnya tentang mode lama, lihat dokumen Start and Stop Splunk Enterprise di Panduan Admin Splunk Enterprise.
Akun yang Anda gunakan untuk login ke platform Splunk harus memiliki peran yang memiliki kemampuan platform Splunk edit_tokens_settings sebelum Anda dapat mengaktifkan atau menonaktifkan autentikasi token.

Mengaktifkan autentikasi token menggunakan Splunk Web

Jika autentikasi token nonaktif, pesan berikut akan ditampilkan di halaman Token di Splunk Web:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Selesaikan langkah-langkah berikut di instance tempat Anda ingin mengaktifkan autentikasi token:

Login ke instance platform Splunk sebagai pengguna administrator, atau pengguna yang dapat mengelola setelan token. Anda tidak dapat menggunakan token untuk login ke Splunk Web. Anda harus memberikan nama pengguna dan sandi yang valid.
Setelah Anda berhasil login, di kolom sistem, pilih Setelan > Token.
Klik Enable Token Authentication. Instance platform Splunk akan segera mengaktifkan autentikasi token, dan tidak perlu memulai ulang instance.

Menggunakan Splunk Web untuk membuat token autentikasi

Di kolom sistem, klik Setelan > Token.
Klik New Token.
Pada dialog New Token, masukkan pengguna platform Splunk yang ingin Anda buatkan tokennya di kolom User.
Masukkan deskripsi singkat tentang tujuan token di kolom Audiens.
(Opsional) Di daftar Masa berlaku, pilih Waktu Mutlak atau Waktu Relatif. Pilihan ini menentukan apa yang harus dimasukkan di kolom teks di bawah daftar.
- Jika Anda memilih Waktu Absolut, dua kolom teks akan muncul di bawah daftar.
  1. Masukkan tanggal yang valid ke dalam kolom pertama. Anda juga dapat mengklik kolom untuk memilih tanggal dari kalender pop-up.
  2. Masukkan waktu 24 jam yang valid di kolom kedua.
- Jika tidak, satu kolom teks akan muncul di bawah daftar drop-down.
  1. Masukkan string yang menunjukkan berapa lama setelah waktu saat ini Anda ingin token tetap valid. Misalnya, jika Anda ingin masa berlaku token berakhir 10 hari dari sekarang, masukkan +10d ke dalam kolom ini.
(Opsional) Di daftar Not Before, pilih Absolute Time atau Relative Time.

Ulangi langkah yang Anda gunakan untuk kontrol Masa berlaku. Waktu Not before tidak boleh di masa lalu, dan tidak boleh lebih lambat dari waktu "Expiration".
Klik Buat. Jendela New Token akan memperbarui kolom Token untuk menampilkan token yang telah dibuat.
Pilih semua teks token di kolom. Bergantung pada sistem operasi dan browser Anda, Anda dapat mengklik kolom Token, lalu mengklik tiga kali atau menekan Ctrl-A atau Command-A di keyboard. Konfirmasi bahwa Anda telah memilih semua teks token. Tidak ada lagi peluang untuk melihat seluruh token setelah Anda menutup jendela.
Salin teks dari kolom Token.
Tempelkan token ke file teks, email, atau bentuk komunikasi lainnya kepada orang yang telah Anda beri otorisasi untuk menggunakan token tersebut. Konfirmasi bahwa Anda hanya membagikan token kepada orang yang telah Anda beri otorisasi untuk menggunakannya. Siapa pun yang memiliki token lengkap dapat menggunakannya untuk mengautentikasi.
Klik Close.
Gunakan token untuk mengonfigurasi integrasi Google SecOps Splunk.

Penginstalan

Kepala penelusuran tunggal

Download paket TA-Siemplify ke komputer lokal Anda. https://splunkbase.splunk.com/app/5010/
Instal aplikasi di kepala penelusuran Anda.

Pilih Aplikasi: Penelusuran & Pelaporan. Dialog Upload aplikasi akan muncul.
Klik Pilih File, lalu pilih file aplikasi.
Klik Upload. Tunggu hingga file diupload.
Mulai ulang Splunk.

Mengonfigurasi TA-Siemplify

Di Splunk Enterprise, buka halaman Apps.
Pilih Siemplify.
Di tab Setelan Add-on, tambahkan berikut ini:

Untuk metode berbasis push:
- Tetapkan Siemplify API URI ke URI server Google SecOps Anda.
- Setel Mode ke Push mode.
- Di kolom Kunci API, masukkan nilai token yang dihasilkan di bagian Kunci API.
Untuk metode berbasis pull:
- Setel Mode ke Mode tarik.
Klik Simpan.

Konfigurasi Pemberitahuan

Untuk mengirim data peristiwa dan pemberitahuan ke Google SecOps, tindakan pemicu harus ditambahkan ke Pemberitahuan Splunk yang ada.

