Splunk

Versione integrazione: 50.0

L'app Splunk prepara i casi con tutti gli avvisi e gli eventi pertinenti di Splunk. Esistono due modi per importare questi casi in Google Security Operations: metodi basati sul pull e sul push.

Il primo metodo è chiamato basato sul pull. Se utilizzi questo metodo, per importare i casi in Google SecOps, devi configurare Splunk Pull Connector, che estrae i casi dall'app Splunk. Questo metodo non richiede alcuna configurazione aggiuntiva nell'app Splunk.

Il secondo metodo è chiamato basato sul push. Con questo metodo, l'app Splunk effettua chiamate API a Google SecOps per aggiungere un nuovo caso. Per utilizzare questo metodo, devi generare una chiave API Google SecOps e aggiungere un URI Google SecOps nella configurazione dell'app.

Crea una chiave API:

1. Vai a Impostazioni > Avanzate > API.

2. Fai clic sul segno più in alto a destra per aggiungere una nuova chiave API.

3. Inserisci il nome della chiave API e fai clic su Crea.

4. Copia la chiave API.

Come configurare Splunk per l'utilizzo con Google SecOps

Prerequisiti per l'attivazione o la disattivazione dell'autenticazione con token

Prima di poter attivare l'autenticazione tramite token, devi soddisfare i seguenti requisiti:

• L'istanza della piattaforma Splunk in cui vuoi attivare l'autenticazione tramite token non deve funzionare in modalità legacy, in cui Splunk Web funziona come processo separato. Se la piattaforma Splunk è in modalità legacy, l'autenticazione tramite token non viene eseguita. Per ulteriori informazioni sulla modalità legacy, consulta il documento Avviare e arrestare Splunk Enterprise nel manuale dell'amministratore di Splunk Enterprise.

• Prima di poter attivare o disattivare l'autenticazione tramite token, l'account che utilizzi per accedere alla piattaforma Splunk deve disporre di un ruolo con la funzionalità della piattaforma Splunk edit_tokens_settings.

Attivare l'autenticazione tramite token utilizzando Splunk Web

Quando l'autenticazione tramite token è disattivata, nella pagina Token di Splunk Web viene visualizzato il seguente messaggio:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Completa i seguenti passaggi nell'istanza in cui vuoi attivare l'autenticazione tramite token:

1. Accedi all'istanza della piattaforma Splunk come utente amministratore o come utente che può gestire le impostazioni dei token. Non puoi utilizzare un token per accedere a Splunk Web. Devi fornire un nome utente e una password validi.

2. Dopo aver eseguito l'accesso, nella barra di sistema seleziona Impostazioni > Token.

3. Fai clic su Enable Token Authentication (Attiva autenticazione token). L'istanza della piattaforma Splunk abilita immediatamente l'autenticazione tramite token e non è necessario riavviare l'istanza.

Utilizzare Splunk Web per creare token di autenticazione

1. Nella barra di sistema, fai clic su Impostazioni > Token.

2. Fai clic su Nuovo token.

3. Nella finestra di dialogo Nuovo token, inserisci l'utente della piattaforma Splunk per cui vuoi creare il token nel campo Utente.

4. Inserisci una breve descrizione dello scopo del token nel campo Segmento di pubblico.

5. (Facoltativo) Nell'elenco Scadenza, seleziona Ora assoluta o Ora relativa. Questa selezione determina cosa inserire nel campo di testo sotto l'elenco.

   • Se hai selezionato Ora assoluta, sotto l'elenco vengono visualizzati due campi di testo.

     1. Inserisci una data valida nel primo campo. Puoi anche fare clic sul campo per selezionare una data da un calendario popup.

     2. Inserisci un orario valido di 24 ore nel secondo campo.

   • In caso contrario, viene visualizzato un campo di testo sotto l'elenco a discesa.

     1. Inserisci una stringa che rappresenti il periodo di tempo dopo l'ora corrente per cui vuoi che il token rimanga valido. Ad esempio, se vuoi che il token scada dopo 10 giorni, inserisci +10d in questo campo.

6. (Facoltativo) Nell'elenco Non prima di, seleziona Ora assoluta o Ora relativa.

   Ripeti il passaggio utilizzato per il controllo Scadenza. Il campo Not before time non può essere nel passato né successivo al campo "Expiration".

