Freigeben über

Splunk

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Dieses Plug-In ermöglicht es Security Copilot Benutzern, Aufrufe an die Splunk-REST-API zu tätigen. Derzeit werden die folgenden Funktionen unterstützt:

  • Ausführen normaler und einmaliger Ad-hoc-SPL-Abfragen.
  • Erstellen, Abrufen und Verteilen gespeicherter Suchvorgänge in Splunk.
  • Abrufen und Anzeigen von Informationen zu ausgelösten Warnungen aus gespeicherten Suchvorgängen in Splunk.
  • Abrufen von Informationen zu derzeit ausgeführten Suchaufträgen in Splunk.

Voraussetzungen

  • Zugriff auf eine Installation von Splunk
  • Stellen Sie sicher, dass Security Copilot ausgehende IP-Adressen ihre Splunk-instance kontaktieren können. Weitere Informationen finden Sie unter Security Copilot IP-Adressbereiche. Führen Sie die Schritte aus, um die folgenden IP-Adressen basierend auf dem von Ihnen verwendeten Splunk-instance Typ zuzulassen. Verwenden Sie beispielsweise für Splunk Cloud die Anleitung hier: Splunk Cloud Platform Admin Manual.
  • Eine der folgenden Authentifizierungsmethoden in Splunk
    • Splunk-Authentifizierungstoken (bevorzugt)
    • Splunk-Benutzername und -Kennwort für die Standardauthentifizierung

Die Dokumentation zum Einrichten eines Splunk-Authentifizierungstokens finden Sie hier. Darüber hinaus gibt es weitere Überlegungen, die Sie berücksichtigen müssen, wenn Sie Splunk Cloud ausführen. Diese Überlegungen sind hier dokumentiert.

Hinweis

Dieser Artikel enthält Informationen zu Nicht-Microsoft-Plug-Ins. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Nicht-Microsoft-Plug-Ins. Wenden Sie sich an den Anbieter, um Support zu erhalten.

Klare Ideen vor dem Loslegen

Die Integration in Security Copilot funktioniert entweder mit einem API-Schlüssel oder einer Standardauthentifizierung. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.

API-Schlüsselauthentifizierung

Die API-Schlüsselauthentifizierung ist die bevorzugte Authentifizierungsmethode. Zum Einrichten der Authentifizierung über den API-Schlüssel benötigen Sie die folgenden Informationen:

  • Die URL für den Zugriff auf die REST-API
  • Das Splunk-Authentifizierungstoken für das Splunk-Benutzerkonto, das Sie für den Zugriff auf die API verwenden. Die Dokumentation zum Einrichten eines Splunk-Authentifizierungstokens finden Sie hier. Darüber hinaus gibt es weitere Überlegungen, die Sie berücksichtigen müssen, wenn Sie Splunk Cloud ausführen. Diese Überlegungen sind hier dokumentiert.

  1. Wenn Sie aufgefordert werden, die Authentifizierung einzurichten, wählen Sie die Option APIKey aus .

    Abbildung der Seite

  2. Fügen Sie dem Feld für die API-URL der Splunk-Instanz die Splunk-API-URL hinzu. Fügen Sie das Splunk-Authentifizierungstoken im Feld Wert hinzu.

    Abbildung der Einstellungen von Splunk Security Copilot.

  3. Wählen Sie Speichern aus, um das Setup abzuschließen.

Standardauthentifizierung

Zum Einrichten der Authentifizierung mithilfe der Standardauthentifizierung benötigen Sie die folgenden Informationen:

  • Die URL für den Zugriff auf die REST-API
  • Der Benutzername und das Kennwort für das Splunk-Benutzerkonto, das Sie für den Zugriff auf die API verwenden.

  1. Wenn Sie aufgefordert werden, die Authentifizierung einzurichten, wählen Sie die Option Standardanmeldung aus .

    Abbildung der grundlegenden Anmeldemethode zum Herstellen einer Verbindung mit Splunk.

  2. Fügen Sie dem Feld für die API-URL der Splunk-Instanz die Splunk-API-URL hinzu. Fügen Sie den Splunk-Benutzernamen im Feld Benutzername hinzu. Fügen Sie das Splunk-Kennwort im Feld Kennwort hinzu.

    Abbildung der Splunk-Einstellungsseite, die eingerichtet werden soll.

