Splunk

Versão da integração: 50.0

O app Splunk prepara casos com todos os alertas e eventos relevantes do Splunk. Há duas maneiras de ingerir esses casos no Google Security Operations: métodos baseados em pull e push.

O primeiro método é chamado de baseado em pull. Com esse método, para ingerir casos no Google SecOps, é necessário configurar o conector de pull do Splunk, que extrai casos do app Splunk. Esse método não exige nenhuma configuração adicional no app Splunk.

O segundo método é chamado de baseado em push. Com esse método, o app Splunk faz chamadas de API para o Google SecOps e adiciona um novo caso. Para trabalhar com esse método, gere uma chave de API do Google SecOps e adicione um URI do Google SecOps na configuração do app.

Crie uma chave de API:

1. Acesse Configurações > Avançado > API.

2. Clique no sinal de adição no canto superior direito para adicionar uma nova chave de API.

3. Digite o nome da chave de API e clique em Criar.

4. Copie a chave de API.

Como configurar o Splunk para trabalhar com o Google SecOps

Pré-requisitos para ativar ou desativar a autenticação de token

Antes de ativar a autenticação por token, você precisa atender aos seguintes requisitos:

• A instância da plataforma Splunk em que você quer ativar a autenticação por token não pode operar no modo legado, em que o Splunk Web funciona como um processo separado. Se a plataforma Splunk estiver no modo legado, a autenticação de token não será executada. Para mais informações sobre o modo legado, consulte o documento Iniciar e parar o Splunk Enterprise no Manual do administrador do Splunk Enterprise.

• A conta usada para fazer login na plataforma Splunk precisa ter uma função com a capacidade edit_tokens_settings da plataforma Splunk antes de você poder ativar ou desativar a autenticação por token.

Ativar a autenticação de token usando o Splunk Web

Quando a autenticação por token está desativada, a seguinte mensagem aparece na página Tokens do Splunk Web:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Conclua as etapas a seguir na instância em que você quer ativar a autenticação de token:

1. Faça login na instância da plataforma Splunk como um usuário administrador ou um usuário que pode gerenciar as configurações de tokens. Não é possível usar um token para fazer login no Splunk Web. Você precisa fornecer um nome de usuário e uma senha válidos.

2. Depois de fazer login, na barra de sistema, selecione Configurações > Tokens.

3. Clique em Ativar autenticação de token. A instância da plataforma Splunk ativa a autenticação de token imediatamente, sem necessidade de reiniciar a instância.

Usar o Splunk Web para criar tokens de autenticação

1. Na barra de sistema, clique em Configurações > Tokens.

2. Clique em Novo token.

3. Na caixa de diálogo Novo token, insira o usuário da plataforma Splunk para quem você quer criar o token no campo Usuário.

4. Insira uma breve descrição da finalidade do token no campo Público-alvo.

5. (Opcional) Na lista Expiração, selecione Tempo absoluto ou Tempo relativo. Essa seleção determina o que inserir no campo de texto abaixo da lista.

   • Se você selecionou Tempo absoluto, dois campos de texto vão aparecer abaixo da lista.

     1. Insira uma data válida no primeiro campo. Você também pode clicar no campo para selecionar uma data em um calendário pop-up.

     2. Insira um horário válido de 24 horas no segundo campo.

   • Caso contrário, um campo de texto vai aparecer abaixo da lista suspensa.

     1. Insira uma string que represente por quanto tempo depois do horário atual você quer que o token permaneça válido. Por exemplo, se você quiser que o token expire daqui a 10 dias, insira +10d neste campo.

6. (Opcional) Na lista Não antes de, selecione Tempo absoluto ou Tempo relativo.

   Repita a etapa usada para o controle de expiração. O campo "Not before" não pode estar no passado nem ser posterior ao campo "Expiration".

7. Clique em Criar. A janela Novo token atualiza o campo Token para mostrar o token gerado.

8. Selecione todo o texto do token no campo. Dependendo do sistema operacional e do navegador, clique no campo Token e pressione Ctrl-A ou Command-A no teclado ou clique três vezes. Confirme se você selecionou todo o texto do token. Não há outras oportunidades de ver o token completo depois que você fecha a janela.