7. Fai clic su Crea. La finestra Nuovo token aggiorna il campo Token per mostrare il token generato.

8. Seleziona tutto il testo del token nel campo. A seconda del sistema operativo e del browser, puoi fare clic sul campo Token, quindi fare triplo clic o premere Ctrl+A o Comando+A sulla tastiera. Conferma di aver selezionato tutto il testo del token. Non ci sono altre opportunità per visualizzare l'intero token dopo la chiusura della finestra.

9. Copia il testo dal campo Token.

10. Incolla il token in un file di testo, un'email o un altro modulo di comunicazione da inviare alla persona che hai autorizzato a utilizzarlo. Conferma di condividere il token solo con le persone che hai autorizzato a utilizzarlo. Chiunque abbia il token completo può utilizzarlo per l'autenticazione.

11. Fai clic su Chiudi.

12. Utilizza un token per configurare l'integrazione di Google SecOps Splunk.

Installazione

Singola testa di ricerca

1. Scarica il pacchetto TA-Siemplify sul tuo computer locale. https://splunkbase.splunk.com/app/5010/

2. Installa l'app sulla testa di ricerca.

   Seleziona App: Search & Reporting. Viene visualizzata la finestra di dialogo Carica un'app.

3. Fai clic su Scegli file e seleziona il file dell'app.

4. Fai clic su Carica. Attendi il caricamento del file.

5. Riavvia Splunk.

Configura TA-Siemplify

1. In Splunk Enterprise, vai alla pagina App.

2. Seleziona Siemplify.

3. Nella scheda Impostazioni componente aggiuntivo, aggiungi quanto segue:

   Per il metodo basato sul push:

   • Imposta l'URI dell'API Siemplify sull'URI del tuo server Google SecOps.
   • Imposta Modalità su Modalità Push.
   • Nel campo Chiave API, inserisci il valore del token generato nella sezione Chiavi API.

   Per il metodo basato sul pull:

   • Imposta la Modalità su Modalità Pull.

4. Fai clic su Salva.

Configurazione degli avvisi

Per inviare dati di avvisi ed eventi a Google SecOps, a un avviso Splunk esistente deve essere aggiunta un'azione di attivazione.

I campi Ambiente, Fornitore dispositivo, Prodotto dispositivo e Tipo di evento supportano i modelli di eventi. I modelli di eventi consentono di impostare dinamicamente i campi specifici all'interno di Google SecOps in base ai valori dell'avviso. Per utilizzare i modelli di eventi, racchiudi un nome campo tra parentesi quadre "[ ]". Il primo evento nell'avviso verrà utilizzato per compilare questi campi.

Esempio: se hai un avviso che contiene un campo device_vendor con un valore di Microsoft, puoi inserire [device_vendor] nel parametro di configurazione del fornitore del dispositivo e quando l'avviso viene inviato a Google SecOps, il fornitore verrà impostato su Microsoft.

1. In Splunk, vai ad Avvisi.

2. Nell'elenco Modifica, seleziona Modifica avviso.

3. Nella sezione Azioni di attivazione, vai a Aggiungi azioni > Invia avviso a Siemplify.

4. Configura l'avviso nel modo seguente:

   • Nome:il valore impostato qui influirà sul nome dell'avviso.
   • Priorità:il valore impostato qui influirà sulla priorità della richiesta di Google SecOps.
   • Categoria:utilizzata per definire la famiglia visiva.
   • Environment:corrisponde all'ambiente in Google SecOps. Lascia vuoto se non è presente alcun ambiente. È supportata la creazione di modelli con parentesi quadre.
   • Fornitore del dispositivo:utilizzato per definire il fornitore del sistema che invia l'evento a Google SecOps. Se gli avvisi sono stati generati da Microsoft Sysmon, utilizza Microsoft o un valore all'interno dell'avviso/evento utilizzando i modelli.
   • Prodotto dispositivo:utilizzato per definire il prodotto del sistema che invia l'evento a Google SecOps. Se gli avvisi sono stati generati da Microsoft Sysmon, questo valore deve essere Sysmon o un valore all'interno dell'avviso/evento utilizzando i modelli.
   • Tipo di evento:utilizzato per definire il tipo di evento nella sezione Configurazione evento Google SecOps. Se l'avviso cercava processi dannosi, il tipo di evento dovrebbe essere simile a "Processo trovato" o da un valore all'interno dell'avviso/evento utilizzando i modelli.
   • Campo Ora:utilizzato per definire StartTime ed EndTime del caso Google SecOps. Se non viene fornito, verrà controllato il campo "_indextime". Se non riesce a trovare "_indextime", utilizzerà l'ora in cui è stato generato l'avviso. I modelli non sono supportati.
   • Espandi campi multivalore:se imposti questo valore su 1, il sistema troverà tutti i campi multivalore e creerà ulteriori campi di mapping per ogni valore nel campo multivalore. Ad esempio, se un campo multivalore, src_hosts, contiene il valore: Server1, Server2, Server3. Il sistema creerà nuovi campi: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Questa opzione è supportata solo quando l'opzione Importa tutti i dati sugli eventi è disattivata.
   • Importa tutti i dati degli eventi:questa impostazione tenta di importare gli eventi non elaborati che compongono un avviso contenente un comando di trasformazione (grafico, timechart, statistiche, top, rare, contingenza, evidenziazione). Per supportare questa funzionalità, è necessario apportare una modifica all'intestazione di ricerca di Splunk.

