Splunk

Versión de integración: 50.0

La aplicación Splunk prepara los casos con todas las alertas y eventos relevantes de Splunk. Hay dos formas de ingerir estos casos en Google Security Operations: métodos basados en la extracción y métodos basados en el envío.

El primer método se denomina basado en extracción. Con este método, para ingerir casos en Google SecOps, debe configurar el conector de extracción de Splunk, que extrae casos de la aplicación Splunk. Este método no requiere ninguna configuración adicional en la aplicación Splunk.

El segundo método se denomina basado en push. Con este método, la aplicación Splunk realiza llamadas a la API de Google SecOps para añadir un nuevo caso. Para usar este método, debes generar una clave de API de Google SecOps y añadir un URI de Google SecOps en la configuración de la aplicación.

Crea una clave de API:

1. Ve a Configuración > Avanzado > API.

2. Haz clic en el signo más situado en la parte superior derecha para añadir una clave de API.

3. Escribe el nombre de la clave de API y haz clic en Crear.

4. Copia la clave de API.

Cómo configurar Splunk para que funcione con Google SecOps

Requisitos previos para habilitar o inhabilitar la autenticación con token

Para habilitar la autenticación con token, debes cumplir los siguientes requisitos:

• La instancia de la plataforma Splunk en la que quieras habilitar la autenticación por token no debe funcionar en el modo antiguo, en el que Splunk Web funciona como un proceso independiente. Si la plataforma Splunk está en modo antiguo, la autenticación mediante token no se ejecuta. Para obtener más información sobre el modo antiguo, consulta el documento Start and Stop Splunk Enterprise (Iniciar y detener Splunk Enterprise) en el manual de administrador de Splunk Enterprise.

• La cuenta que uses para iniciar sesión en la plataforma Splunk debe tener un rol que incluya la función de plataforma Splunk edit_tokens_settings para poder activar o desactivar la autenticación por token.

Habilitar la autenticación de tokens mediante Splunk Web

Cuando la autenticación por token está desactivada, se muestra el siguiente mensaje en la página Tokens de Splunk Web:

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

Sigue estos pasos en la instancia en la que quieras habilitar la autenticación con token:

1. Inicia sesión en la instancia de la plataforma Splunk como administrador o como usuario que pueda gestionar la configuración de los tokens. No puedes usar un token para iniciar sesión en Splunk Web. Debes proporcionar un nombre de usuario y una contraseña válidos.

2. Después de iniciar sesión correctamente, en la barra del sistema, selecciona Configuración > Tokens.

3. Haz clic en Habilitar autenticación con token. La instancia de la plataforma Splunk habilita la autenticación de tokens inmediatamente y no es necesario reiniciar la instancia.

Usar Splunk Web para crear tokens de autenticación

1. En la barra del sistema, haz clic en Configuración > Tokens.

2. Haz clic en New Token (Nuevo token).

3. En el cuadro de diálogo Nuevo token, introduce el usuario de la plataforma Splunk para el que quieras crear el token en el campo Usuario.

4. En el campo Audiencia, introduce una breve descripción del propósito del token.

5. (Opcional) En la lista Vencimiento, selecciona Hora absoluta o Hora relativa. Esta selección determina qué se debe introducir en el campo de texto situado debajo de la lista.

   • Si has seleccionado Hora absoluta, aparecerán dos campos de texto debajo de la lista.

     1. Introduce una fecha válida en el primer campo. También puedes hacer clic en el campo para seleccionar una fecha en un calendario emergente.

     2. Introduce una hora válida en formato de 24 horas en el segundo campo.

   • De lo contrario, aparecerá un campo de texto debajo de la lista desplegable.

     1. Introduce una cadena que represente el tiempo que quieres que el token siga siendo válido después de la hora actual. Por ejemplo, si quieres que el token caduque en 10 días, introduce +10d en este campo.

6. (Opcional) En la lista No antes de, selecciona Hora absoluta u Hora relativa.

   Repite el paso que has usado para el control de caducidad. El tiempo "Not before" no puede ser anterior al momento actual ni posterior al tiempo "Expiration".

7. Haz clic en Crear. En la ventana Nuevo token, se actualiza el campo Token para mostrarte el token que se ha generado.

8. Selecciona todo el texto del token en el campo. En función de tu sistema operativo y navegador, puedes hacer clic en el campo Token y, a continuación, hacer triple clic o pulsar Ctrl+A o Comando+A en el teclado. Confirma que has seleccionado todo el texto del token. No habrá más oportunidades de ver el token completo después de cerrar la ventana.

