Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Dieses Plug-In ermöglicht es Security Copilot Benutzern, Aufrufe an die Splunk-REST-API zu tätigen. Derzeit werden die folgenden Funktionen unterstützt:
- Ausführen normaler und einmaliger Ad-hoc-SPL-Abfragen.
- Erstellen, Abrufen und Verteilen gespeicherter Suchvorgänge in Splunk.
- Abrufen und Anzeigen von Informationen zu Warnungen aus gespeicherten Suchvorgängen in Splunk.
Voraussetzungen
- Zugriff auf eine Installation von Splunk
- Stellen Sie sicher, dass Security Copilot ausgehende IP-Adressen ihre Splunk-instance kontaktieren können. Weitere Informationen finden Sie unter Security Copilot IP-Adressbereiche. Führen Sie die Schritte aus, um die folgenden IP-Adressen basierend auf dem verwendeten Splunk-instance zuzulassen. Verwenden Sie beispielsweise für Splunk Cloud die Anleitung hier: Splunk Cloud Platform Admin Manual.
- Eine der folgenden Authentifizierungsmethoden in Splunk:
- Splunk-Authentifizierungstoken (bevorzugt)
- Splunk-Benutzername und -Kennwort für die Standardauthentifizierung
Die Dokumentation zum Einrichten eines Splunk-Authentifizierungstokens finden Sie hier. Darüber hinaus gibt es weitere Überlegungen, die Sie berücksichtigen müssen, wenn Sie Splunk Cloud ausführen. Diese Überlegungen sind hier dokumentiert.
Hinweis
Dieser Artikel enthält Informationen zu Nicht-Microsoft-Plug-Ins. Dieser Artikel wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Nicht-Microsoft-Plug-Ins. Wenden Sie sich an den Anbieter, um Support zu erhalten.
Klare Ideen vor dem Loslegen
Die Integration in Security Copilot funktioniert entweder mit einem API-Schlüssel oder einer Standardauthentifizierung. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.
API-Schlüsselauthentifizierung
Die API-Schlüsselauthentifizierung ist die bevorzugte Authentifizierungsmethode. Zum Einrichten der Authentifizierung über den API-Schlüssel benötigen Sie die folgenden Informationen:
- Die URL für den Zugriff auf die REST-API
- Das Splunk-Authentifizierungstoken für das Splunk-Benutzerkonto, das Sie für den Zugriff auf die API verwenden. Die Dokumentation zum Einrichten eines Splunk-Authentifizierungstokens finden Sie hier. Darüber hinaus gibt es weitere Überlegungen, die Sie berücksichtigen müssen, wenn Sie Splunk Cloud ausführen. Diese Überlegungen sind hier dokumentiert.
Wenn Sie aufgefordert werden, die Authentifizierung einzurichten, wählen Sie die Option API-Schlüssel aus.
Fügen Sie die Splunk-API-URL zum Feld für "URL der Splunk-API-Instanz" hinzu. Fügen Sie das Splunk-Authentifizierungstoken im Feld Wert hinzu.
Wählen Sie Speichern aus, um das Setup abzuschließen.
Standardauthentifizierung
Zum Einrichten der Authentifizierung über die Standardauthentifizierung benötigen Sie die folgenden Informationen:
- Die URL für den Zugriff auf die REST-API
- Der Benutzername und das Kennwort für das Splunk-Benutzerkonto, das Sie für den Zugriff auf die API verwenden.
Wenn Sie aufgefordert werden, die Authentifizierung einzurichten, wählen Sie die Option API-Schlüssel aus.
Fügen Sie die Splunk-API-URL zum Feld für "URL der Splunk-API-Instanz" hinzu. Fügen Sie den Splunk-Benutzernamen im Feld Benutzername hinzu. Fügen Sie das Splunk-Kennwort im Feld Kennwort hinzu.
Wählen Sie Speichern aus, um das Setup abzuschließen.