9. Copie o texto do campo Token.

10. Cole o token em um arquivo de texto, e-mail ou outra forma de comunicação para a pessoa que você autorizou a usar o token. Confirme se você compartilha o token apenas com quem tem autorização para usá-lo. Qualquer pessoa que tenha o token completo pode usá-lo para autenticar.

11. Clique em Fechar.

12. Use um token para configurar a integração do Google SecOps com o Splunk.

Instalação

Cabeça de pesquisa única

1. Faça o download do pacote TA-Siemplify no seu computador local. https://splunkbase.splunk.com/app/5010/

2. Instale o app no seu dispositivo de pesquisa.

   Selecione App: Pesquisa e relatórios. A caixa de diálogo Fazer upload de um app vai aparecer.

3. Clique em Escolher arquivo e selecione o arquivo do app.

4. Clique em Fazer upload. Aguarde até que o upload do arquivo seja concluído.

5. Reinicie o Splunk.

Configurar o TA-Siemplify

1. No Splunk Enterprise, acesse a página Apps.

2. Selecione Siemplify.

3. Na guia Configurações de complementos, adicione o seguinte:

   Para o método baseado em push:

   • Defina o URI da API Siemplify como o URI do seu servidor do Google SecOps.
   • Defina Modo como Modo de envio.
   • No campo Chave de API, insira o valor do token gerado na seção Chaves de API.

   Para o método pull:

   • Defina o Modo como Modo de extração.

4. Clique em Salvar.

Configuração de alertas

Para enviar dados de alertas e eventos ao Google SecOps, uma ação de acionamento precisa ser adicionada a um alerta do Splunk.

Os campos "Ambiente", "Fornecedor do dispositivo", "Produto do dispositivo" e "Tipo de evento" são compatíveis com a criação de modelos de eventos. Com a criação de modelos de eventos, os campos específicos do Google SecOps podem ser definidos dinamicamente com base nos valores do alerta. Para usar modelos de eventos, coloque o nome de um campo entre colchetes "[ ]". O primeiro evento no alerta será usado para preencher esses campos.

Exemplo: se você tiver um alerta que contenha um campo device_vendor com o valor Microsoft, coloque [device_vendor] no parâmetro de configuração do fornecedor do dispositivo. Quando o alerta for enviado ao Google SecOps, o fornecedor será definido como Microsoft.

1. No Splunk, navegue até Alertas.

2. Na lista Editar, selecione Editar alerta.

3. Na seção Ações de acionamento, navegue até Adicionar ações > Enviar alerta para o Siemplify.

4. Configure o alerta da seguinte maneira:

   • Nome:o valor definido aqui afeta o nome do alerta.
   • Prioridade:o valor definido aqui afeta a prioridade do caso do Google SecOps.
   • Categoria:usada para definir a família visual.
   • Ambiente:mapeia o ambiente no Google SecOps. Deixe em branco se não quiser um ambiente. A criação de modelos com colchetes é compatível.
   • Fornecedor do dispositivo:usado para definir o fornecedor do sistema que envia o evento para o Google SecOps. Se os alertas foram gerados pelo Microsoft Sysmon, use a Microsoft ou um valor no alerta/evento usando modelos.
   • Produto do dispositivo:usado para definir o produto do sistema que envia o evento para o Google SecOps. Se os alertas foram gerados pelo Microsoft Sysmon, esse valor precisa ser "Sysmon" ou um valor do alerta/evento usando modelos.
   • Tipo de evento:usado para definir o tipo de evento na seção "Configuração de eventos do Google SecOps". Se o alerta estava procurando processos maliciosos, o tipo de evento deve ser algo como "Processo encontrado" ou de um valor dentro do alerta/evento usando modelos.
   • Campo de tempo:usado para definir StartTime e EndTime do caso do Google SecOps. Se não for fornecido, ele vai verificar o campo "_indextime". Se não for possível encontrar "_indextime", o horário em que o alerta foi gerado será usado. Não há suporte para modelos.
   • Expandir campos de vários valores:ao definir como 1, o sistema encontra todos os campos de vários valores e cria outros campos que mapeiam cada valor no campo de vários valores. Por exemplo, se um campo de vários valores, src_hosts, contiver um valor de: Server1, Server2, Server3. O sistema vai criar novos campos de: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Essa opção só é compatível quando a opção "Trazer todos os dados de eventos" está desativada.
   • Trazer todos os dados de eventos:essa configuração tenta trazer os eventos brutos que compõem um alerta que contém um comando de transformação (gráfico, timechart, estatísticas, top, rare, contingency, highlight). Para isso, é necessário fazer uma mudança no cabeçalho de pesquisa do Splunk.

