Splunk

통합 버전: 50.0

Splunk 앱은 Splunk의 모든 관련 알림과 이벤트가 포함된 케이스를 준비합니다. 이러한 케이스를 Google Security Operations에 수집하는 방법에는 풀 기반 방법과 푸시 기반 방법의 두 가지가 있습니다.

첫 번째 방법을 풀 기반이라고 합니다. 이 방법을 사용하면 Google SecOps에 케이스를 수집하기 위해 Splunk 앱에서 케이스를 가져오는 Splunk 가져오기 커넥터를 구성해야 합니다. 이 방법은 Splunk 앱에서 추가 구성을 요구하지 않습니다.

두 번째 방법은 푸시 기반이라고 합니다. 이 방법을 사용하면 Splunk 앱이 Google SecOps에 API를 호출하여 새 케이스를 추가합니다. 이 메서드를 사용하려면 Google SecOps API 키를 생성하고 앱 구성에 Google SecOps URI를 추가해야 합니다.

API 키를 만듭니다.

  1. 설정 > 고급 > API로 이동합니다.

  2. 오른쪽 상단의 더하기 기호를 클릭하여 새 API 키를 추가합니다.

  3. API 키 이름을 입력하고 만들기를 클릭합니다.

  4. API 키를 복사합니다.

Google SecOps와 호환되도록 Splunk를 구성하는 방법

토큰 인증 사용 설정 또는 사용 중지를 위한 기본 요건

토큰 인증을 사용 설정하려면 다음 요구사항을 완료해야 합니다.

  • 토큰 인증을 사용 설정하려는 Splunk 플랫폼 인스턴스가 Splunk Web이 별도의 프로세스로 작동하는 기존 모드로 작동해서는 안 됩니다. Splunk 플랫폼이 레거시 모드인 경우 토큰 인증이 실행되지 않습니다. 레거시 모드에 관한 자세한 내용은 Splunk Enterprise 관리 매뉴얼의 Splunk Enterprise 시작 및 중지 문서를 참고하세요.

  • 토큰 인증을 사용 설정하거나 사용 중지하려면 Splunk 플랫폼에 로그인하는 데 사용하는 계정에 edit_tokens_settings Splunk 플랫폼 기능이 있는 역할이 있어야 합니다.

Splunk Web을 사용하여 토큰 인증 사용 설정

토큰 인증이 사용 중지되면 Splunk Web의 토큰 페이지에 다음 메시지가 표시됩니다.

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

토큰 인증을 사용 설정하려는 인스턴스에서 다음 단계를 완료하세요.

  1. Splunk 플랫폼 인스턴스에 관리자 사용자 또는 토큰 설정을 관리할 수 있는 사용자로 로그인합니다. 토큰을 사용하여 Splunk Web에 로그인할 수 없습니다. 유효한 사용자 이름과 비밀번호를 입력해야 합니다.

  2. 로그인에 성공한 후 시스템 표시줄에서 설정 > 토큰을 선택합니다.

  3. Enable Token Authentication(토큰 인증 사용 설정)을 클릭합니다. Splunk 플랫폼 인스턴스는 즉시 토큰 인증을 지원하며 인스턴스를 다시 시작할 필요가 없습니다.

Splunk Web을 사용하여 인증 토큰 만들기

  1. 시스템 표시줄에서 설정 > 토큰을 클릭합니다.

  2. 새 토큰을 클릭합니다.

  3. 새 토큰 대화상자의 사용자 필드에 토큰을 생성할 Splunk 플랫폼 사용자를 입력합니다.

  4. 잠재고객 필드에 토큰 목적에 대한 간단한 설명을 입력합니다.

  5. (선택사항) 만료 목록에서 절대 시간 또는 상대 시간을 선택합니다. 이 선택에 따라 목록 아래의 텍스트 필드에 입력할 내용이 결정됩니다.

    • 절대 시간을 선택하면 목록 아래에 두 개의 텍스트 필드가 표시됩니다.

      1. 첫 번째 필드에 유효한 날짜를 입력합니다. 필드를 클릭하여 팝업 캘린더에서 날짜를 선택할 수도 있습니다.

      2. 두 번째 필드에 유효한 24시간 형식을 입력합니다.

    • 그렇지 않으면 드롭다운 목록 아래에 텍스트 필드가 하나 표시됩니다.

      1. 현재 시간으로부터 토큰이 유효한 기간을 나타내는 문자열을 입력합니다. 예를 들어 토큰이 지금부터 10일 후에 만료되도록 하려면 이 필드에 +10d을 입력합니다.

  6. (선택사항) 시작 시간 목록에서 절대 시간 또는 상대 시간을 선택합니다.

    만료 컨트롤에 사용한 단계를 반복합니다. '시작' 시간은 과거일 수 없으며 '만료' 시간보다 늦을 수도 없습니다.

