Splunk

Versão da integração: 50.0

A app Splunk prepara registos com todos os alertas e eventos relevantes do Splunk. Existem duas formas de carregar estes registos no Google Security Operations: métodos baseados na obtenção e métodos baseados no envio.

O primeiro método chama-se baseado na obtenção. Ao usar este método, para carregar registos de incidentes para o Google SecOps, tem de configurar o conetor de obtenção do Splunk, que obtém registos de incidentes da app Splunk. Este método não requer nenhuma configuração adicional na app Splunk.

O segundo método chama-se baseado em envio. Com este método, a app Splunk faz chamadas API para o Google SecOps para adicionar um novo registo. Para trabalhar com este método, tem de gerar uma chave da API Google SecOps e adicionar um URI Google SecOps na configuração da app.

Crie uma chave da API:

1. Navegue para Definições > Avançadas > API.

2. Clique no sinal de mais na parte superior direita para adicionar uma nova chave da API.

3. Introduza o nome da chave da API e clique em Criar.

4. Copie a chave da API.

Como configurar o Splunk para funcionar com o Google SecOps

Pré-requisitos para ativar ou desativar a autenticação por token

Antes de poder ativar a autenticação por token, tem de cumprir os seguintes requisitos:

• A instância da plataforma Splunk onde quer ativar a autenticação por token não pode funcionar no modo antigo, em que o Splunk Web funciona como um processo separado. Se a plataforma Splunk estiver no modo antigo, a autenticação de tokens não é executada. Para mais informações sobre o modo antigo, consulte o documento Iniciar e parar o Splunk Enterprise no manual de administração do Splunk Enterprise.

• A conta que usa para iniciar sessão na plataforma Splunk tem de ter uma função com a capacidade da plataforma Splunk edit_tokens_settings antes de poder ativar ou desativar a autenticação de tokens.

Ative a autenticação de tokens através do Splunk Web

Quando a autenticação de tokens está desativada, é apresentada a seguinte mensagem na página Tokens no Splunk Web:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Conclua os passos seguintes na instância onde quer ativar a autenticação de tokens:

1. Inicie sessão na instância da plataforma Splunk como utilizador administrador ou utilizador que pode gerir as definições de tokens. Não pode usar um token para iniciar sessão no Splunk Web. Tem de indicar um nome de utilizador e uma palavra-passe válidos.

2. Depois de iniciar sessão com êxito, na barra do sistema, selecione Definições > Tokens.

3. Clique em Ativar autenticação de tokens. A instância da plataforma Splunk ativa a autenticação de tokens imediatamente e não é necessário reiniciar a instância.

Use o Splunk Web para criar tokens de autenticação

1. Na barra do sistema, clique em Definições > Tokens.

2. Clique em Novo token.

3. Na caixa de diálogo Novo token, introduza o utilizador da plataforma Splunk para o qual quer criar o token no campo Utilizador.

4. Introduza uma breve descrição da finalidade do token no campo Público-alvo.

5. (Opcional) Na lista Validade, selecione Hora absoluta ou Hora relativa. Esta seleção determina o que introduzir no campo de texto abaixo da lista.

   • Se selecionou Hora absoluta, são apresentados dois campos de texto abaixo da lista.

     1. Introduza uma data válida no primeiro campo. Também pode clicar no campo para selecionar uma data num calendário de pop-up.

     2. Introduza uma hora válida de 24 horas no segundo campo.

   • Caso contrário, é apresentado um campo de texto abaixo da lista pendente.

     1. Introduza uma string que represente o tempo após a hora atual durante o qual quer que o token permaneça válido. Por exemplo, se quiser que o token expire 10 dias a partir de agora, introduza +10d neste campo.

6. (Opcional) Na lista Não antes de, selecione Hora absoluta ou Hora relativa.

   Repita o passo que usou para o controlo de expiração. A hora de início não pode ser anterior à atual nem posterior à hora de validade.

7. Clique em Criar. A janela Novo token atualiza o campo Token para lhe mostrar o token que foi gerado.

8. Selecione todo o texto do token no campo. Consoante o sistema operativo e o navegador, pode clicar no campo Token e, em seguida, clicar três vezes ou premir Ctrl+A ou Command+A no teclado. Confirme que selecionou todo o texto do token. Não existem mais oportunidades para ver o token completo depois de fechar a janela.