5. Para ativar eventos brutos de pesquisas de transformação, copie: $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf para $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Editar: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Remover comentário: #dispatch.buckets =1

6. Salve o arquivo e reinicie o Splunk para que essas configurações entrem em vigor.

Solução de problemas

Para mudar o nível de registro para DEBUG, siga estas etapas:

1. No Splunk Web, selecione seu aplicativo.

2. Acesse Configurações > Configurações do servidor > Registro do servidor.

3. No parâmetro Nível de registro, selecione DEBUG.

4. Clique em Salvar.

A consulta de dados de registros da TA do Google SecOps depende da sua implementação do Splunk. Se você tiver o Splunk CIM instalado, os registros vão estar no índice cim_modactions. Caso contrário, os registros vão estar no índice _internal.

Rede

Acesso à rede para acesso à API do Splunk do Google SecOps ao Splunk: permita o tráfego pela porta 8089.

Como implantar o complemento do Google SecOps em um ambiente de cluster

Para criar o servidor de implantação e os cabeçotes de pesquisa, siga estas etapas:

1. Faça login no servidor de implantação usando SSH.

2. Verifique se o arquivo /opt/splunk/etc/system/local/serverclass.conf existe. Caso contrário, execute:

   vi /opt/splunk/etc/system/local/serverclass.conf

   Exemplo de configuração:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Faça upload e extraia o arquivo do app no diretório /opt/splunk/etc/deployment-apps.

4. Crie um usuário do Splunk se ele não existir:

   useradd splunk

5. O grupo "create splunk group" não existe:

   groupadd splunk

6. Adicione permissões de usuário do Splunk para o app:

   chown splunk:splunk {app path}

7. Faça login nos cabeçotes de pesquisa usando SSH.

8. Adicione cabeças de pesquisa como clientes ao servidor de implantação:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Reinicie todos os cabeçotes de pesquisa.

10. Faça login na UI do servidor de implantação.

11. Acesse Configurações > Ambiente distribuído > Gerenciador de encaminhadores.

12. Acesse a guia Classes de servidor e clique em Nova classe de servidor.

13. Dê um nome à classe de servidor.

14. Adicione o complemento do Google SecOps como um app e os cabeçalhos de pesquisa como clientes.

15. Reinicie todos os cabeçalhos de pesquisa.

16. Verifique se o app está configurado corretamente em todos os cabeçalhos de pesquisa. O Splunk não sincroniza os apps de maneira consistente no cluster.

Problemas conhecidos

Se você receber o erro int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed nos registros, verifique se os parâmetros de raiz da API e chave de API na configuração têm um valor, mesmo que você esteja trabalhando com o modo de extração.

Configurar a integração do Splunk no Google SecOps

Com a integração do Splunk, é possível verificar a conexão usando um arquivo de certificado de CA. Esse é um método adicional de verificação de conexão.

Para usar esse método, você precisa ter o seguinte:*

• Arquivo de certificado de CA
• Versão 26.0 ou mais recente da integração do Splunk

Configure a integração no Google SecOps:

1. Analise o arquivo de certificado da CA em uma string Base64.

2. Abra a página de configuração da integração.

3. No campo Arquivo de certificado da CA, insira a string do certificado da CA.

4. Para testar a conexão, marque a caixa de seleção Verificar SSL e clique em Testar.

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Ações

Receber eventos de host

Descrição

Receba eventos relacionados a hosts no Splunk.

Parâmetros

Executar em

Essa ação é executada na entidade "Hostname".

Resultados da ação

Resultado do script

Resultado do JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Painel de casos

Ping

Descrição

Teste a conectividade com o Splunk usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace do Google Security Operations".