Kolom Lingkungan, Vendor Perangkat, Produk Perangkat, dan Jenis Peristiwa mendukung pembuatan template peristiwa. Dengan pembuatan template peristiwa, kolom tertentu dalam Google SecOps dapat ditetapkan secara dinamis berdasarkan nilai dalam pemberitahuan. Untuk menggunakan pembuatan template peristiwa, sertakan nama kolom dalam tanda kurung siku '[ ]'. Peristiwa pertama dalam pemberitahuan akan digunakan untuk mengisi kolom ini.

Contoh: Jika Anda memiliki pemberitahuan yang berisi kolom device_vendor dengan nilai Microsoft, Anda dapat memasukkan [device_vendor] dalam parameter konfigurasi Vendor Perangkat dan saat pemberitahuan dikirim ke Google SecOps, vendor akan ditetapkan ke Microsoft.

Di Splunk, buka Alerts.
Dalam daftar Edit, pilih Edit Pemberitahuan.
Di bagian Trigger Actions, buka Add Actions > Send Alert to Siemplify.
Konfigurasi Pemberitahuan sebagai berikut:
- Nama: Nilai yang ditetapkan di sini akan memengaruhi nama Notifikasi.
- Prioritas: Nilai yang ditetapkan di sini akan memengaruhi prioritas kasus Google SecOps.
- Kategori: Digunakan untuk menentukan keluarga visual.
- Lingkungan: Dipetakan ke lingkungan di Google SecOps. Biarkan kosong jika tidak ada lingkungan. Templating dengan tanda kurung siku didukung.
- Vendor Perangkat: Digunakan untuk menentukan vendor sistem yang mengirimkan peristiwa ke Google SecOps. Jika pemberitahuan dibuat oleh Microsoft Sysmon, gunakan Microsoft atau dari nilai dalam pemberitahuan/peristiwa menggunakan pembuatan template.
- Produk Perangkat: Digunakan untuk menentukan produk sistem yang mengirimkan peristiwa ke Google SecOps. Jika pemberitahuan dihasilkan oleh Microsoft Sysmon, nilai ini harus berupa Sysmon atau dari nilai dalam pemberitahuan/peristiwa menggunakan pembuatan template.
- Jenis Peristiwa: Digunakan untuk menentukan jenis peristiwa di bagian Konfigurasi Peristiwa Google SecOps. Jika pemberitahuan mencari proses berbahaya, jenis peristiwa harus berupa "Proses Ditemukan" atau dari nilai dalam pemberitahuan/peristiwa menggunakan pembuatan template.
- Kolom Waktu: Digunakan untuk menentukan StartTime dan EndTime Kasus Google SecOps. Jika tidak diberikan, kolom "_indextime" akan diperiksa. Jika tidak dapat menemukan "_indextime", waktu saat pemberitahuan dibuat akan digunakan. Pembuatan template tidak didukung.
- Perluas Kolom MultiNilai: Dengan menyetel ini ke 1, sistem akan menemukan kolom multi-nilai dan membuat kolom tambahan yang dipetakan ke setiap nilai dalam kolom multi-nilai. Misalnya, jika kolom multi-nilai, src_hosts, berisi nilai: Server1, Server2, Server3. Sistem akan membuat kolom baru: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Opsi ini hanya didukung jika Bawa Semua Data Peristiwa dinonaktifkan.
- Bawa Semua Data Peristiwa: Setelan ini akan mencoba membawa peristiwa mentah yang membentuk pemberitahuan yang berisi perintah transformasi (chart, timechart, stats, top, rare, contingency, highlight). Untuk mendukung hal ini, perubahan pada Splunk Search Head diperlukan.
Untuk mengaktifkan peristiwa mentah dari penelusuran transformasi, salin: $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf ke $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Edit: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Hapus komentar: #dispatch.buckets =1
Simpan file dan mulai ulang Splunk agar setelan ini diterapkan.

Pemecahan masalah

Untuk mengubah level log menjadi DEBUG, selesaikan langkah-langkah berikut:

Di Splunk Web, pilih aplikasi Anda.
Buka Setelan > Setelan server > Logging server.
Untuk parameter Log level, pilih DEBUG.
Klik Simpan.

Mengirim kueri data log dari TA Google SecOps akan bergantung pada penerapan Splunk Anda. Jika Anda telah menginstal Splunk CIM, log akan berada di indeks cim_modactions. Jika tidak, log akan berada di indeks _internal.

Jaringan

Akses Jaringan ke akses Splunk API dari Google SecOps ke Splunk: Izinkan traffic melalui port 8089.