9. Copie o texto do campo Token.

10. Cole o token num ficheiro de texto, num email ou noutra forma de comunicação para a pessoa que autorizou a usar o token. Confirme que partilha o token apenas com as pessoas que autorizou a usá-lo. Qualquer pessoa que tenha o token completo pode usá-lo para autenticar.

11. Clique em Fechar.

12. Use um token para configurar a integração do Google SecOps com o Splunk.

Instalação

Cabeçalho de pesquisa único

1. Transfira o pacote TA-Siemplify para o seu computador local. https://splunkbase.splunk.com/app/5010/

2. Instale a app no seu auricular de pesquisa.

   Selecione App: Search & Reporting. É apresentada a caixa de diálogo Carregar uma app.

3. Clique em Escolher ficheiro e selecione o ficheiro da app.

4. Clique em Carregar. Aguarde até que o ficheiro seja carregado.

5. Reinicie o Splunk.

Configure o TA-Siemplify

1. No Splunk Enterprise, aceda à página Apps.

2. Selecione Siemplify.

3. No separador Definições do suplemento, adicione o seguinte:

   Para o método baseado em envio:

   • Defina o URI da API Siemplify para o URI do seu servidor do Google SecOps.
   • Defina o Modo como Modo de envio.
   • No campo Chave da API, introduza o valor do token gerado na secção Chaves da API.

   Para o método baseado na obtenção:

   • Defina o Modo como Modo de extração.

4. Clique em Guardar.

Configuração de alertas

Para enviar dados de alertas e eventos para o Google SecOps, tem de adicionar uma ação de acionador a um alerta do Splunk existente.

Os campos Ambiente, Fornecedor do dispositivo, Produto do dispositivo e Tipo de evento suportam a criação de modelos de eventos. Os modelos de eventos permitem que os campos específicos no Google SecOps sejam definidos dinamicamente com base nos valores no alerta. Para usar modelos de eventos, coloque um nome de campo entre parênteses retos "[ ]". O primeiro evento no alerta vai ser usado para preencher estes campos.

Exemplo: se tiver um alerta que contenha um campo device_vendor com um valor de Microsoft, pode colocar [device_vendor] no parâmetro de configuração Device Vendor e, quando o alerta for enviado para o Google SecOps, o fornecedor será definido como Microsoft.

1. No Splunk, navegue para Alertas.

2. Na lista Editar, selecione Editar alerta.

3. Na secção Ações de acionamento, navegue para Adicionar ações > Enviar alerta para o Siemplify.

4. Configure o alerta da seguinte forma:

   • Nome: o valor definido aqui afeta o nome do alerta.
   • Prioridade: o valor definido aqui afeta a prioridade do registo do Google SecOps.
   • Categoria: usada para definir a família visual.
   • Ambiente: mapeia para o ambiente no Google SecOps. Deixe em branco para não ter ambiente. Os modelos com parênteses retos são suportados.
   • Fornecedor do dispositivo: usado para definir o fornecedor do sistema que envia o evento para o Google SecOps. Se os alertas foram gerados pelo Microsoft Sysmon, use o Microsoft ou um valor no alerta/evento através de modelos.
   • Produto do dispositivo: usado para definir o produto do sistema que envia o evento para o Google SecOps. Se os alertas foram gerados pelo Microsoft Sysmon, este valor deve ser Sysmon ou um valor no alerta/evento através de modelos.
   • Tipo de evento: usado para definir o tipo de evento na secção Configuração de eventos do Google SecOps. Se o alerta estiver à procura de processos maliciosos, o tipo de evento deve ser algo como "Process Found" ou de um valor no alerta/evento através de modelos.
   • Campo de tempo: usado para definir o StartTime e o EndTime do registo do Google SecOps. Se não for fornecido, verifica o campo "_indextime". Se não conseguir encontrar "_indextime", usa a hora em que o alerta foi gerado. Os modelos não são suportados.
   • Expandir campos com vários valores: se definir esta opção como 1, o sistema encontra todos os campos com vários valores e cria campos adicionais que mapeiam cada valor no campo com vários valores. Por exemplo, se um campo de vários valores, src_hosts, contiver um valor de: Server1, Server2, Server3. O sistema cria novos campos de: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Esta opção só é suportada quando a opção Trazer todos os dados de eventos está desativada.
   • Trazer todos os dados de eventos: esta definição tenta trazer os eventos não processados que compõem um alerta que contém um comando de transformação (chart, timechart, stats, top, rare, contingency, highlight). Para suportar esta alteração, é necessário alterar o Splunk Search Head.