9. Copia el texto del campo Token.

10. Pega el token en un archivo de texto, un correo electrónico u otra forma de comunicación para enviárselo a la persona a la que has autorizado a usarlo. Confirma que solo compartes el token con las personas a las que has autorizado a usarlo. Cualquier persona que tenga el token completo puede usarlo para autenticarse.

11. Haz clic en Cerrar.

12. Usa un token para configurar la integración de Google SecOps con Splunk.

Instalación

Encabezado de búsqueda único

1. Descarga el paquete TA-Siemplify en tu ordenador local. https://splunkbase.splunk.com/app/5010/

2. Instala la aplicación en tu visor de búsqueda.

   Selecciona Aplicación: búsqueda e informes. Aparecerá el cuadro de diálogo Subir una aplicación.

3. Haz clic en Seleccionar archivo y elige el archivo de la aplicación.

4. Haz clic en Subir. Espera a que se suba el archivo.

5. Reinicia Splunk.

Configurar TA-Siemplify

1. En Splunk Enterprise, ve a la página Aplicaciones.

2. Selecciona Siemplify.

3. En la pestaña Configuración del complemento, añade lo siguiente:

   En el caso del método basado en push:

   • Define el URI de la API de Siemplify como el URI de tu servidor de Google SecOps.
   • Selecciona Modo y, a continuación, Modo de envío.
   • En el campo Clave de API, introduce el valor del token que se ha generado en la sección Claves de API.

   Para el método basado en extracción:

   • Define el modo como modo de extracción.

4. Haz clic en Guardar.

Configuración de alertas

Para enviar datos de alertas y eventos a Google SecOps, se debe añadir una acción de activación a una alerta de Splunk.

Los campos Entorno, Proveedor del dispositivo, Producto del dispositivo y Tipo de evento admiten plantillas de eventos. Las plantillas de eventos permiten que los campos específicos de Google SecOps se definan dinámicamente en función de los valores de la alerta. Para usar plantillas de eventos, rodea el nombre de un campo con corchetes "[ ]". El primer evento de la alerta se usará para rellenar estos campos.

Ejemplo: Si tienes una alerta que contiene un campo device_vendor con el valor Microsoft, puedes poner [device_vendor] en el parámetro de configuración Device Vendor y, cuando la alerta se envíe a Google SecOps, el proveedor se establecerá en Microsoft.

1. En Splunk, ve a Alertas.

2. En la lista Editar, selecciona Editar alerta.

3. En la sección Trigger Actions (Acciones de activación), ve a Add Actions > Send Alert to Siemplify (Añadir acciones > Enviar alerta a Siemplify).

4. Configure la alerta de la siguiente manera:

   • Nombre: el valor que se defina aquí afectará al nombre de la alerta.
   • Prioridad: el valor definido aquí afectará a la prioridad del caso de Google SecOps.
   • Categoría: se usa para definir la familia visual.
   • Entorno: se corresponde con el entorno de Google SecOps. Si no quieres usar ningún entorno, deja el campo en blanco. Se admite el uso de plantillas con corchetes.
   • Proveedor del dispositivo: se usa para definir el proveedor del sistema que envía el evento a Google SecOps. Si las alertas se han generado con Microsoft Sysmon, usa Microsoft o un valor de la alerta o el evento mediante plantillas.
   • Producto del dispositivo: se usa para definir el producto del sistema que envía el evento a Google SecOps. Si las alertas se han generado con Microsoft Sysmon, este valor debe ser Sysmon o un valor de la alerta o el evento mediante plantillas.
   • Tipo de evento: se usa para definir el tipo de evento en la sección Configuración de eventos de Google SecOps. Si la alerta buscaba procesos maliciosos, el tipo de evento debería ser algo parecido a "Proceso encontrado" o un valor de la alerta o el evento mediante plantillas.
   • Campo de hora: se usa para definir las horas de inicio y de finalización del caso de Google SecOps. Si no se proporciona, se buscará el campo "_indextime". Si no encuentra "_indextime", usará la hora en la que se generó la alerta. No se admite el uso de plantillas.
   • Ampliar campos de varios valores: si asigna el valor 1 a este campo, el sistema buscará los campos de varios valores y creará campos adicionales que se correspondan con cada valor del campo de varios valores. Por ejemplo, si un campo de varios valores, src_hosts, contiene el valor: Server1, Server2, Server3. El sistema creará los siguientes campos: src_hosts_0: Server1, src_hosts_1: Server2, src_hosts_2: Server3. Esta opción solo se admite cuando la opción Traer todos los datos de eventos está inhabilitada.
   • Traer todos los datos de eventos: esta opción intentará traer los eventos sin procesar que componen una alerta que contiene un comando de transformación (gráfico, gráfico cronológico, estadísticas, principales, poco frecuentes, contingencia o destacado). Para ello, es necesario cambiar el Splunk Search Head.