Cara men-deploy add-on Google SecOps di lingkungan cluster

Untuk membuat server deployment dan head penelusuran, selesaikan langkah-langkah berikut:

Login ke server deployment menggunakan SSH.
Pastikan file /opt/splunk/etc/system/local/serverclass.conf ada. Jika tidak, jalankan:

vi /opt/splunk/etc/system/local/serverclass.conf

Contoh konfigurasinya adalah sebagai berikut:
```
[global] # whitelist matches all clients.
[serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
Google Security OperationsAPP]
```
Upload dan ekstrak file aplikasi di direktori /opt/splunk/etc/deployment-apps.
Buat pengguna Splunk jika belum ada:

useradd splunk
Grup splunk create tidak ada:

groupadd splunk
Tambahkan izin pengguna Splunk untuk aplikasi:

chown splunk:splunk {app path}
Login ke head penelusuran menggunakan SSH.
Tambahkan kepala penelusuran sebagai klien ke server deployment:

/opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)
Mulai ulang semua head penelusuran.
Login ke UI server deployment.
Buka Setelan > Lingkungan Terdistribusi > Pengelola Penerusan.
Buka tab Server Classes, lalu klik New Server Class.
Berikan nama untuk class server.
Tambahkan add-on Google SecOps sebagai aplikasi dan Search Heads sebagai klien.
Mulai ulang semua Search Head.
Pastikan aplikasi dikonfigurasi dengan benar di semua head penelusuran. Splunk tidak menyinkronkan aplikasi secara konsisten di seluruh cluster.

Masalah Umum

Jika Anda menerima error int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed di log, pastikan parameter root API dan kunci API dalam konfigurasi memiliki nilai, meskipun Anda menggunakan mode Tarik.

Mengonfigurasi integrasi Splunk di Google SecOps

Integrasi Splunk memberi Anda kemampuan untuk memverifikasi koneksi menggunakan file Sertifikat CA. Ini adalah metode verifikasi koneksi tambahan.

Untuk menggunakan metode ini, Anda harus memiliki hal berikut:*

File Sertifikat CA
Integrasi Splunk versi 26.0 atau yang lebih tinggi

Konfigurasi integrasi di Google SecOps:

Parse file Sertifikat CA Anda menjadi string Base64.
Buka halaman konfigurasi integrasi.
Di kolom CA Certificate File, masukkan string Sertifikat CA.
Untuk menguji koneksi, pilih kotak centang Verifikasi SSL, lalu klik Uji.

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Instance	String	T/A	Tidak	Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi	String	T/A	Tidak	Deskripsi Instance.
Alamat Server	String	{SCHEMA}://{IP}:{PORT}	Ya	Alamat Server Splunk.
Nama pengguna	String	T/A	Tidak	Alamat email pengguna yang harus digunakan untuk terhubung ke Splunk.
Sandi	Sandi	T/A	Tidak	Sandi pengguna yang sesuai.
Token API	Sandi	T/A	Tidak	Token API Splunk. Token API memiliki prioritas atas metode autentikasi lainnya, jika kolom ini tidak kosong.
Verifikasi SSL	Kotak centang	Tidak dicentang	Tidak	Gunakan kotak centang ini, jika koneksi Splunk Anda memerlukan verifikasi SSL (tidak dicentang secara default).
File Sertifikat CA	String	T/A	Tidak	File sertifikat CA yang dienkode Base 64.
Menjalankan dari Jarak Jauh	Kotak centang	Tidak dicentang	Tidak	Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Mendapatkan Acara Host

Deskripsi

Dapatkan peristiwa terkait host di Splunk.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Batas Peristiwa Per Host	Bilangan bulat	100	Ya	Tentukan jumlah acara yang akan ditampilkan per host.
Hasil Dari	String	-24 jam	Ya	Tentukan waktu mulai untuk acara.
Hasil Ke	String	sekarang	Ya	Tentukan waktu berakhir untuk acara.
Kolom hasil	CSV	T/A	Tidak	Tentukan daftar kolom yang dipisahkan koma yang perlu ditampilkan.
Indeks	String	T/A	Tidak	Tentukan indeks yang harus digunakan saat menelusuri peristiwa yang terkait dengan host. Jika tidak ada yang diberikan, tindakan tidak akan menggunakan indeks.
Kunci Host	String	host	Tidak	Tentukan tombol mana yang harus digunakan untuk mendapatkan informasi tentang peristiwa host. Default: host.

Run On

Tindakan ini dijalankan pada entity Hostname.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
berhasil	Benar/Salah	success:False

Hasil JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan hasil tersedia: "Successfully returned events for the following hosts in Splunk: \n {0}".format(entity.identifier) Jika berhasil dan hasil tidak tersedia untuk beberapa: "No events were found for the following hosts in Splunk:\n {0}".format(entity.identifier) Jika berhasil dan hasil tidak tersedia untuk semua: "Tidak ada acara yang ditemukan untuk host yang diberikan di Splunk" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Host Events". Alasan: {0}''.format(error.Stacktrace) Jika 400: "Error saat menjalankan tindakan "Get Host Events". Alasan: {0}''.format(messages/text)	Umum
Tabel Repositori Kasus	Nama: Peristiwa {Entity.identifier} Kolom: Berdasarkan hasil.