  7. 만들기를 클릭합니다. 새 토큰 창에서 토큰 필드가 업데이트되어 생성된 토큰이 표시됩니다.

  8. 필드의 모든 토큰 텍스트를 선택합니다. 운영체제 및 브라우저에 따라 토큰 필드를 클릭한 다음 키보드에서 Ctrl-A 또는 Command-A를 누르거나 세 번 클릭할 수 있습니다. 토큰 텍스트를 모두 선택했는지 확인합니다. 창을 닫으면 전체 토큰을 볼 수 있는 기회가 더 이상 없습니다.

  9. 토큰 필드에서 텍스트를 복사합니다.

  10. 토큰을 텍스트 파일, 이메일 또는 토큰 사용 권한을 부여한 사용자에게 보내는 기타 커뮤니케이션 수단에 붙여넣습니다. 토큰을 사용할 권한이 있는 사용자에게만 토큰을 공유하는지 확인합니다. 전체 토큰을 보유한 사용자는 누구나 이를 사용하여 인증할 수 있습니다.

  11. 닫기를 클릭합니다.

  12. 토큰을 사용하여 Google SecOps Splunk 통합을 구성합니다.

설치

단일 검색 헤드

  1. TA-Siemplify 패키지를 로컬 컴퓨터에 다운로드합니다. https://splunkbase.splunk.com/app/5010/

  2. 검색 헤드에 앱을 설치합니다.

    앱: 검색 및 보고를 선택합니다. 앱 업로드 대화상자가 표시됩니다.

  3. 파일 선택을 클릭하고 앱 파일을 선택합니다.

  4. 업로드를 클릭합니다. 파일이 업로드될 때까지 기다립니다.

  5. Splunk를 다시 시작합니다.

TA-Siemplify 구성

  1. Splunk Enterprise에서 Apps 페이지로 이동합니다.

  2. Siemplify를 선택합니다.

  3. 부가기능 설정 탭에서 다음을 추가합니다.

    푸시 기반 메서드의 경우:

    • Siemplify API URI를 Google SecOps 서버의 URI로 설정합니다.
    • 모드푸시 모드로 설정합니다.
    • API 키 필드에 API 키 섹션에서 생성된 토큰 값을 입력합니다.

    풀 기반 메서드의 경우:

    • 모드풀 모드로 설정합니다.

  4. 저장을 클릭합니다.

알림 구성

알림 및 이벤트 데이터를 Google SecOps로 전송하려면 기존 Splunk 알림에 트리거 작업을 추가해야 합니다.

환경, 기기 공급업체, 기기 제품, 이벤트 유형 필드는 이벤트 템플릿을 지원합니다. 이벤트 템플릿을 사용하면 Google SecOps 내의 특정 필드를 알림의 값을 기반으로 동적으로 설정할 수 있습니다. 이벤트 템플릿을 활용하려면 필드 이름을 대괄호 '[ ]'로 묶습니다. 알림의 첫 번째 이벤트가 이러한 필드를 채우는 데 사용됩니다.

예: 값이 Microsoft인 field device_vendor가 포함된 알림이 있는 경우 기기 공급업체 구성 매개변수에 [device_vendor] 를 입력하면 알림이 Google SecOps로 전송될 때 공급업체가 Microsoft로 설정됩니다.

  1. Splunk에서 알림으로 이동합니다.

  2. 수정 목록에서 알림 수정을 선택합니다.

  3. 트리거 작업 섹션에서 작업 추가 > Siemplify에 알림 보내기로 이동합니다.

  4. 다음과 같이 알림을 구성합니다.