Beispiel für Splunk-Eingabeaufforderungen
| Qualifikation | Eingabeaufforderung |
|---|---|
| Erstellen eines Suchauftrags | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| Abrufen der Suchergebnisse | Get the search job results for SID 1740764708.5591 from Splunk |
| Ausführen einer Oneshot-Suche | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| Erstellen einer gespeicherten Suche | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| Abrufen gespeicherter Suchvorgänge | Get all of the saved searches for the copilot user from Splunk |
| Senden einer gespeicherten Suche | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| Abrufen ausgelöster Warnungen | Get the list of fired alerts from Splunk |
| Abrufen von Details zu ausgelösten Warnungen | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilot werden häufig den Kontext der zurückgegebenen Antworten verstehen und abrufen. Daher können Sie natürliche Unterhaltungen in einer Kette von Eingabeaufforderungen verwenden. Beispiel: Wenn Sie eine Eingabeaufforderung wie Dispatch the saved search "Top Mitre Techniques" in Splunkverwenden, wird die Suchauftrags-ID zurückgegeben. Security Copilot haben diese Suchauftrags-ID im aktuellen Kontext, und Sie können mit nachverfolgenGet the search job results, anstatt manuell eine Suchauftrags-ID angeben zu müssen.
Verfügbare Qualifikationen
Das Splunk-Plug-In für Microsoft Security Copilot macht die folgenden Fähigkeiten verfügbar:
- Ad-hoc-Suchen
- Erstellen von Suchaufträgen
- Abrufen von Ergebnissen aus Suchaufträgen
- Ausführen von One-Shot-Suchvorgängen
- Gespeicherte Suchvorgänge
- Abrufen gespeicherter Suchvorgänge
- Erstellen gespeicherter Suchvorgänge
- Senden einer gespeicherten Suche
- Ausgelöste Warnungen von gespeicherten Suchvorgängen
- Abrufen ausgelöster Warnungen
- Abrufen von Details zu ausgelösten Warnungen
Mit dem Splunk-Plug-In für Microsoft Security Copilot können Sie Interaktionen mit Splunk im Kontext einer natürlichen Unterhaltung aufrufen. Hier ist ein Beispiel:
- Ein Benutzer kann das öffentliche Web verwenden, um Daten zu einem kürzlich angekündigten Sicherheitsrisiko/CVE zu recherchieren.
- Der Benutzer kann dann eine Folgeaufforderung wie "Speichern Sie diese CVE-Nummer als Suche in Splunk für alle Indizes" verwenden. Security Copilot behält den Kontext der vorherigen Eingabeaufforderung in der letzten Eingabeaufforderung bei.
- Der Benutzer kann dann die gespeicherte Suche in Splunk ändern, um erweiterte SPL-Techniken zu integrieren oder Visualisierungen zu erstellen.
Problembehandlung für das Splunk-Plug-In
Fehler treten auf
Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten. Stellen Sie sicher, dass Plug-In aktiviert ist. Dieser Fehler kann auftreten, wenn der Lookbackzeitraum zu lang ist, sodass die Abfrage versucht, eine übermäßige Datenmenge abzurufen. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an. Stellen Sie außerdem sicher, dass der Authentifizierungsmechanismus über die entsprechenden Berechtigungen in Splunk verfügt (stellen Sie sicher, dass der Splunk-Benutzer, als den Sie sich authentifizieren, mit der Bearerauthentifizierung über Berechtigungen zum Aufrufen von API-Aufrufen verfügt). Wenn Sie eine Verbindung mit Splunk enterprise herstellen, stellen Sie schließlich sicher, dass das SSL, das Sie für den REST-API-Endpunkt verwenden, kein selbstsigniertes Zertifikat verwendet.
Prompts nicht die richtigen Funktionen aufrufen
Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten.
Feedback geben
Wenden Sie sich an das Splunk-Partnerentwicklungsteam, um Feedback zu geben.