Parâmetros

N/A

Executar em

Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Painel de casos

Visualizador de CSV do Splunk

Descrição

Parâmetros

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

SplunkQuery

Descrição

Execute uma consulta no Splunk.

Parâmetros

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Resultado do JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Painel de casos

Enviar evento

Descrição

Envie um evento para o Splunk.

Parâmetros

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Resultado do JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Painel de casos

Atualizar eventos importantes

Descrição

Atualize eventos importantes no Splunk ES.

Parâmetros

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Painel de casos

Executar consulta de entidade

Descrição

Execute uma consulta de entidade no Splunk.

Como trabalhar com parâmetros de ação?

Essa ação permite recuperar facilmente informações relacionadas a entidades. Por exemplo, é possível resolver o caso de uso em que você quer ver a quantidade de eventos dos endpoints afetados pelos hashes fornecidos sem criar consultas complicadas. Para resolver esse problema no Splunk, prepare a seguinte consulta: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2"). Para criar a mesma consulta usando a ação "Executar consulta de entidade", preencha os parâmetros da ação da seguinte maneira:

Todos os outros campos podem ser deixados em branco.

Se o caso de uso for saber quantos endpoints foram afetados pelos hashes fornecidos, a configuração da "Executar consulta de entidade" terá a seguinte aparência.

O "Operador entre entidades" não terá impacto nessa situação, porque só afeta a consulta quando várias "Chaves de entidade" são fornecidas.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Usuário
• Hash
• URL

Resultados da ação

Resultado do script

Resultado do JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Painel de casos

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Para configurar o conector selecionado, use os parâmetros específicos listados nas tabelas a seguir:

• Parâmetros de configuração do conector de consultas do Splunk
• Parâmetros de configuração do conector de extração do Splunk
• Parâmetros de configuração do conector de eventos notáveis do Splunk ES

Conector de consultas do Splunk

O conector envia consultas que fazem parte da lista dinâmica (whitelist), recupera resultados e cria um caso com base neles.

Exemplos de consultas do Splunk para visualizar os registros

1. As consultas precisam ser inseridas como as regras da lista dinâmica (whitelist).

2. As consultas de pesquisa com vários filtros devem usar espaço como delimitador entre eles. Por exemplo, index=cim_modactions sourcetype=modular_alerts:risk.

3. Usar várias regras de lista dinâmica (whitelist) em vez de inserir vários filtros de pesquisa delimitados por espaço na mesma regra resulta em uma pesquisa separada executada para cada regra adicionada.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parâmetros do conector

Para configurar o conector, use os seguintes parâmetros:

Regras do conector

O conector é compatível com proxy.

Conector de extração do Splunk

Extrair alertas e eventos do Splunk para o Google SecOps.

Parâmetros do conector

Para configurar o conector, use os seguintes parâmetros:

Regras do conector

O conector é compatível com proxy.

Splunk ES: conector de eventos notáveis

Ingerir eventos importantes do Splunk ES.

Definir a prioridade do caso

A prioridade do caso é definida pelo parâmetro Urgency no evento notável. Somente esse parâmetro é considerado ao ingerir o evento notável no Google SecOps.

Parâmetros do conector

Para configurar o conector, use os seguintes parâmetros:

Como usar o parâmetro Query Filter

Se for necessário restringir os eventos notáveis com base em parâmetros específicos, use o parâmetro Query Filter. O valor fornecido nesse parâmetro é anexado à cláusula WHERE da consulta enviada para receber eventos importantes.

Confira um exemplo de consulta enviada:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Por exemplo, se Query Filter = isTesting = True, a consulta vai aparecer da seguinte forma:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Regras do conector

O conector do Splunk ES usa listas dinâmicas e de bloqueio (whitelist e blacklist). Ele usa o campo search_name do evento para comparar com a lista dinâmica.

Evento do conector

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Jobs

Sincronizar eventos fechados do Splunk ES

Descrição

Sincroniza eventos notáveis fechados do Splunk ES e alertas do Google SecOps.

Parâmetros

Sincronizar comentários do Splunk ES

Descrição

Esse job sincroniza comentários em eventos do Splunk ES e casos do Google SecOps.

Parâmetros

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.