    • 이름: 여기에 설정된 값은 알림의 이름에 영향을 미칩니다.
    • 우선순위: 여기에 설정된 값은 Google SecOps 케이스의 우선순위에 영향을 미칩니다.
    • 카테고리: 시각적 계열을 정의하는 데 사용됩니다.
    • 환경: Google SecOps의 환경에 매핑됩니다. 환경이 없으면 비워 둡니다. 대괄호를 사용한 템플릿이 지원됩니다.
    • 기기 공급업체: Google SecOps에 이벤트를 전송하는 시스템의 공급업체를 정의하는 데 사용됩니다. Microsoft Sysmon에서 알림을 생성한 경우 템플릿을 사용하여 Microsoft 또는 알림/이벤트 내의 값을 사용합니다.
    • 기기 제품: Google SecOps에 이벤트를 전송하는 시스템의 제품을 정의하는 데 사용됩니다. Microsoft Sysmon에서 알림을 생성한 경우 이 값은 Sysmon이거나 템플릿을 사용하여 알림/이벤트 내 값에서 가져와야 합니다.
    • 이벤트 유형: Google SecOps 이벤트 구성 섹션에서 이벤트 유형을 정의하는 데 사용됩니다. 알림에서 악성 프로세스를 찾고 있는 경우 이벤트 유형은 '프로세스 발견'과 같거나 템플릿을 사용하여 알림/이벤트 내의 값에서 가져와야 합니다.
    • 시간 필드: Google SecOps 케이스의 StartTime 및 EndTime을 정의하는 데 사용됩니다. 이 값이 제공되지 않으면 '_indextime' 필드를 확인합니다. '_indextime'을 찾을 수 없는 경우 알림이 생성된 시간이 사용됩니다. 템플릿은 지원되지 않습니다.
    • 다중 값 필드 확장: 이 값을 1로 설정하면 시스템에서 다중 값 필드를 찾아 다중 값 필드의 각 값에 매핑되는 추가 필드를 만듭니다. 예를 들어 다중 값 필드 src_hosts에 Server1, Server2, Server3 값이 포함되어 있습니다. 시스템에서 src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3과 같은 새 필드를 만듭니다. 이 옵션은 모든 이벤트 데이터 가져오기가 사용 중지된 경우에만 지원됩니다.
    • 모든 이벤트 데이터 가져오기: 이 설정은 변환 명령 (차트, 시간 차트, 통계, 상위, 희귀, 비상, 강조)이 포함된 알림을 구성하는 원시 이벤트를 가져오려고 시도합니다. 이를 지원하려면 Splunk 검색 헤드를 변경해야 합니다.

  5. 변환 검색에서 원시 이벤트를 사용 설정하려면 다음을 복사하세요. $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf에서 $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf로 수정: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf 주석 해제: #dispatch.buckets =1

  6. 파일을 저장하고 Splunk를 다시 시작하여 이 설정을 적용합니다.

문제 해결

로그 수준을 DEBUG로 변경하려면 다음 단계를 완료하세요.

  1. Splunk Web에서 애플리케이션을 선택합니다.

  2. 설정 > 서버 설정 > 서버 로깅으로 이동합니다.

  3. 로그 수준 매개변수에서 DEBUG를 선택합니다.

  4. 저장을 클릭합니다.

Google SecOps TA에서 로그 데이터를 쿼리하는 것은 Splunk 구현에 따라 달라집니다. Splunk CIM이 설치되어 있으면 로그가 cim_modactions 색인에 있습니다. 그렇지 않으면 로그가 _internal 색인에 있습니다.

네트워크

Google SecOps에서 Splunk로의 Splunk API 액세스에 대한 네트워크 액세스: 포트 8089를 통한 트래픽을 허용합니다.

클러스터 환경에서 Google SecOps 부가기능을 배포하는 방법

배포 서버와 검색 헤드를 만들려면 다음 단계를 완료하세요.

  1. SSH를 사용하여 배포 서버에 로그인합니다.

  2. /opt/splunk/etc/system/local/serverclass.conf 파일이 있는지 확인합니다. 그렇지 않은 경우 다음을 실행합니다.

    vi /opt/splunk/etc/system/local/serverclass.conf

    구성 예시는 다음과 같습니다.

    [global] # whitelist matches all clients.
[serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
Google Security OperationsAPP]

  3. /opt/splunk/etc/deployment-apps 디렉터리에 앱 파일을 업로드하고 추출합니다.

  4. Splunk 사용자가 없으면 만듭니다.

    useradd splunk

  5. splunk 그룹이 존재하지 않음:

    groupadd splunk

  6. 앱에 대한 Splunk 사용자 권한을 추가합니다.

    chown splunk:splunk {app path}

  7. SSH를 사용하여 검색 헤드에 로그인합니다.

  8. 검색 헤드를 배포 서버에 클라이언트로 추가합니다.

    /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

  9. 모든 검색 헤드를 다시 시작합니다.

  10. 배포 서버의 UI에 로그인합니다.

  11. 설정 > 분산 환경 > 포워더 관리자로 이동합니다.

  12. 서버 클래스 탭으로 이동하여 새 서버 클래스를 클릭합니다.

  13. 서버 클래스 이름을 입력합니다.

  14. Google SecOps 부가기능을 앱으로 추가하고 검색 헤드를 클라이언트로 추가합니다.

  15. 모든 검색 헤드를 다시 시작합니다.

  16. 모든 검색 헤드에서 앱이 올바르게 구성되어 있는지 확인합니다. Splunk가 클러스터 간에 앱을 일관되게 동기화하지 않습니다.

알려진 문제

로그에 int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed 오류가 표시되면 풀 모드로 작업하는 경우에도 구성의 API 루트 및 API 키 매개변수에 값이 있는지 확인하세요.

Google SecOps에서 Splunk 통합 구성

Splunk 통합을 사용하면 CA 인증서 파일을 사용하여 연결을 확인할 수 있습니다. 이는 추가 연결 확인 방법입니다.

이 방법을 사용하려면 다음이 필요합니다.*

  • CA 인증서 파일
  • Splunk 통합 버전 26.0 이상

Google SecOps에서 통합을 구성합니다.