  3. Wählen Sie Speichern aus, um das Setup abzuschließen.

Verfügbare Qualifikationen

Das Splunk-Plug-In für Microsoft Security Copilot macht die folgenden Fähigkeiten verfügbar:

  • Ad-hoc-Suchen
    • Erstellen von Suchaufträgen
    • Abrufen von Informationen zu Suchaufträgen
    • Abrufen von Ergebnissen aus Suchaufträgen
    • Ausführen von One-Shot-Suchvorgängen
  • Gespeicherte Suchvorgänge
    • Abrufen gespeicherter Suchvorgänge
    • Erstellen gespeicherter Suchvorgänge
    • Senden einer gespeicherten Suche
  • Ausgelöste Warnungen von gespeicherten Suchvorgängen
    • Abrufen ausgelöster Warnungen
    • Abrufen von Details zu ausgelösten Warnungen

Mit dem Splunk-Plug-In für Microsoft Security Copilot können Sie Interaktionen mit Splunk im Kontext einer natürlichen Unterhaltung aufrufen. Hier ist ein Beispiel:

  1. Ein Benutzer kann das öffentliche Web verwenden, um Daten zu einem kürzlich angekündigten Sicherheitsrisiko/CVE zu recherchieren.
  2. Der Benutzer kann dann eine Folgeaufforderung wie "Speichern Sie diese CVE-Nummer als Suche in Splunk für alle Indizes" verwenden. Security Copilot behält den Kontext der vorherigen Eingabeaufforderung in der letzten Eingabeaufforderung bei.
  3. Der Benutzer kann dann die gespeicherte Suche in Splunk ändern, um erweiterte SPL-Techniken zu integrieren oder Visualisierungen zu erstellen.

Beispiel für Splunk-Eingabeaufforderungen

Qualifikation Eingabeaufforderung
Erstellen eines Suchauftrags Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery". Ensure to begin the query with the word "search".
Abrufen der Suchergebnisse Get the search job results for SID 1740764708.5591 from Splunk
Ausführen einer Oneshot-Suche Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery"
Erstellen einer gespeicherten Suche Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report".
Abrufen gespeicherter Suchvorgänge Get all of the saved searches for the copilot user from Splunk
Senden einer gespeicherten Suche Dispatch the saved search "Top Mitre Techniques" in Splunk
Abrufen ausgelöster Warnungen Get the list of fired alerts from Splunk
Abrufen von Details zu ausgelösten Warnungen Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test
Aktuelle Suchaufträge abrufen Get all of the current search jobs in Splunk

Microsoft Security Copilot werden häufig den Kontext der zurückgegebenen Antworten verstehen und abrufen. Daher können Sie natürliche Unterhaltungen in einer Kette von Eingabeaufforderungen verwenden. Beispiel: Wenn Sie eine Eingabeaufforderung wie Dispatch the saved search "Cloud Alerts" in Splunkverwenden, wird die Suchauftrags-ID zurückgegeben. Security Copilot haben diese Suchauftrags-ID im aktuellen Kontext, und Sie können mit nachverfolgenGet the search job results, anstatt manuell eine Suchauftrags-ID angeben zu müssen.

Problembehandlung für das Splunk-Plug-In

Fehler treten auf

Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten. Stellen Sie sicher, dass Plug-In aktiviert ist. Dieser Fehler kann auftreten, wenn der Lookbackzeitraum zu lang ist, sodass die Abfrage versucht, eine übermäßige Datenmenge abzurufen. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an. Stellen Sie außerdem sicher, dass der Authentifizierungsmechanismus über die entsprechenden Berechtigungen in Splunk verfügt (stellen Sie sicher, dass der Splunk-Benutzer, als den Sie sich authentifizieren, mit der Bearerauthentifizierung über Berechtigungen zum Aufrufen von API-Aufrufen verfügt). Wenn Sie eine Verbindung mit Splunk enterprise herstellen, stellen Sie schließlich sicher, dass das SSL, das Sie für den REST-API-Endpunkt verwenden, kein selbstsigniertes Zertifikat verwendet.

Wenn Sie einen Suchauftrag erstellen und der Fehler ein HTTP-status 400 mit einem status Code von BadRequest ist, gibt es zwei mögliche Ursachen:

  • Die Schlüsselwort (keyword) search fehlt in der SPL-Abfrage, die an die Splunk-API gesendet wird. Dies kann durch Hinzufügen Make sure the SPL query starts with the word "search". zur Eingabeaufforderung behoben werden.
  • Der Ausführungsmodus ist nicht angegeben oder falsch angegeben. Dies kann behoben werden, indem Sie ihrer Eingabeaufforderung eine der folgenden Anweisungen (oder eine Variante davon) hinzufügen:
    • Run this search in normal mode.
    • Run this search in oneshot mode.

Prompts nicht die richtigen Funktionen aufrufen

Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten.

Feedback geben

Wenden Sie sich an das Splunk-Partnerentwicklungsteam, um Feedback zu geben.

Siehe auch

Weitere Plug-Ins für Microsoft Security Copilot

Verwalten von Plug-Ins in Microsoft Security Copilot

  • Last updated on