Guide d'intégration de la sécurité Splunk

Splunk collecte et indexe des données provenant de pratiquement toutes les sources imaginables : trafic réseau, serveurs Web, applications personnalisées, serveurs d'applications, hyperviseurs, systèmes GPS, flux boursiers, médias sociaux et bases de données structurées préexistantes.

Dans PagerDuty

1. De la part de Services menu, sélectionnez Répertoire des services.
2. Sur votre page Services :
   Si vous créez un nouveau service pour votre intégration, cliquez +Nouveau service Si vous ajoutez votre intégration à un service existant, cliquez sur le nom du service auquel vous souhaitez ajouter l'intégration. Cliquez ensuite sur Intégrations onglet et cliquez Ajouter une nouvelle intégration .
3. Sélectionnez votre application parmi les Type d'intégration menu et entrez Splunk comme nom d'intégration.
   Si vous créez un nouveau service pour votre intégration, dans les paramètres généraux, saisissez un Nom pour votre nouveau service. Ensuite, dans les paramètres d'incident, spécifiez le Politique d'escalade , Notification urgente , et Comportement lors de l'incident pour votre nouveau service.
4. Cliquez sur Ajouter un service ou Ajouter une intégration Cliquez sur le bouton pour enregistrer votre nouvelle intégration. Vous serez redirigé vers la page Intégrations de votre service.
5. Copiez le URL d'intégration pour votre nouvelle intégration.

Dans Splunk

1. Vous devrez d'abord installer le Application PagerDuty pour Splunk depuis l'App Store de Splunk. Cliquez sur Applications bouton en haut à gauche -> Trouver plus d'applications
2. Recherchez le Application PagerDuty pour Splunk puis cliquez Installer .
3. Une fois l'application installée, rendez-vous sur Paramètres menu et choisissez Actions d'alerte .
4. Assurez-vous que l'application PagerDuty est Activé puis cliquez Configurer les incidents PagerDuty À droite.
   
5. Collez le URL d'intégration pour votre service PagerDuty dans le champ prévu à cet effet.
6. Lancez la recherche dans Splunk pour laquelle vous souhaitez créer une alerte.
7. Cliquez Enregistrer sous et sélectionnez Alerte .
8. Ajouter un Titre Pour la nouvelle alerte, spécifiez les conditions dans lesquelles vous souhaitez qu'elle se déclenche et ajoutez-en une nouvelle Action de déclenchement . Sélectionner PagerDuty en tant que type d'action de déclenchement. Par défaut, cette action notifiera l'URL d'intégration que vous avez définie lors de la configuration de l'application PagerDuty .

Afficher l'incident dans Splunk

Cliquer sur les détails de l'incident affichera une analyse de l'alerte et vous fournira un lien pour consulter la recherche dans Splunk. Afficher dans Splunk bouton.

Foire aux questions

Splunk peut-il envoyer des alertes à plusieurs services PagerDuty ?

Oui. Si vous souhaitez notifier un autre service Splunk dans PagerDuty, vous pouvez coller l'URL d'intégration de ce service dans le champ facultatif URL d'intégration sous Actions de déclenchement Lors de la création d'une nouvelle alerte, cette URL remplacera l'URL d'intégration globale de PagerDuty définie lors de la configuration de l'application PagerDuty Incidents.

Les incidents PagerDuty se résoudront-ils une fois que la recherche Splunk ne produira plus de résultats ?

Non. Pour le moment, l'incident PagerDuty doit être résolu par PagerDuty.

Comment PagerDuty regroupe-t-il les alertes entrantes provenant de Splunk ?

Si vous sélectionnez Service de modification Depuis la vue principale du service, vous pourrez choisir de regrouper les incidents par nom de recherche, composant, hôte, source ou d'associer toutes les alertes entrantes à un incident ouvert.