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan hasil tersedia: "Successfully returned events for the following hosts in Splunk: \n {0}".format(entity.identifier)

Jika berhasil dan hasil tidak tersedia untuk beberapa: "No events were found for the following hosts in Splunk:\n {0}".format(entity.identifier)

Jika berhasil dan hasil tidak tersedia untuk semua: "Tidak ada acara yang ditemukan untuk host yang diberikan di Splunk"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Host Events". Alasan: {0}''.format(error.Stacktrace)

Jika 400: "Error saat menjalankan tindakan "Get Host Events". Alasan: {0}''.format(messages/text)

Umum

Tabel Repositori Kasus

Nama: Peristiwa {Entity.identifier}

Kolom: Berdasarkan hasil.

Ping

Deskripsi

Uji konektivitas ke Splunk dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Successfully connected to the Splunk server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika tidak berhasil: "Gagal terhubung ke server Splunk. Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the Splunk server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika tidak berhasil: "Gagal terhubung ke server Splunk. Error adalah {0}".format(exception.stacktrace)

Umum

Penampil CSV Splunk

Deskripsi

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Hasil	string	T/A	Ya	Hasil mentah.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_succeed	Benar/Salah	is_succeed:False

SplunkQuery

Deskripsi

Jalankan kueri di Splunk.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Mode Penelusuran	DDL	Smart Nilai yang mungkin: Panjang Smart Cepat	Tidak	Menentukan mode untuk menjalankan penelusuran.
Kueri	String		Ya	Tentukan kueri yang perlu dijalankan. Contoh: index="_internal"
Batas jumlah hasil	Bilangan bulat	100	Tidak	Tentukan jumlah hasil yang akan ditampilkan. Catatan: parameter ini menambahkan kata kunci "head" ke kueri yang diberikan. Defaultnya adalah 100.
Hasil dari	String	-24 jam	Tidak	Tentukan waktu mulai untuk kueri. Default: -24 jam
Hasil ke	String	sekarang	Tidak	Tentukan waktu berakhir kueri. Default: now.
Kolom hasil	CSV		Tidak	Tentukan daftar kolom yang dipisahkan koma yang perlu ditampilkan. Catatan: parameter ini menambahkan kata kunci "fields" ke kueri yang diberikan.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_succeed	Benar/Salah	is_succeed:False

Hasil JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan hasil tersedia: "Successfully returned results for the query "{0}" in Splunk".format(query) Jika berhasil dan hasil tidak tersedia: "Tidak ada hasil yang ditemukan untuk kueri "{0}" di Splunk".format(query) Pesan asinkron: "Waiting for query {0} to finish execution.".format(query name) Tindakan akan gagal dan menghentikan eksekusi playbook: if fatal error, like wrong credentials, no connection to server, other: "Error executing action "SplunkQuery". Alasan: {0}''.format(error.Stacktrace) Jika 400: "Error saat menjalankan tindakan "SplunkQuery". Alasan: {0}''.format(messages/text)	Umum
Tabel Repositori Kasus	Nama: Hasil Kueri Splunk Kolom - Berdasarkan hasil.	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan hasil tersedia: "Successfully returned results for the query "{0}" in Splunk".format(query)

Jika berhasil dan hasil tidak tersedia: "Tidak ada hasil yang ditemukan untuk kueri "{0}" di Splunk".format(query)

Pesan asinkron: "Waiting for query {0} to finish execution.".format(query name)

Tindakan akan gagal dan menghentikan eksekusi playbook:

if fatal error, like wrong credentials, no connection to server, other: "Error executing action "SplunkQuery". Alasan: {0}''.format(error.Stacktrace)

Jika 400: "Error saat menjalankan tindakan "SplunkQuery". Alasan: {0}''.format(messages/text)

Umum

Tabel Repositori Kasus

Nama: Hasil Kueri Splunk

Kolom - Berdasarkan hasil.

Umum

Kirim Acara

Deskripsi

Kirim peristiwa ke Splunk.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Indeks	String	utama	Ya	Tentukan indeks tempat peristiwa harus dibuat.
Acara	String	T/A	Ya	Tentukan peristiwa mentah yang perlu dikirimkan.
Host	String	T/A	Tidak	Tentukan host yang terkait dengan acara.
Sumber	String	T/A	Tidak	Tentukan sumber peristiwa. Contoh: www.
Sourcetype	String	T/A	Tidak	Tentukan jenis sumber peristiwa. Contoh: web_event

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
berhasil	Benar/Salah	success:False

Hasil JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully added a new event to index "{0}" in Splunk.".format(index) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Kirim Acara". Alasan: {0}''.format(error.Stacktrace) Jika 400: "Error saat menjalankan tindakan "Kirim Peristiwa". Alasan: {0}''.format(messages/text)	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully added a new event to index "{0}" in Splunk.".format(index)

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Kirim Acara". Alasan: {0}''.format(error.Stacktrace)

Jika 400: "Error saat menjalankan tindakan "Kirim Peristiwa". Alasan: {0}''.format(messages/text)