5. Per attivare gli eventi non elaborati dalle ricerche di trasformazione, copia: $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf in $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Modifica: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Rimuovi il commento: #dispatch.buckets =1

6. Salva il file e riavvia Splunk per applicare queste impostazioni.

Risoluzione dei problemi

Per impostare il livello di log su DEBUG, completa i seguenti passaggi:

1. In Splunk Web, seleziona la tua applicazione.

2. Vai a Impostazioni > Impostazioni server > Registrazione server.

3. Per il parametro Livello di log, seleziona DEBUG.

4. Fai clic su Salva.

L'interrogazione dei dati di log dal componente aggiuntivo Google SecOps dipende dall'implementazione di Splunk. Se hai installato Splunk CIM, i log si troveranno nell'indice cim_modactions. In caso contrario, i log saranno nell'indice _internal.

Rete

Accesso alla rete all'API Splunk da Google SecOps a Splunk: Consenti il traffico sulla porta 8089.

Come eseguire il deployment del componente aggiuntivo Google SecOps nell'ambiente cluster

Per creare il server di deployment e gli head di ricerca, completa i seguenti passaggi:

1. Accedi al server di deployment utilizzando SSH.

2. Assicurati che il file /opt/splunk/etc/system/local/serverclass.conf esista. In caso contrario, esegui:

   vi /opt/splunk/etc/system/local/serverclass.conf

   Ecco un esempio di configurazione:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Carica ed estrai il file dell'app nella directory /opt/splunk/etc/deployment-apps.

4. Crea l'utente Splunk se non esiste:

   useradd splunk

5. Create splunk group doesn't exist:

   groupadd splunk

6. Aggiungi le autorizzazioni utente Splunk per l'app:

   chown splunk:splunk {app path}

7. Accedi ai nodi di ricerca utilizzando SSH.

8. Aggiungi le testine di ricerca come client al server di deployment:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Riavvia tutti i motori di ricerca.

10. Accedi all'interfaccia utente del server di deployment.

11. Vai a Impostazioni > Ambiente distribuito > Gestore inoltro.

12. Vai alla scheda Server Classes (Classi di server) e fai clic su New Server Class (Nuova classe di server).

13. Specifica un nome per la classe del server.

14. Aggiungi il componente aggiuntivo Google SecOps come app e i Search Heads come client.

15. Riavvia tutti gli head di ricerca.

16. Assicurati che l'app sia configurata correttamente su tutte le testine di ricerca. Splunk non sincronizza in modo coerente le app nel cluster.

Problemi noti

Se nei log viene visualizzato l'errore int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed, assicurati che i parametri della radice API e della chiave API nella configurazione abbiano un valore, anche se utilizzi la modalità Pull.

Configura l'integrazione di Splunk in Google SecOps

L'integrazione di Splunk ti consente di verificare la connessione utilizzando un file di certificato CA. Si tratta di un metodo di verifica della connessione aggiuntivo.

Per utilizzare questo metodo, devi disporre di quanto segue:*

• File del certificato CA
• Integrazione Splunk versione 26.0 o successive

Configura l'integrazione in Google SecOps:

1. Analizza il file del certificato CA in una stringa Base64.

2. Apri la pagina di configurazione dell'integrazione.

3. Nel campo CA Certificate File (File certificato CA), inserisci la stringa del certificato CA.

4. Per testare la connessione, seleziona la casella di controllo Verifica SSL e fai clic su Test.

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Azioni

Recupera eventi dell'host

Descrizione

Recupera gli eventi correlati agli host in Splunk.

Parametri

Run On

Questa azione viene eseguita sull'entità Nome host.