  1. CA 인증서 파일을 Base64 문자열로 파싱합니다.

  2. 통합 구성 페이지를 엽니다.

  3. CA 인증서 파일 필드에 CA 인증서 문자열을 입력합니다.

  4. 연결을 테스트하려면 SSL 확인 체크박스를 선택하고 테스트를 클릭합니다.

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
인스턴스 이름 문자열 해당 사항 없음 No 통합을 구성할 인스턴스의 이름입니다.
설명 문자열 해당 사항 없음 No 인스턴스에 대한 설명입니다.
서버 주소 문자열 {SCHEMA}://{IP}:{PORT} Splunk 서버의 주소입니다.
사용자 이름 문자열 해당 사항 없음 아니요 Splunk에 연결하는 데 사용할 사용자의 이메일 주소입니다.
비밀번호 비밀번호 해당 사항 없음 아니요 해당 사용자의 비밀번호입니다.
API 토큰 비밀번호 해당 사항 없음 아니요 Splunk API 토큰입니다. 이 필드가 비어 있지 않으면 API 토큰이 다른 인증 방법보다 우선합니다.
SSL 확인 체크박스 선택 해제 아니요 Splunk 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다 (기본적으로 선택 해제됨).
CA 인증서 파일 문자열 해당 사항 없음 아니요 Base64로 인코딩된 CA 인증서 파일입니다.
원격 실행 체크박스 선택 해제 No 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다.

작업

호스트 이벤트 가져오기

설명

Splunk에서 호스트와 관련된 이벤트를 가져옵니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
호스트당 이벤트 수 제한 정수 100 호스트당 반환할 이벤트 수를 지정합니다.
다음의 검색 결과 문자열 -24시간 이벤트의 시작 시간을 지정합니다.
결과 문자열 지금 이벤트의 종료 시간을 지정합니다.
결과 필드 CSV 해당 사항 없음 아니요 반환해야 하는 필드의 쉼표로 구분된 목록을 지정합니다.
색인 문자열 해당 사항 없음 아니요 호스트와 관련된 이벤트를 검색할 때 사용할 색인을 지정합니다. 아무것도 제공되지 않으면 작업에서 색인을 사용하지 않습니다.
호스트 키 문자열 호스트 아니요 호스트 이벤트에 관한 정보를 가져오는 데 사용할 키를 지정합니다. 기본값: host

실행

이 작업은 호스트 이름 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 결과를 사용할 수 있는 경우: 'Splunk에서 다음 호스트의 이벤트를 성공적으로 반환했습니다.\n {0}'.format(entity.identifier)

성공했지만 일부 결과를 사용할 수 없는 경우: 'Splunk에서 다음 호스트에 대한 이벤트를 찾을 수 없습니다.\n {0}'.format(entity.identifier)

성공했지만 일부 결과가 없는 경우: 'Splunk에서 제공된 호스트에 대한 이벤트를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: ''호스트 이벤트 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

400인 경우: ''호스트 이벤트 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(messages/text)

 일반
케이스 월 테이블

이름: {Entity.identifier} Events

열: 결과에 따라 다릅니다.

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Splunk에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True/False is_success:False
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다.
성공한 경우: '제공된 연결 매개변수로 Splunk 서버에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행이 중지되어야 합니다.
실패한 경우: 'Splunk 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

 일반

Splunk Csv Viewer

설명

매개변수

매개변수 유형 기본값 필수 항목 설명
결과 문자열 해당 사항 없음 원시 결과입니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_succeed True/False is_succeed:False

SplunkQuery

설명

Splunk에서 쿼리를 실행합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
검색 모드 DDL

스마트한 기능

가능한 값:

  • 세부정보 수준
  • 스마트한 기능
  • 빠름

 아니요 검색 실행 모드를 지정합니다.
쿼리 문자열 실행해야 하는 쿼리를 지정합니다. 예: index="_internal"
결과 수 제한 정수 100 아니요

반환할 결과 수를 지정합니다.
참고: 이 매개변수는 제공된 쿼리에 'head' 키워드를 추가합니다. 기본값은 100입니다.
다음의 검색 결과 문자열 -24시간 아니요 쿼리의 시작 시간을 지정합니다. 기본값: -24시간
결과 문자열 지금 아니요 쿼리의 종료 시간을 지정합니다. 기본값: now
결과 필드 CSV 아니요

반환해야 하는 필드의 쉼표로 구분된 목록을 지정합니다.
참고: 이 매개변수는 제공된 쿼리에 'fields' 키워드를 추가합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_succeed True/False is_succeed:False
JSON 결과
[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 결과를 사용할 수 있는 경우: 'Splunk에서 '{0}' 쿼리의 결과를 성공적으로 반환했습니다.'.format(query)

성공했지만 결과를 사용할 수 없는 경우: 'Splunk에서 '{0}' 쿼리에 대한 결과를 찾을 수 없습니다.'.format(query)

비동기 메시지: '{0} 쿼리의 실행이 완료되기를 기다리는 중'.format(query name)

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류인 경우: ''SplunkQuery' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

400인 경우: ''SplunkQuery' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(messages/text)

 일반
케이스 월 테이블

이름: Splunk 쿼리 결과

열 - 결과에 따라 다릅니다.