5. Para ativar eventos não processados a partir de pesquisas de transformação, copie: $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf para $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Editar: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Descomentar: #dispatch.buckets =1

6. Guarde o ficheiro e reinicie o Splunk para que estas definições entrem em vigor.

Resolução de problemas

Para alterar o nível do registo para DEBUG, conclua os seguintes passos:

1. No Splunk Web, selecione a sua aplicação.

2. Aceda a Definições > Definições do servidor > Registo do servidor.

3. Para o parâmetro Nível de registo, selecione DEBUG.

4. Clique em Guardar.

A consulta de dados de registo do Google SecOps TA depende da sua implementação do Splunk. Se tiver o Splunk CIM instalado, os registos encontram-se no índice cim_modactions. Caso contrário, os registos vão estar no índice _internal.

Rede

Acesso à rede ao acesso à API Splunk do Google SecOps ao Splunk: Permita o tráfego através da porta 8089.

Como implementar o suplemento do Google SecOps num ambiente de cluster

Para criar o servidor de implementação e os cabeçalhos de pesquisa, conclua os seguintes passos:

1. Inicie sessão no servidor de implementação através de SSH.

2. Certifique-se de que o ficheiro /opt/splunk/etc/system/local/serverclass.conf existe. Caso contrário, execute o seguinte comando:

   vi /opt/splunk/etc/system/local/serverclass.conf

   Segue-se um exemplo da configuração:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Carregue e extraia o ficheiro da app no diretório /opt/splunk/etc/deployment-apps.

4. Crie o utilizador do Splunk se não existir:

   useradd splunk

5. O grupo de criação do Splunk não existe:

   groupadd splunk

6. Adicione autorizações do utilizador do Splunk para a app:

   chown splunk:splunk {app path}

7. Inicie sessão para pesquisar cabeçalhos através de SSH.

8. Adicione cabeçalhos de pesquisa como clientes ao servidor de implementação:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Reinicie todas as cabeças de pesquisa.

10. Inicie sessão na IU do servidor de implementação.

11. Navegue para Definições > Ambiente distribuído > Gestor de encaminhadores.

12. Aceda ao separador Classes de servidores e clique em Nova classe de servidor.

13. Indique um nome para a classe de servidor.

14. Adicione o suplemento Google SecOps como uma app e os cabeçalhos de pesquisa como clientes.

15. Reinicie todos os balões de pesquisa.

16. Certifique-se de que a app está configurada corretamente em todos os cabeçalhos de pesquisa. O Splunk não sincroniza consistentemente as apps no cluster.

Problemas Conhecidos

Se receber o erro int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed nos registos, certifique-se de que os parâmetros da chave da API e da raiz da API na configuração têm um valor, mesmo que esteja a trabalhar com o modo de obtenção.

Configure a integração do Splunk no Google SecOps

A integração do Splunk permite-lhe validar a ligação através de um ficheiro de certificado de AC. Este é um método de validação de ligação adicional.

Para usar este método, tem de ter o seguinte:*

• Ficheiro de certificado da AC
• Versão 26.0 ou superior da integração do Splunk

Configure a integração no Google SecOps:

1. Analise o ficheiro do certificado da CA numa string Base64.

2. Abra a página de configuração da integração.

3. No campo Ficheiro de certificado da AC, introduza a string do certificado da AC.

4. Para testar a ligação, selecione a caixa de verificação Validar SSL e clique em Testar.

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Ações

Organize eventos

Descrição

Receba eventos relacionados com anfitriões no Splunk.

Parâmetros

Executar em

Esta ação é executada na entidade Hostname.

Resultados da ação

Resultado do script

Resultado JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Case Wall

Tchim-tchim

Descrição

Teste a conetividade ao Splunk com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

Executar em

Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Case Wall

Splunk Csv Viewer

Descrição

Parâmetros

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

SplunkQuery

Descrição

Executar uma consulta no Splunk.