Risultati dell'azione

Risultato script

Risultato JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Bacheca casi

Dindin

Descrizione

Testa la connettività a Splunk con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Run On

Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.

Risultati dell'azione

Risultato script

Bacheca casi

Splunk Csv Viewer

Descrizione

Parametri

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

SplunkQuery

Descrizione

Esegui una query in Splunk.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Bacheca casi

Invia evento

Descrizione

Invia l'evento a Splunk.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Bacheca casi

Aggiornare gli eventi importanti

Descrizione

Aggiorna gli eventi importanti in Splunk ES.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Bacheca casi

Esegui query entità

Descrizione

Esegui una query di entità in Splunk.

Come utilizzare i parametri di azione?

Questa azione consente di recuperare facilmente le informazioni relative alle entità. Ad esempio, è possibile risolvere il caso d'uso in cui vuoi visualizzare la quantità di eventi degli endpoint interessati dagli hash forniti senza complesse query di creazione. Per risolvere questo problema in Splunk, devi preparare la seguente query: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Per creare la stessa query utilizzando l'azione "Esegui query entità", devi compilare i parametri dell'azione nel seguente modo:

Tutti gli altri campi possono essere lasciati vuoti.

Se il caso d'uso è vedere quanti endpoint sono stati interessati dagli hash forniti, la configurazione di "Esegui query entità" avrà il seguente aspetto.

In questa situazione, "Operatore cross-entità" non ha alcun impatto, perché influisce solo sulla query quando vengono fornite più "Chiavi entità".

Parametri

Run On

Questa azione viene eseguita sulle seguenti entità:

• Indirizzo IP
• Host
• Utente
• Hash
• URL

Risultati dell'azione

Risultato script

Risultato JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Bacheca casi

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Per configurare il connettore selezionato, utilizza i parametri specifici del connettore elencati nelle tabelle seguenti:

• Parametri di configurazione del connettore di query Splunk
• Parametri di configurazione del connettore pull Splunk
• Parametri di configurazione del connettore Splunk ES - Notable Events

Connettore query Splunk

Il connettore invia le query che fanno parte dell'elenco dinamico (whitelist), recupera i risultati e crea una richiesta in base ai risultati recuperati.

Query Splunk di esempio per visualizzare i log

1. Le query devono essere inserite come regole dell'elenco dinamico (whitelist).

2. Le query di ricerca con più filtri devono utilizzare lo spazio come delimitatore tra i filtri di ricerca, ad esempio index=cim_modactions sourcetype=modular_alerts:risk.

3. L'utilizzo di più regole di elenchi dinamici (whitelist) anziché l'inserimento di più filtri di ricerca delimitati da spazi nella stessa regola comporta l'esecuzione di una ricerca separata per ogni regola aggiunta.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parametri del connettore

Per configurare il connettore, utilizza i seguenti parametri:

Regole del connettore

Il connettore supporta il proxy.

Splunk Pull Connector

Recupera avvisi ed eventi da Splunk in Google SecOps.

Parametri del connettore

Per configurare il connettore, utilizza i seguenti parametri:

Regole del connettore

Il connettore supporta il proxy.

Splunk ES - Notable Events Connector

Importa eventi importanti da Splunk ES.

Definisci la priorità della richiesta

La priorità della richiesta è definita dal parametro Urgency nell'evento importante. Solo questo parametro viene preso in considerazione durante l'importazione dell'evento significativo in Google SecOps.

Parametri del connettore

Per configurare il connettore, utilizza i seguenti parametri:

Come utilizzare il parametro Query Filter

Se è necessario restringere gli eventi degni di nota in base a parametri specifici, utilizza il parametro Query Filter. Il valore fornito in questo parametro viene aggiunto alla clausola WHERE della query inviata per ottenere eventi importanti.

L'esempio di query inviata è il seguente:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Ad esempio, se Query Filter = isTesting = True, la query viene visualizzata come segue:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Regole del connettore

Il connettore Splunk ES utilizza la lista dinamica e la lista bloccata (whitelist e blacklist). Il connettore utilizza il campo search_name dell'evento per confrontarlo con la lista dinamica.

Evento connettore

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Job

Sincronizza gli eventi chiusi di Splunk ES

Descrizione

Sincronizza gli eventi notevoli chiusi di Splunk ES e gli avvisi di Google SecOps.

Parametri

Sincronizza i commenti di Splunk ES

Descrizione

Questo job sincronizzerà i commenti negli eventi Splunk ES e nei casi Google SecOps.

Parametri

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.