Umum

Memperbarui Peristiwa Penting

Deskripsi

Perbarui peristiwa penting di Splunk ES.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
ID Acara Penting	CSV	T/A	Ya	Tentukan ID peristiwa penting. Contoh: 1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7@@notable@@cb87390ae72763679d3f6f8f097ebe2b,1D234D5B-1531-2D2B-BB94-41C439BE12B7@@notable@@cb87390ae72763679d3f6f8f097ebe2b
Status	DDL	Pilih Satu Nilai yang memungkinkan: Pilih Satu Belum ditetapkan Baru Dalam Proses Tertunda Selesai Tutup	Ya	Tentukan status baru untuk peristiwa penting.
Urgensi	DDL	Pilih Satu Nilai yang memungkinkan: Pilih Satu Kritis Tinggi Sedang Rendah Informatif	Ya	Tentukan urgensi baru untuk peristiwa penting.
Pemilik Baru	String	T/A	Ya	Tentukan pemilik baru peristiwa penting.
Komentar	String	T/A	Ya	Tentukan komentar untuk peristiwa penting.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan data tersedia (is_success=true) print "Successfully updated {0} notable events in Splunk.".format(count(notable_events)) Jika gagal memperbarui (status_code=400, is_success=false): print "Tindakan tidak dapat memperbarui peristiwa penting. Reason:{0}".format(string_from_response) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error saat menjalankan tindakan "Perbarui Peristiwa Penting". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan data tersedia (is_success=true)

print "Successfully updated {0} notable events in Splunk.".format(count(notable_events))

Jika gagal memperbarui (status_code=400, is_success=false):

print "Tindakan tidak dapat memperbarui peristiwa penting. Reason:{0}".format(string_from_response)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya:

print "Error saat menjalankan tindakan "Perbarui Peristiwa Penting". Alasan: {0}''.format(error.Stacktrace)

Umum

Jalankan Kueri Entity

Deskripsi

Jalankan kueri entity di Splunk.

Bagaimana cara menggunakan parameter tindakan?

Tindakan ini memberikan kemampuan untuk mengambil informasi terkait entitas dengan mudah. Misalnya, Anda dapat menyelesaikan kasus penggunaan, di mana Anda ingin melihat jumlah peristiwa dari endpoint yang terpengaruh oleh hash yang diberikan tanpa perlu membuat kueri yang rumit. Untuk menyelesaikan masalah ini di Splunk, Anda perlu menyiapkan kueri berikut: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Untuk membuat kueri yang sama menggunakan tindakan "Execute Entity Query", Anda perlu mengisi parameter tindakan dengan cara berikut:

Kueri	index="main"
Kunci Entitas IP	device_ip
Kunci Entitas Hash File	hash
Operator Lintas Entitas	DAN

Semua kolom lainnya dapat dibiarkan kosong.

Jika kasus penggunaannya adalah untuk melihat jumlah endpoint yang terpengaruh oleh hash yang diberikan, konfigurasi "Execute Entity Query" akan terlihat seperti berikut.

Kueri	index="main"
Kunci Entitas Hash File	hash

"Operator Lintas Entitas" dalam situasi ini tidak akan berdampak, karena hanya memengaruhi kueri, saat beberapa "Kunci Entitas" diberikan.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Mode Penelusuran	DDL	Smart Nilai yang mungkin: Panjang Smart Cepat	Tidak	Menentukan mode untuk menjalankan penelusuran.
Kueri	String		Ya	Tentukan kueri yang perlu dijalankan tanpa klausa "Where". Contoh: index="_internal"
Batas jumlah hasil	Bilangan bulat	100	Tidak	Tentukan jumlah hasil yang akan ditampilkan. Catatan: parameter ini menambahkan kata kunci "head" ke kueri yang diberikan. Defaultnya adalah 100.
Hasil dari	String	-24 jam	Tidak	Tentukan waktu mulai untuk kueri. Default: -24 jam
Hasil ke	String	sekarang	Tidak	Tentukan waktu berakhir kueri. Default: now.
Kolom hasil	CSV	T/A	Tidak	Tentukan daftar kolom yang dipisahkan koma yang perlu ditampilkan. Catatan: parameter ini menambahkan kata kunci "fields" ke kueri yang diberikan.
Kunci Entitas IP	String	T/A	Tidak	Tentukan kunci yang harus digunakan dengan entity IP. Lihat dokumentasi tindakan untuk mengetahui detailnya.
Kunci Entitas Nama Host	String	T/A	Tidak	Tentukan kunci yang akan digunakan dengan entitas Nama host, saat menyiapkan . Lihat dokumentasi tindakan untuk mengetahui detailnya.
Kunci Entitas Hash File	String	T/A	Tidak	Tentukan kunci yang akan digunakan dengan entity Hash File. Lihat dokumentasi tindakan untuk mengetahui detailnya.
Kunci Entitas Pengguna	String	T/A	Tidak	Tentukan kunci yang akan digunakan dengan entity Pengguna. Lihat dokumentasi tindakan untuk mengetahui detailnya.
Kunci Entitas URL	String	T/A	Tidak	Tentukan kunci yang harus digunakan dengan entity URL. Lihat dokumentasi tindakan untuk mengetahui detailnya.
Kunci Entitas Alamat Email	String	T/A	Tidak	Tentukan kunci yang harus digunakan dengan entity Alamat Email. Lihat dokumentasi tindakan untuk mengetahui detailnya.
Hentikan Jika Entitas Tidak Cukup	Kotak centang	Dicentang	Ya	Jika diaktifkan, tindakan tidak akan mulai dieksekusi, kecuali semua jenis entitas tersedia untuk ".. Kunci Entitas" yang ditentukan. Contoh: jika "Kunci Entitas IP" dan "Kunci Entitas Hash File" ditentukan, tetapi dalam cakupan tidak ada hash file, maka jika parameter ini diaktifkan, tindakan tidak akan menjalankan kueri.
Operator Lintas Entitas	DDL	ATAU Nilai yang Mungkin: ATAU DAN	Ya	Tentukan operator logika yang harus digunakan di antara berbagai jenis entitas.