 일반

이벤트 제출

설명

Splunk에 이벤트 제출

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
색인 문자열 main 이벤트를 생성해야 하는 색인을 지정합니다.
이벤트 문자열 해당 사항 없음 제출해야 하는 원시 이벤트를 지정합니다.
호스트 문자열 해당 사항 없음 아니요 이벤트와 관련된 호스트를 지정합니다.
소스 문자열 해당 사항 없음 아니요 이벤트의 소스를 지정합니다. 예: www.
Sourcetype 문자열 해당 사항 없음 아니요 이벤트의 소스 유형을 지정합니다. 예: web_event

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: 'Splunk의 '{0}' 색인에 새 이벤트를 추가했습니다.'.format(index)

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''이벤트 제출' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

400인 경우: ''이벤트 제출' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(messages/text)

 일반

주요 이벤트 업데이트

설명

Splunk ES에서 주목할 만한 이벤트를 업데이트합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
주목할 만한 이벤트 ID CSV 해당 사항 없음 주목할 만한 이벤트의 ID를 지정합니다. 예: 1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7@@notable@@cb87390ae72763679d3f6f8f097ebe2b,1D234D5B-1531-2D2B-BB94-41C439BE12B7@@notable@@cb87390ae72763679d3f6f8f097ebe2b
상태 DDL

다음 중 하나를 선택하세요.

가능한 값은 다음과 같습니다.

다음 중 하나를 선택하세요.

할당되지 않음

신규

진행 중

대기 중

해결됨

종료됨

 주요 이벤트의 새 상태를 지정합니다.
긴급 DDL

다음 중 하나를 선택하세요.

가능한 값은 다음과 같습니다.

다음 중 하나를 선택하세요.

심각

높음

보통

낮음

정보 제공

 주목할 만한 이벤트의 새로운 긴급성을 지정합니다.
새 소유자 문자열 해당 사항 없음 주목할 만한 이벤트의 새 소유자를 지정합니다.
댓글 문자열 해당 사항 없음 주목할 만한 이벤트에 대한 의견을 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True/False is_success:False
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 데이터를 사용할 수 있는 경우 (is_success=true)

print "Splunk에서 {0}개의 주목할 만한 이벤트를 업데이트했습니다.".format(count(notable_events))

업데이트에 실패한 경우 (status_code=400, is_success=false):

'작업이 주목할 만한 이벤트를 업데이트할 수 없었습니다. 출력 Reason:{0}".format(string_from_response)

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우:

'주목할 만한 이벤트 업데이트' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace)

 일반

엔티티 쿼리 실행

설명

Splunk에서 항목 쿼리를 실행합니다.

작업 매개변수를 사용하는 방법

이 작업을 통해 항목과 관련된 정보를 쉽게 검색할 수 있습니다. 예를 들어 복잡한 쿼리 작성 없이 제공된 해시의 영향을 받는 엔드포인트의 이벤트 수를 확인하려는 사용 사례를 해결할 수 있습니다. Splunk에서 이 문제를 해결하려면 다음 쿼리를 준비해야 합니다. index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") '엔티티 쿼리 실행' 작업을 사용하여 동일한 쿼리를 만들려면 다음과 같이 작업 매개변수를 작성해야 합니다.

쿼리 index="main"
IP 엔티티 키 device_ip
파일 해시 항목 키 해시
교차 항목 연산자 AND

다른 필드는 모두 비워 둘 수 있습니다.

제공된 해시의 영향을 받은 엔드포인트 수를 확인하는 것이 사용 사례인 경우 '엔티티 쿼리 실행'의 구성은 다음과 같습니다.

쿼리 index="main"
파일 해시 항목 키 해시

이 경우 '교차 항목 연산자'는 여러 '항목 키'가 제공될 때만 쿼리에 영향을 미치므로 영향을 미치지 않습니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
검색 모드 DDL

스마트한 기능

가능한 값:

  • 세부정보 수준
  • 스마트한 기능
  • 빠름

 아니요 검색 실행 모드를 지정합니다.
쿼리 문자열 'Where' 절 없이 실행해야 하는 쿼리를 지정합니다. 예: index="_internal"
결과 수 제한 정수 100 아니요 반환할 결과 수를 지정합니다. 참고: 이 매개변수는 제공된 쿼리에 'head' 키워드를 추가합니다. 기본값은 100입니다.
다음의 검색 결과 문자열 -24시간 아니요 쿼리의 시작 시간을 지정합니다. 기본값: -24시간
결과 문자열 지금 아니요 쿼리의 종료 시간을 지정합니다. 기본값: now
결과 필드 CSV 해당 사항 없음 아니요