5. Para habilitar los eventos sin procesar de las búsquedas de transformación, copie: $SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf a $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Edite: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf Descomente: #dispatch.buckets =1

6. Guarda el archivo y reinicia Splunk para que se apliquen estos ajustes.

Solución de problemas

Para cambiar el nivel de registro a DEBUG, sigue estos pasos:

1. En Splunk Web, selecciona tu aplicación.

2. Ve a Configuración > Configuración del servidor > Registro del servidor.

3. En el parámetro Nivel de registro, selecciona DEBUG.

4. Haz clic en Guardar.

La consulta de datos de registro de la asistencia técnica de Google SecOps dependerá de tu implementación de Splunk. Si tienes instalado Splunk CIM, los registros estarán en el índice cim_modactions. De lo contrario, los registros estarán en el índice _internal.

Red

Acceso de red a la API de Splunk desde Google SecOps a Splunk: permite el tráfico a través del puerto 8089.

Cómo implementar el complemento de Google SecOps en un entorno de clúster

Para crear un servidor de implementación y los buscadores, sigue estos pasos:

1. Inicia sesión en el servidor de implementación mediante SSH.

2. Asegúrate de que el archivo /opt/splunk/etc/system/local/serverclass.conf existe. Si no es así, ejecuta lo siguiente:

   vi /opt/splunk/etc/system/local/serverclass.conf

   A continuación, se muestra un ejemplo de configuración:

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. Sube y extrae el archivo de la aplicación en el directorio /opt/splunk/etc/deployment-apps.

4. Crea un usuario de Splunk si no existe:

   useradd splunk

5. No existe el grupo de Splunk:

   groupadd splunk

6. Añade permisos de usuario de Splunk para la aplicación:

   chown splunk:splunk {app path}

7. Inicia sesión en los encabezados de búsqueda mediante SSH.

8. Añade los encabezados de búsqueda como clientes al servidor de implementación:

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. Reinicia todos los encabezados de búsqueda.

10. Inicia sesión en la interfaz de usuario del servidor de implementación.

11. Ve a Configuración > Entorno distribuido > Gestor de reenviadores.

12. Ve a la pestaña Clases de servidor y haz clic en Nueva clase de servidor.

13. Asigna un nombre a la clase de servidor.

14. Añade el complemento Google SecOps como aplicación y los Search Heads como clientes.

15. Reinicia todos los Search Heads.

16. Asegúrate de que la aplicación esté configurada correctamente en todos los encabezados de búsqueda. Splunk no sincroniza las aplicaciones de forma coherente en todo el clúster.

Problemas conocidos

Si recibes el error int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed en los registros, asegúrate de que los parámetros de la raíz de la API y de la clave de la API de la configuración tengan un valor, aunque estés trabajando con el modo de extracción.

Configurar la integración de Splunk en Google SecOps

La integración de Splunk te permite verificar la conexión mediante un archivo de certificado de CA. Este es un método de verificación de conexión adicional.

Para usar este método, debes tener lo siguiente:*

• Archivo de certificado de AC
• Versión 26.0 o posterior de la integración de Splunk

Configura la integración en Google SecOps:

1. Analiza el archivo de certificado de la AC en una cadena Base64.

2. Abre la página de configuración de la integración.

3. En el campo CA Certificate File (Archivo de certificado de AC), introduce la cadena del certificado de AC.

4. Para probar la conexión, marca la casilla Verificar SSL y haz clic en Probar.

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Acciones

Obtener eventos de host

Descripción

Obtener eventos relacionados con hosts en Splunk.