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Host
Pengguna
Hash
URL

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_succeed	Benar/Salah	is_succeed:False

Hasil JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan hasil tersedia: "Successfully returned results for the query "{0}" in Splunk".format(query) Jika berhasil dan hasil tidak tersedia: "Tidak ada hasil yang ditemukan untuk kueri "{0}" di Splunk".format(query) Pesan asinkron: "Waiting for query {0} to finish execution.".format(query name) Jika "Berhenti Jika Entitas Tidak Cukup" diaktifkan dan jenis entitas yang tersedia untuk "Kunci Entitas" yang diberikan tidak cukup (is_success=false): Tindakan tidak dapat membuat kueri, karena jenis entitas yang diberikan untuk ".. Kunci Entitas" yang ditentukan tidak cukup. Nonaktifkan parameter "Stop If Not Enough Entities" atau berikan setidaknya satu entitas untuk setiap ".. Entity Key" yang ditentukan. Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Execute Entity Query". Alasan: {0}''.format(error.Stacktrace) Jika 400: "Error executing action "Execute Entity Query". Alasan: {0}''.format(messages/text)	Umum
Tabel Repositori Kasus	Nama: Hasil Kueri Splunk Kolom: Berdasarkan hasil.	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan hasil tersedia: "Successfully returned results for the query "{0}" in Splunk".format(query)

Jika berhasil dan hasil tidak tersedia: "Tidak ada hasil yang ditemukan untuk kueri "{0}" di Splunk".format(query)

Pesan asinkron: "Waiting for query {0} to finish execution.".format(query name)

Jika "Berhenti Jika Entitas Tidak Cukup" diaktifkan dan jenis entitas yang tersedia untuk "Kunci Entitas" yang diberikan tidak cukup (is_success=false): Tindakan tidak dapat membuat kueri, karena jenis entitas yang diberikan untuk ".. Kunci Entitas" yang ditentukan tidak cukup. Nonaktifkan parameter "Stop If Not Enough Entities" atau berikan setidaknya satu entitas untuk setiap ".. Entity Key" yang ditentukan.

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Execute Entity Query". Alasan: {0}''.format(error.Stacktrace)

Jika 400: "Error executing action "Execute Entity Query". Alasan: {0}''.format(messages/text)

Umum

Tabel Repositori Kasus

Nama: Hasil Kueri Splunk

Kolom: Berdasarkan hasil.

Umum

Konektor

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Untuk mengonfigurasi konektor yang dipilih, gunakan parameter khusus konektor yang tercantum dalam tabel berikut:

Parameter konfigurasi Splunk Query Connector
Parameter konfigurasi Splunk Pull Connector
Parameter konfigurasi Splunk ES - Notable Events Connector

Konektor Kueri Splunk

Konektor mengirimkan kueri yang merupakan bagian dari daftar dinamis (whitelist), mengambil hasil, dan membuat kasus berdasarkan hasil yang diambil.

Contoh kueri Splunk untuk melihat log

Kueri harus dimasukkan sebagai aturan daftar dinamis (whitelist).
Kueri penelusuran dengan beberapa filter harus menggunakan spasi sebagai pembatas di antara filter penelusuran—misalnya, index=cim_modactions sourcetype=modular_alerts:risk.
Menggunakan beberapa aturan daftar dinamis (whitelist) daripada memasukkan beberapa filter penelusuran yang dipisahkan dengan spasi ke dalam aturan yang sama akan menghasilkan penelusuran terpisah yang dijalankan untuk setiap aturan yang ditambahkan.
- index=cim_modactions
- sourcetype=modular_alerts:send_data_to_siemplify
- index=_internal sourcetype=splunkd
- component=sendmodalert
- action=send_data_to_siemplify
- index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parameter konektor

