Splunk-Sicherheitsintegrationsleitfaden

Splunk sammelt und indiziert Daten aus so gut wie jeder denkbaren Quelle – Netzwerkverkehr, Webserver, benutzerdefinierte Anwendungen, Anwendungsserver, Hypervisoren, GPS-Systeme, Börsenfeeds, soziale Medien und bereits vorhandene strukturierte Datenbanken.

In PagerDuty

1. vom Dienstleistungen Menü auswählen Dienstverzeichnis.
2. Auf Ihrer Serviceseite:
   Wenn Sie einen neuen Dienst für Ihre Integration erstellen, klicken Sie hier. +Neuer Service Wenn Sie Ihre Integration zu einem bestehenden Dienst hinzufügen, klicken Sie auf den Namen des Dienstes, dem Sie die Integration hinzufügen möchten. Klicken Sie anschließend auf Integrationen Tabulatortaste und Klick Neue Integration hinzufügen Die
3. Wählen Sie Ihre App aus der Integrationstyp Menü und Eingabe Splunk als Integrationsname.
   Wenn Sie einen neuen Dienst für Ihre Integration erstellen, geben Sie in den allgemeinen Einstellungen einen Namen ein. Name für Ihren neuen Service. Geben Sie dann in den Vorfalleinstellungen Folgendes an: Eskalationsrichtlinie , Dringlichkeit der Benachrichtigung , Und Vorfallverhalten für Ihren neuen Service.
4. Klicken Sie auf Dienst hinzufügen oder Integration hinzufügen Klicken Sie auf diese Schaltfläche, um Ihre neue Integration zu speichern. Sie werden anschließend zur Integrationsseite Ihres Dienstes weitergeleitet.
5. Kopiere die Integrations-URL für Ihre neue Integration.

In Splunk

1. Zuerst müssen Sie Folgendes installieren: PagerDuty App für Splunk aus dem Splunk App Store. Klicken Sie auf Apps Schaltfläche oben links -> Weitere Apps finden
2. Suche nach dem PagerDuty App für Splunk und dann klicken Installieren Die
3. Sobald die App installiert ist, gehen Sie zu Einstellungen Menü und auswählen Alarmaktionen Die
4. Stellen Sie sicher, dass die PagerDuty App Ermöglicht und dann klicken Einrichtung von PagerDuty -Vorfällen Nach rechts.
   
5. Fügen Sie die Integrations-URL für Ihren PagerDuty Dienst in das dafür vorgesehene Feld.
6. Führen Sie die Suche in Splunk aus, für die Sie eine Benachrichtigung erstellen möchten.
7. Klicken Speichern unter und auswählen Alarm Die
8. Füge ein Titel Geben Sie für die neue Benachrichtigung die Bedingungen an, unter denen eine Benachrichtigung ausgelöst werden soll, und fügen Sie eine neue Benachrichtigung hinzu. Auslöseaktion . Wählen PagerDuty als Auslöseraktionstyp. Standardmäßig wird dadurch die Integrations-URL benachrichtigt, die Sie beim Einrichten der PagerDuty -App festgelegt haben.

Vorfall in Splunk ansehen

Durch Klicken auf die Vorfalldetails erhalten Sie eine Aufschlüsselung der Warnung und einen Link zur Anzeige der Suche in Splunk. In Splunk anzeigen Taste.

Häufig gestellte Fragen

Kann Splunk Benachrichtigungen an mehr als einen PagerDuty -Dienst senden?

Ja. Wenn Sie einen anderen Splunk-Dienst in PagerDuty benachrichtigen möchten, können Sie die Integrations-URL dieses Dienstes in das optionale Feld „Integrations-URL“ unter einfügen. Triggeraktionen Beim Erstellen einer neuen Benachrichtigung wird die globale PagerDuty Integrations-URL überschrieben, die beim Einrichten der PagerDuty Incidents-App festgelegt wurde.

Werden PagerDuty Vorfälle behoben, sobald die Splunk-Suche keine Ergebnisse mehr liefert?

Nein. Derzeit muss der PagerDuty Vorfall von PagerDuty aus behoben werden.

Wie gruppiert PagerDuty eingehende Warnmeldungen von Splunk?

Wenn Sie auswählen Bearbeitungsdienst In der Hauptansicht des Dienstes können Sie auswählen, ob Vorfälle nach Suchname, Komponente, Host oder Quelle gruppiert werden sollen oder ob alle eingehenden Warnmeldungen einem offenen Vorfall zugeordnet werden sollen.