Parámetros

Fecha de ejecución

Esta acción se ejecuta en la entidad Hostname.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Panel de casos

Ping

Descripción

Prueba la conectividad a Splunk con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Panel de casos

Visualizador de CSV de Splunk

Descripción

Parámetros

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

SplunkQuery

Descripción

Ejecuta una consulta en Splunk.

Parámetros

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Panel de casos

Enviar evento

Descripción

Envía el evento a Splunk.

Parámetros

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Panel de casos

Actualizar eventos importantes

Descripción

Actualizar eventos notables en Splunk ES.

Parámetros

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Panel de casos

Ejecutar consulta de entidad

Descripción

Ejecuta una consulta de entidad en Splunk.

¿Cómo se usan los parámetros de acción?

Esta acción permite recuperar fácilmente información relacionada con entidades. Por ejemplo, puedes resolver el caso práctico en el que quieres ver la cantidad de eventos de los endpoints afectados por los hashes proporcionados sin tener que crear consultas complejas. Para resolver este problema en Splunk, debes preparar la siguiente consulta: index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") Para crear la misma consulta con la acción "Ejecutar consulta de entidad", debes rellenar los parámetros de la acción de la siguiente manera:

El resto de los campos se pueden dejar en blanco.

Si el caso de uso es ver cuántos endpoints se han visto afectados por los hashes proporcionados, la configuración de "Ejecutar consulta de entidad" tendrá el siguiente aspecto.

En esta situación, el operador de entidad cruzada no tendrá ningún efecto, ya que solo afecta a la consulta cuando se proporcionan varias claves de entidad.

Parámetros

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

• Dirección IP
• Host
• Usuario
• Hash
• URL

Resultados de la acción

Resultado de secuencia de comandos

Resultado de JSON

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Panel de casos

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Para configurar el conector seleccionado, utilice los parámetros específicos del conector que se indican en las siguientes tablas:

• Parámetros de configuración del conector de consultas de Splunk
• Parámetros de configuración del conector de extracción de Splunk
• Parámetros de configuración del conector de eventos notables de Splunk ES

Conector de consultas de Splunk

El conector envía consultas que forman parte de la lista dinámica (whitelist), obtiene resultados y crea un caso basado en los resultados obtenidos.

Consultas de Splunk de ejemplo para ver los registros

1. Las consultas deben introducirse como reglas de la lista dinámica (whitelist).

2. En las consultas de búsqueda con varios filtros, se debe usar un espacio como delimitador entre los filtros de búsqueda. Por ejemplo, index=cim_modactions sourcetype=modular_alerts:risk.

3. Si usas varias reglas de lista dinámica (whitelist) en lugar de introducir varios filtros de búsqueda delimitados por espacios en la misma regla, se ejecutará una búsqueda independiente por cada regla añadida.

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Reglas de conectores

El conector admite proxies.

Conector de extracción de Splunk

Extraer alertas y eventos de Splunk a Google SecOps.

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Reglas de conectores

El conector admite proxies.

Splunk ES - Notable Events Connector

Ingiere eventos notables de Splunk ES.

Definir la prioridad del caso

La prioridad del caso se define mediante el parámetro Urgency del evento destacado. Solo se tiene en cuenta este parámetro al ingerir el evento notable en Google SecOps.

Parámetros del conector

Para configurar el conector, usa los siguientes parámetros:

Cómo usar el parámetro Query Filter

Si necesitas acotar los eventos destacados en función de parámetros específicos, usa el parámetro Query Filter. El valor proporcionado en este parámetro se añade a la cláusula WHERE de la consulta enviada para obtener eventos destacados.

A continuación se muestra un ejemplo de la consulta enviada:

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

Por ejemplo, si Query Filter = isTesting = True, la consulta se muestra de la siguiente manera:

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

Reglas de conectores

El conector Splunk ES usa listas dinámicas y listas de bloqueo (whitelist y blacklist). El conector usa el campo search_name del evento para compararlo con la lista dinámica.

Evento de conector

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

Empleo

Sincronizar eventos cerrados de Splunk ES

Descripción

Sincroniza los eventos notables cerrados de Splunk ES y las alertas de Google SecOps.

Parámetros

Sincronizar comentarios de Splunk ES

Descripción

Este trabajo sincronizará los comentarios de los eventos de Splunk ES y los casos de Google SecOps.

Parámetros

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.