Untuk mengonfigurasi konektor, gunakan parameter berikut:

Parameter
`Product Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Product Field`. Nilai defaultnya adalah `device_product`.
`Event Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Event Field`. Nilai defaultnya adalah `app`.
`API Root`	Wajib Root API instance Splunk. Nilai defaultnya adalah `https://IP:8089`.
`Username`	Wajib Nama pengguna akun Splunk.
`Password`	Wajib Sandi akun Splunk.
`API Token`	Opsional Token Splunk API. Jika kolom ini memiliki nilai, token API memiliki prioritas atas metode autentikasi lainnya.
`Verify SSL`	Wajib Jika dicentang, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dicentang secara default.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan.
`Rule Generator Field`	Wajib Nama kolom yang digunakan untuk memetakan nilai generator aturan.
`Alert Name Field Name`	Wajib Nama pemberitahuan.
`Events Count Limit Per Query`	Opsional Jumlah maksimum peristiwa yang akan diambil per kueri.
`Max Day Backwards`	Opsional Jumlah hari dari tempat pengambilan peristiwa.
`Aggregate Events Query`	Opsional Jika diaktifkan, konektor akan menggabungkan semua peristiwa dalam satu pemberitahuan. Dinonaktifkan secara default.
`PythonProcessTimeout (Seconds)`	Wajib Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini. Nilai defaultnya adalah 60 detik.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk melakukan autentikasi.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Nilai default `.*` mencakup semua dan menampilkan nilai tanpa perubahan. Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.

Aturan konektor

Konektor mendukung proxy.

Splunk Pull Connector

Menarik pemberitahuan dan peristiwa dari Splunk ke Google SecOps.

Parameter konektor

Untuk mengonfigurasi konektor, gunakan parameter berikut:

Parameter
`Product Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Product Field`. Nilai defaultnya adalah `device_product`.
`Event Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Event Field`. Nilai defaultnya adalah `name`.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan hasilnya adalah `""`. Nilai defaultnya adalah `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Nilai default `.*` mencakup semua dan menampilkan nilai tanpa perubahan. Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
`PythonProcessTimeout (Seconds)`	Wajib Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini. Nilai defaultnya adalah 60 detik.
`Server Address`	Wajib Alamat IP server Splunk API.
`Port`	Wajib Port instance Splunk. Nilai defaultnya adalah `8089`.
`Username`	Wajib Nama pengguna akun Splunk.
`Password`	Wajib Sandi akun Splunk.
`Time Frame`	Opsional Jangka waktu untuk mengambil pemberitahuan. Nilai defaultnya adalah 1 jam. Contoh: Jika nilai ditetapkan ke 1 menit, konektor akan mengambil pemberitahuan mulai dari 1 menit yang lalu. Jika nilai ditetapkan ke 3 jam, konektor akan mengambil pemberitahuan mulai dari 3 jam yang lalu. Jika nilai ditetapkan ke 1 hari atau minggu, konektor akan mengambil pemberitahuan yang dimulai dari 1 hari (24 jam) atau 1 minggu yang lalu.
`Alerts Count Limit`	Opsional Jumlah pemberitahuan yang ditampilkan oleh konektor per 1 iterasi. Nilai defaultnya adalah 100.
`Use SSL`	Opsional Centang untuk mengaktifkan koneksi SSL atau TLS. Tidak dicentang secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk melakukan autentikasi.

Aturan konektor

Konektor mendukung proxy.

Splunk ES - Notable Events Connector

Menyerap peristiwa penting dari Splunk ES.

Menentukan prioritas kasus

Prioritas kasus ditentukan oleh parameter Urgency dalam peristiwa penting. Hanya parameter ini yang dipertimbangkan saat menyerap peristiwa penting ke Google SecOps.

Parameter konektor

Untuk mengonfigurasi konektor, gunakan parameter berikut:

Parameter
`Product Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Product Field`. Nilai defaultnya adalah `Product Name`.
`Event Field Name`	Wajib Masukkan nama kolom sumber untuk mengambil nama `Event Field`. Nilai defaultnya adalah `index`.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Nilai default `.*` mencakup semua dan menampilkan nilai tanpa perubahan. Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
`Script Timeout (Seconds)`	Wajib Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180 detik.
`Server Address`	Wajib Alamat server instance Splunk. Nilai defaultnya adalah `https://:8089`.
`Username`	Opsional Nama pengguna akun Splunk.
`Password`	Opsional Sandi akun Splunk.
`API Token`	Wajib Token Splunk API. Jika kolom ini memiliki nilai, token API memiliki prioritas lebih tinggi daripada metode autentikasi lainnya.
`Lowest Urgency To Fetch`	Wajib Tingkat urgensi terendah yang digunakan untuk mengambil peristiwa penting. Nilainya dapat berupa: `Informational` `Low` `Medium` `High` `Critical` Nilai defaultnya adalah `Medium`.
`Fetch Max Hours Backwards`	Opsional Jumlah jam dari tempat untuk mengambil peristiwa penting. Nilai defaultnya adalah 1 jam.
`Only Drilldown Events`	Opsional Jika diaktifkan, konektor akan mencoba mengambil peristiwa perincian tanpa mengambil peristiwa dasar. Parameter ini memerlukan opsi `Fetch Base Events` diaktifkan. Dinonaktifkan secara default.
`Padding Time`	Opsional Jumlah jam yang akan digunakan sebagai padding. Jika tidak ada nilai yang diberikan, parameter ini tidak berlaku. Nilai maksimumnya adalah 12 jam.
`Max Notable Events To Fetch`	Opsional Jumlah peristiwa penting yang akan diproses per satu iterasi konektor. Nilai defaultnya adalah 10.
`Use whitelist as a blacklist`	Wajib Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang diblokir. Dinonaktifkan secara default.
`Verify SSL`	Wajib Jika dicentang, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dicentang secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk melakukan autentikasi.
`Query Filter`	Opsional Filter kueri tambahan yang dikirim ke Splunk untuk mendapatkan peristiwa penting. Nilai yang diberikan di sini ditambahkan ke klausa kueri WHERE.
`Extract Base Events`	Opsional Jika diaktifkan, konektor akan mengekstrak peristiwa dasar yang terkait dengan peristiwa penting menggunakan informasi tentang tugas. Dalam kasus lain, konektor membuat peristiwa Google SecOps berdasarkan peristiwa penting. Jika parameter ini disetel ke `True`, tetapi konektor tidak dapat menangani tugas, konektor akan menggunakan informasi tentang peristiwa penting sebagai mekanisme penggantian. Diaktifkan secara default.
`Multivalue Fields`	Opsional Daftar kolom yang dipisahkan koma yang berisi beberapa entitas. Misalnya, jika kolom berisi dua nama host, peristiwa penting akan dibagi menjadi dua peristiwa Google SecOps untuk memetakan entity dengan benar.
`Notable Event Data Along Base Event`	Opsional Jika diaktifkan, konektor akan menambahkan peristiwa Google SecOps berdasarkan peristiwa penting selain peristiwa dasar. Dinonaktifkan secara default.
`Rule Generator Field Name`	Opsional Nama kolom yang digunakan untuk memetakan nilai generator aturan. Hanya informasi tentang peristiwa penting itu sendiri yang digunakan untuk pemetaan, peristiwa diabaikan. Jika nilai yang tidak valid diberikan, konektor akan menyetel kolom ke nilai `rule_name`.
`Alert Name Source`	Opsional Sumber untuk nama pemberitahuan. Nilainya dapat berupa: `Search Name` `Rule Name` Nilai defaultnya adalah `Search Name`.

Cara menggunakan parameter `Query Filter`

Jika ada kebutuhan untuk mempersempit peristiwa penting berdasarkan parameter tertentu, gunakan parameter Query Filter. Nilai yang diberikan dalam parameter ini ditambahkan ke klausa WHERE dari kueri yang dikirim untuk mendapatkan peristiwa penting.

Contoh kueri yang dikirim adalah sebagai berikut:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Misalnya, jika Query Filter = isTesting = True, maka kueri akan muncul sebagai berikut:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Aturan konektor

Konektor Splunk ES menggunakan daftar dinamis dan daftar yang diblokir (whitelist dan blacklist). Konektor menggunakan kolom search_name dari peristiwa untuk dibandingkan dengan daftar dinamis.

Peristiwa konektor

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Pekerjaan

Menyinkronkan Peristiwa Tertutup Splunk ES

Deskripsi

Menyinkronkan peristiwa penting Splunk ES yang ditutup dan pemberitahuan Google SecOps.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Alamat Server	String	https://`IP`:8089	Ya	Alamat server instance Splunk.
Nama pengguna	String	T/A	Tidak	Nama pengguna akun Splunk.
Sandi	Sandi	T/A	Tidak	Sandi akun Splunk.
Token API	Sandi	T/A	Ya	Token Splunk API. Token API memiliki prioritas atas metode autentikasi lainnya, jika kolom ini tidak kosong.
Maks. Jam Mundur	Bilangan bulat	24	Ya	Tentukan berapa jam ke belakang untuk menyinkronkan status. Default: 24 jam.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Splunk valid.

Menyinkronkan Komentar Splunk ES

Deskripsi

Pekerjaan ini akan menyinkronkan komentar dalam peristiwa Splunk ES dan kasus Google SecOps.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Alamat Server	String	https://`IP`:8089	Ya	Alamat server instance Splunk.
Nama pengguna	String	T/A	Tidak	Nama pengguna akun Splunk.
Sandi	Sandi	T/A	Tidak	Sandi akun Splunk.
Token API	Sandi	T/A	Ya	Token Splunk API. Token API memiliki prioritas atas metode autentikasi lainnya, jika kolom ini tidak kosong.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Splunk valid.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.