반환해야 하는 필드의 쉼표로 구분된 목록을 지정합니다.
참고: 이 매개변수는 제공된 쿼리에 'fields' 키워드를 추가합니다.
IP 엔티티 키 문자열 해당 사항 없음 아니요 IP 엔티티와 함께 사용할 키를 지정합니다. 자세한 내용은 작업 문서를 참고하세요.
호스트 이름 항목 키 문자열 해당 사항 없음 아니요 준비할 때 호스트 이름 엔티티와 함께 사용할 키를 지정합니다 . 자세한 내용은 작업 문서를 참고하세요.
파일 해시 항목 키 문자열 해당 사항 없음 아니요 파일 해시 항목과 함께 사용할 키를 지정합니다. 자세한 내용은 작업 문서를 참고하세요.
사용자 항목 키 문자열 해당 사항 없음 아니요 사용자 엔티티와 함께 사용할 키를 지정합니다. 자세한 내용은 작업 문서를 참고하세요.
URL 항목 키 문자열 해당 사항 없음 아니요 URL 엔티티와 함께 사용할 키를 지정합니다. 자세한 내용은 작업 문서를 참고하세요.
이메일 주소 엔티티 키 문자열 해당 사항 없음 아니요 이메일 주소 항목과 함께 사용할 키를 지정합니다. 자세한 내용은 작업 문서를 참고하세요.
항목이 충분하지 않으면 중지 체크박스 선택 사용 설정된 경우 지정된 '.. 항목 키'에 대해 모든 항목 유형을 사용할 수 있어야 작업이 실행됩니다. 예: 'IP 엔티티 키'와 '파일 해시 엔티티 키'가 지정되었지만 범위에 파일 해시가 없는 경우 이 매개변수가 사용 설정되면 작업에서 쿼리를 실행하지 않습니다.
교차 항목 연산자 DDL

또는

가능한 값은 다음과 같습니다.

또는

AND

 서로 다른 항목 유형 간에 사용해야 하는 논리 연산자를 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • 호스트
  • 사용자
  • 해시
  • URL

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_succeed True/False is_succeed:False
JSON 결과
[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 결과를 사용할 수 있는 경우: 'Splunk에서 '{0}' 쿼리의 결과를 성공적으로 반환했습니다.'.format(query)

성공했지만 결과를 사용할 수 없는 경우: 'Splunk에서 '{0}' 쿼리에 대한 결과를 찾을 수 없습니다.'.format(query)

비동기 메시지: '{0} 쿼리의 실행이 완료되기를 기다리는 중'.format(query name)

'항목이 충분하지 않으면 중지'가 사용 설정되어 있고 제공된 '항목 키'에 사용할 수 있는 항목 유형이 충분하지 않은 경우(is_success=false): 지정된 '.. 항목 키'에 제공된 항목 유형이 충분하지 않아 작업을 통해 쿼리를 빌드할 수 없습니다. '항목이 충분하지 않으면 중지' 매개변수를 사용 중지하거나 지정된 '.. 항목 키'마다 하나 이상의 항목을 제공하세요.

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''엔티티 쿼리 실행' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

400인 경우: ''항목 쿼리 실행' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(messages/text)

 일반
케이스 월 테이블

이름: Splunk 쿼리 결과

열: 결과에 따라 다릅니다.

 일반

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

선택한 커넥터를 구성하려면 다음 표에 나열된 커넥터별 매개변수를 사용하세요.

Splunk 쿼리 커넥터

커넥터는 동적 목록 (whitelist)의 일부인 쿼리를 전송하고, 결과를 가져오고, 가져온 결과를 기반으로 케이스를 빌드합니다.

로그를 보기 위한 샘플 Splunk 쿼리

  1. 쿼리는 동적 목록 (whitelist) 규칙으로 입력해야 합니다.

  2. 필터가 여러 개인 검색어는 검색 필터 사이에 공백을 구분 기호로 사용해야 합니다(예: index=cim_modactions sourcetype=modular_alerts:risk).

  3. 동일한 규칙에 공백으로 구분된 검색 필터를 여러 개 입력하는 대신 동적 목록 (whitelist) 규칙을 여러 개 사용하면 추가된 각 규칙에 대해 별도의 검색이 실행됩니다.

    • index=cim_modactions
    • sourcetype=modular_alerts:send_data_to_siemplify
    • index=_internal sourcetype=splunkd
    • component=sendmodalert
    • action=send_data_to_siemplify
    • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

커넥터 매개변수

커넥터를 구성하려면 다음 매개변수를 사용하세요.

