Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Este complemento permite Security Copilot usuarios realizar llamadas a la API REST de Splunk. Actualmente se admiten las siguientes funcionalidades:
- Realización de consultas SPL ad hoc normales y de un solo uso.
- Crear, recuperar y enviar búsquedas guardadas en Splunk.
- Recuperación y visualización de información sobre alertas de búsquedas guardadas en Splunk.
Requisitos previos
- Acceso a una instalación de Splunk
- Asegúrese de permitir que las direcciones IP de salida de Security Copilot se pongan en contacto con la instancia de Splunk. Para obtener más información, consulte Security Copilot intervalos de direcciones IP. Siga los pasos para permitir las siguientes direcciones IP en función del tipo de instancia de Splunk que esté usando. Por ejemplo, para Splunk Cloud, use las instrucciones aquí: Splunk Cloud Platform Administración Manual.
- Uno de los siguientes métodos de autenticación en Splunk:
- Token de autenticación de Splunk (preferido)
- Nombre de usuario y contraseña de Splunk para la autenticación básica
Puede encontrar documentación para configurar un token de autenticación de Splunk aquí. Además, es posible que tenga en cuenta otras consideraciones si ejecuta Splunk Cloud. Estas consideraciones se documentan aquí.
Nota:
Este artículo contiene información sobre complementos que no son de Microsoft. Este artículo se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad con la solución de problemas para complementos que no son de Microsoft. Póngase en contacto con el proveedor para obtener soporte técnico.
Saber antes de empezar
La integración con Security Copilot funciona con una clave de API o una autenticación básica. Debe realizar los pasos siguientes antes de usar el complemento.
Autenticación de clave de API
La autenticación de clave de API es el método preferido de autenticación. Para configurar la autenticación a través de la clave de API, tendrá que tener los siguientes fragmentos de información:
- Dirección URL para acceder a la API REST
- Token de autenticación de Splunk para la cuenta de usuario de Splunk que usará para acceder a la API. Puede encontrar documentación para configurar un token de autenticación de Splunk aquí. Además, es posible que tenga en cuenta otras consideraciones si ejecuta Splunk Cloud. Estas consideraciones se documentan aquí.
Cuando se le pida que configure la autenticación, seleccione la opción Clave de API.
Agregue la dirección URL de la API de Splunk al campo "Splunk API Instance URL". Agregue el token de autenticación de Splunk en el campo Valor.
Seleccione Guardar para completar la configuración.
Autenticación básica
Para configurar la autenticación a través de la autenticación básica, tendrá que tener los siguientes fragmentos de información:
- Dirección URL para acceder a la API REST
- El nombre de usuario y la contraseña de la cuenta de usuario de Splunk que usará para acceder a la API.
Cuando se le pida que configure la autenticación, seleccione la opción Clave de API.
Agregue la dirección URL de la API de Splunk al campo "Splunk API Instance URL". Agregue el nombre de usuario de Splunk en el campo Nombre de usuario. Agregue la contraseña de Splunk en el campo Contraseña.
Seleccione Guardar para completar la configuración.
Solicitudes de Splunk de ejemplo
| Aptitud | Prompt |
|---|---|
| Creación de un trabajo de búsqueda | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| Obtención de los resultados del trabajo de búsqueda | Get the search job results for SID 1740764708.5591 from Splunk |
| Ejecución de una búsqueda de un solo disparo | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| Creación de una búsqueda guardada | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| Recuperar búsquedas guardadas | Get all of the saved searches for the copilot user from Splunk |
| Distribución de una búsqueda guardada | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| Recuperación de alertas desencadenadas | Get the list of fired alerts from Splunk |
| Recuperar detalles de alerta desencadenada | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilot a menudo comprenderá y obtendrá contexto a partir de las respuestas que se devuelven. Como resultado, puede usar la conversación natural en una cadena de mensajes. Por ejemplo: si usa un símbolo del sistema como Dispatch the saved search "Top Mitre Techniques" in Splunk, se devuelve el identificador del trabajo de búsqueda. Security Copilot tendrá ese identificador de trabajo de búsqueda en su contexto actual y puede realizar un seguimiento en Get the search job results lugar de tener que especificar manualmente un identificador de trabajo de búsqueda.
Aptitudes disponibles
El complemento Splunk para Microsoft Security Copilot expone las siguientes aptitudes:
- Búsquedas ad hoc
- Creación de trabajos de búsqueda
- Recuperación de resultados de trabajos de búsqueda
- Ejecución de búsquedas de un solo disparo
- Búsquedas guardadas
- Recuperación de búsquedas guardadas
- Creación de búsquedas guardadas
- Distribución de una búsqueda guardada
- Alertas desencadenadas de búsquedas guardadas
- Recuperación de alertas desencadenadas
- Recuperación de los detalles de la alerta desencadenada
Con el complemento Splunk para Microsoft Security Copilot, puede invocar interacciones con Splunk en el contexto de una conversación natural. Aquí le mostramos un ejemplo:
- Un usuario puede usar la web pública para investigar datos sobre una vulnerabilidad anunciada recientemente o CVE.
- A continuación, el usuario puede usar un mensaje de seguimiento como "Guardar este número de CVE como una búsqueda en Splunk en todos los índices". Security Copilot mantendrá el contexto del símbolo del sistema anterior en el mensaje más reciente.
- A continuación, el usuario puede modificar la búsqueda guardada en Splunk para incorporar técnicas de SPL más avanzadas o para crear visualizaciones.
Solución de problemas del complemento Splunk
Se producen errores
Si encuentra errores, como No se pudo completar la solicitud o Se produjo un error desconocido. Asegúrese de que el complemento esté activado. Este error puede producirse si el período de reversión es demasiado largo, lo que hace que la consulta intente recuperar una cantidad excesiva de datos. Si el problema persiste, cierre la sesión de Security Copilot y vuelva a iniciar sesión. Además, asegúrese de que el mecanismo de autenticación tenga los permisos adecuados en Splunk (asegúrese de que el usuario de Splunk que está autenticando como con la autenticación de portador tenga permisos para invocar llamadas API). Por último, si se conecta a Splunk Enterprise, asegúrese de que el SSL que usa para el punto de conexión de la API REST no usa un certificado autofirmado.
Consultas no invocan las funcionalidades correctas
Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar.
Enviar comentarios
Para proporcionar comentarios, póngase en contacto con el equipo de ingeniería de asociados de Splunk.
Vea también
Otros complementos para Microsoft Security Copilot
Administración de complementos en Microsoft Security Copilot