Parâmetros

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Resultado JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Case Wall

Enviar evento

Descrição

Envie o evento para o Splunk.

Parâmetros

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Resultado JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Case Wall

Atualize eventos notáveis

Descrição

Atualize eventos notáveis no Splunk ES.

Parâmetros

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Case Wall

Execute uma consulta de entidade

Descrição

Execute uma consulta de entidade no Splunk.

Como trabalhar com parâmetros de ação?

Esta ação permite obter facilmente informações relacionadas com entidades. Por exemplo, é possível resolver o exemplo de utilização em que quer ver a quantidade de eventos dos pontos finais afetados pelos hashes fornecidos sem criar consultas complicadas. Para resolver este problema no Splunk, tem de preparar a seguinte consulta: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Para criar a mesma consulta através da ação "Executar consulta de entidade", tem de preencher os parâmetros da ação da seguinte forma:

Todos os outros campos podem ficar vazios.

Se o exemplo de utilização for ver quantos pontos finais foram afetados pelos hashes fornecidos, a configuração da "Execute Entity Query" terá o seguinte aspeto.

"Cross Entity Operator" nesta situação não tem impacto, porque só afeta a consulta quando são fornecidas várias "Chaves de entidades".

Parâmetros

Executar em

Esta ação é executada nas seguintes entidades:

• Endereço IP
• Anfitrião
• Utilizador
• Hash
• URL

Resultados da ação

Resultado do script

Resultado JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Case Wall

Conetores

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Para configurar o conector selecionado, use os parâmetros específicos do conector indicados nas tabelas seguintes:

• Parâmetros de configuração do conetor de consultas do Splunk
• Parâmetros de configuração do conetor de obtenção do Splunk
• Parâmetros de configuração do conetor de eventos notáveis do Splunk ES

Conetor de consultas do Splunk

O conector envia consultas que fazem parte da lista dinâmica (whitelist), obtém resultados e cria um registo com base nos resultados obtidos.

Exemplos de consultas do Splunk para ver os registos

1. As consultas devem ser introduzidas como as regras da lista dinâmica (whitelist).

2. As consultas de pesquisa com vários filtros devem usar um espaço como delimitador entre os filtros de pesquisa. Por exemplo, index=cim_modactions sourcetype=modular_alerts:risk.

3. A utilização de várias regras de listas dinâmicas (whitelist) em vez de introduzir vários filtros de pesquisa delimitados por espaços na mesma regra resulta numa pesquisa separada executada para cada regra adicionada.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parâmetros do conetor

Para configurar o conector, use os seguintes parâmetros:

Regras de conector

O conetor suporta proxy.

Conetor de obtenção do Splunk

Extraia alertas e eventos do Splunk para o Google SecOps.

Parâmetros do conetor

Para configurar o conector, use os seguintes parâmetros:

Regras de conector

O conetor suporta proxy.

Splunk ES - Notable Events Connector

Carregue eventos notáveis do Splunk ES.

Defina a prioridade do registo

A prioridade do registo é definida pelo parâmetro Urgency no evento notável. Apenas este parâmetro é tido em consideração quando o evento notável é carregado no Google SecOps.

Parâmetros do conetor

Para configurar o conector, use os seguintes parâmetros:

Como usar o parâmetro Query Filter

Se for necessário restringir os eventos notáveis com base nos parâmetros específicos, use o parâmetro Query Filter. O valor fornecido neste parâmetro é anexado à cláusula WHERE da consulta enviada para obter eventos notáveis.

Segue-se o exemplo da consulta enviada:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Por exemplo, se Query Filter = isTesting = True, a consulta aparece da seguinte forma:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Regras de conector

O conector do Splunk ES usa a lista dinâmica e a lista de bloqueio (whitelist e blacklist). O conector usa o campo search_name do evento para comparar com a lista dinâmica.

Evento do conetor

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Empregos

Sincronize eventos fechados do Splunk ES

Descrição

Sincroniza eventos notáveis fechados do Splunk ES e alertas do Google SecOps.

Parâmetros

Sincronize comentários do Splunk ES

Descrição

Esta tarefa sincroniza os comentários nos eventos do Splunk ES e nos registos do Google SecOps.

Parâmetros

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.