매개변수
Product Field Name 필수

Product Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 device_product입니다.
Event Field Name 필수

Event Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 app입니다.
API Root 필수

Splunk 인스턴스의 API 루트입니다.

기본값은 https://IP:8089입니다.
Username 필수

Splunk 계정의 사용자 이름입니다.
Password 필수

Splunk 계정의 비밀번호입니다.
API Token 선택사항

Splunk API 토큰입니다.

이 필드에 값이 있으면 API 토큰이 다른 인증 방법보다 우선합니다.
Verify SSL 필수

선택하면 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택 취소되어 있습니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.
Rule Generator Field 필수

규칙 생성기 값을 매핑하는 데 사용되는 필드의 이름입니다.
Alert Name Field Name 필수

알림 이름입니다.
Events Count Limit Per Query 선택사항

쿼리당 가져올 최대 이벤트 수입니다.
Max Day Backwards 선택사항

이벤트를 가져올 위치의 일수입니다.
Aggregate Events Query 선택사항

사용 설정하면 커넥터가 모든 이벤트를 하나의 알림으로 결합합니다.

기본적으로 사용 중지됩니다.
PythonProcessTimeout (Seconds) 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.

기본값은 60초입니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다.

기본값 .*은 모두 포착하고 변경되지 않은 값을 반환합니다.

이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

Splunk 풀 커넥터

Splunk에서 Google SecOps로 알림 및 이벤트를 가져옵니다.

커넥터 매개변수

커넥터를 구성하려면 다음 매개변수를 사용하세요.

매개변수
Product Field Name 필수

Product Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 device_product입니다.
Event Field Name 필수

Event Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 name입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없으면 결과 환경은 "" 입니다.

기본값은 ""입니다.
Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다.

기본값 .*은 모두 포착하고 변경되지 않은 값을 반환합니다.

이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 ""입니다.
PythonProcessTimeout (Seconds) 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.

기본값은 60초입니다.
Server Address 필수

Splunk API 서버의 IP 주소입니다.
Port 필수

Splunk 인스턴스의 포트입니다.

기본값은 8089입니다.
Username 필수

Splunk 계정의 사용자 이름입니다.
Password 필수

Splunk 계정의 비밀번호입니다.
Time Frame 선택사항

알림을 가져올 기간입니다.

기본값은 1시간입니다.

예:

값이 1분으로 설정된 경우 커넥터는 1분 전부터 알림을 가져옵니다.

값이 3시간으로 설정된 경우 커넥터는 3시간 전부터 알림을 가져옵니다.

값이 1일 또는 1주일로 설정된 경우 커넥터는 각각 1일 (24시간) 또는 1주일 전부터 알림을 가져옵니다.
Alerts Count Limit 선택사항

커넥터가 1회 반복당 반환하는 알림 수입니다.

기본값은 100입니다.
Use SSL 선택사항

SSL 또는 TLS 연결을 사용 설정하려면 선택합니다.

기본적으로 선택 취소되어 있습니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

Splunk ES - Notable Events Connector

Splunk ES에서 주목할 만한 이벤트를 수집합니다.

케이스 우선순위 정의

케이스 우선순위는 주목할 만한 이벤트의 Urgency 매개변수로 정의됩니다. Google SecOps에 주목할 만한 이벤트를 수집할 때는 이 파라미터만 고려됩니다.

커넥터 매개변수

커넥터를 구성하려면 다음 매개변수를 사용하세요.

매개변수
Product Field Name 필수

Product Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 Product Name입니다.
Event Field Name 필수

Event Field 이름을 가져오려면 소스 필드 이름을 입력합니다.

기본값은 index입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다.

기본값은 ""입니다.
Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다.

기본값 .*은 모두 포착하고 변경되지 않은 값을 반환합니다.

이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
Script Timeout (Seconds) 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.

기본값은 180초입니다.
Server Address 필수

Splunk 인스턴스의 서버 주소입니다.

기본값은 https://:8089입니다.
Username 선택사항

Splunk 계정의 사용자 이름입니다.
Password 선택사항

Splunk 계정의 비밀번호입니다.
API Token 필수

Splunk API 토큰입니다.

이 필드에 값이 있으면 API 토큰이 다른 인증 방법보다 우선합니다.
Lowest Urgency To Fetch 필수

주목할 만한 이벤트를 가져오는 데 사용되는 가장 낮은 긴급성입니다.

가능한 값은 다음과 같습니다.

  • Informational
  • Low
  • Medium
  • High
  • Critical

기본값은 Medium입니다.

Fetch Max Hours Backwards 선택사항

주요 이벤트를 가져올 위치의 시간입니다.

기본값은 1시간입니다.
Only Drilldown Events 선택사항

사용 설정된 경우 커넥터는 기본 이벤트를 가져오지 않고 드릴다운 이벤트를 가져오려고 시도합니다. 이 매개변수를 사용하려면 Fetch Base Events 옵션을 사용 설정해야 합니다.

기본적으로 사용 중지됩니다.
Padding Time 선택사항

패딩으로 사용될 시간입니다.

값이 제공되지 않은 경우 이 매개변수는 적용되지 않습니다.

최댓값은 12시간입니다.
Max Notable Events To Fetch 선택사항

커넥터 반복당 처리할 주목할 만한 이벤트 수입니다.

기본값은 10입니다.
Use whitelist as a blacklist 필수

사용 설정하면 동적 목록이 차단 목록으로 사용됩니다.

기본적으로 사용 중지됩니다.
Verify SSL 필수

선택하면 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택 취소되어 있습니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Query Filter 선택사항

주목할 만한 이벤트를 가져오기 위해 Splunk에 전송되는 추가 쿼리 필터입니다.

여기에 제공된 값은 WHERE 쿼리 절에 추가됩니다.
Extract Base Events 선택사항

사용 설정하면 커넥터가 작업에 관한 정보를 사용하여 주목할 만한 이벤트와 관련된 기본 이벤트를 추출합니다. 그렇지 않은 경우 커넥터는 주목할 만한 이벤트를 기반으로 Google SecOps 이벤트를 만듭니다.

이 매개변수가 True로 설정되었지만 커넥터가 작업을 처리할 수 없는 경우 커넥터는 주목할 만한 이벤트에 관한 정보를 대체 메커니즘으로 사용합니다.

기본적으로 사용 설정됩니다.
Multivalue Fields 선택사항

여러 항목이 포함된 필드의 쉼표로 구분된 목록입니다.

예를 들어 필드에 호스트 이름이 두 개 포함된 경우 엔티티를 올바르게 매핑하기 위해 주목할 만한 이벤트가 두 개의 Google SecOps 이벤트로 분할됩니다.

Notable Event Data Along Base Event 선택사항

사용 설정된 경우 커넥터는 기본 이벤트 외에 주목할 만한 이벤트를 기반으로 Google SecOps 이벤트를 추가합니다.

기본적으로 사용 중지됩니다.

Rule Generator Field Name 선택사항

규칙 생성기 값을 매핑하는 데 사용되는 필드의 이름입니다.

주목할 만한 이벤트 자체에 관한 정보만 매핑에 사용되며 이벤트는 무시됩니다. 잘못된 값이 제공되면 커넥터가 필드를 rule_name 값으로 설정합니다.
Alert Name Source 선택사항

알림 이름의 소스입니다.

가능한 값은 다음과 같습니다.

  • Search Name
  • Rule Name

기본값은 Search Name입니다.

Query Filter 매개변수 사용 방법

특정 매개변수를 기반으로 주목할 만한 이벤트를 좁혀야 하는 경우 Query Filter 매개변수를 사용합니다. 이 매개변수에 제공된 값은 주목할 만한 이벤트를 가져오기 위해 전송된 쿼리의 WHERE 절에 추가됩니다.

전송된 쿼리의 예는 다음과 같습니다. 

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

예를 들어 Query Filter = isTesting = True이면 쿼리가 다음과 같이 표시됩니다.

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

커넥터 규칙

Splunk ES 커넥터는 동적 목록과 차단 목록 (whitelistblacklist)을 사용합니다. 커넥터는 이벤트의 search_name 필드를 사용하여 동적 목록과 비교합니다.

커넥터 이벤트

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

작업

Splunk ES 종료된 이벤트 동기화

설명

종료된 Splunk ES 주목할 만한 이벤트와 Google SecOps 알림을 동기화합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
서버 주소 문자열 https://IP:8089 Splunk 인스턴스의 서버 주소입니다.
사용자 이름 문자열 해당 사항 없음 아니요 Splunk 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 아니요 Splunk 계정의 비밀번호입니다.
API 토큰 비밀번호 해당 사항 없음 Splunk API 토큰입니다. 이 필드가 비어 있지 않으면 API 토큰이 다른 인증 방법보다 우선합니다.
최대 이전 시간 정수 24 상태를 동기화할 이전 시간입니다. 기본값: 24시간
SSL 확인 체크박스 선택 사용 설정하면 Splunk 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.

Splunk ES 댓글 동기화

설명

이 작업은 Splunk ES 이벤트와 Google SecOps 케이스의 댓글을 동기화합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
서버 주소 문자열 https://IP:8089 Splunk 인스턴스의 서버 주소입니다.
사용자 이름 문자열 해당 사항 없음 아니요 Splunk 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 아니요 Splunk 계정의 비밀번호입니다.
API 토큰 비밀번호 해당 사항 없음 Splunk API 토큰입니다. 이 필드가 비어 있지 않으면 API 토큰이 다른 인증 방법보다 우선합니다.
SSL 확인 체크박스 선택 사용 설정하면 Splunk 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.