Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Ce plug-in permet Security Copilot utilisateurs d’effectuer des appels à l’API REST Splunk. Actuellement, les fonctionnalités suivantes sont prises en charge :
- Exécution de requêtes SPL ad hoc normales et ponctuelles.
- Création, récupération et distribution des recherches enregistrées dans Splunk.
- Récupération et affichage d’informations sur les alertes des recherches enregistrées dans Splunk.
Configuration requise
- Accès à une installation de Splunk
- Veillez à autoriser les adresses IP de sortie de Security Copilot à contacter votre instance Splunk. Pour plus d’informations, consultez Security Copilot plages d’adresses IP. Suivez les étapes pour autoriser les adresses IP ci-dessous en fonction du type de instance Splunk que vous utilisez. Par exemple, pour Splunk Cloud, utilisez les conseils fournis ici : Splunk Cloud Platform Administration Manual.
- Une des méthodes d’authentification suivantes dans Splunk :
- Jeton d’authentification Splunk (préféré)
- Nom d’utilisateur et mot de passe Splunk pour l’authentification de base
La documentation relative à la configuration d’un jeton d’authentification Splunk est disponible ici. En outre, vous devrez peut-être prendre en compte d’autres considérations si vous exécutez Splunk Cloud. Ces considérations sont documentées ici.
Remarque
Cet article contient des informations sur les plug-ins non-Microsoft. Cet article est fourni pour vous aider à terminer les scénarios d’intégration. Toutefois, Microsoft ne fournit pas de support de résolution des problèmes pour les plug-ins non-Microsoft. Contactez le fournisseur pour obtenir de l’aide.
Bon à savoir avant de commencer
L’intégration à Security Copilot fonctionne avec une clé API ou une authentification de base. Vous devez effectuer les étapes suivantes avant d’utiliser le plug-in.
Authentification par clé API
L’authentification par clé API est la méthode d’authentification préférée. Pour configurer l’authentification via une clé API, vous devez disposer des informations suivantes :
- URL permettant d’accéder à l’API REST
- Jeton d’authentification Splunk pour le compte d’utilisateur Splunk que vous utiliserez pour accéder à l’API. La documentation relative à la configuration d’un jeton d’authentification Splunk est disponible ici. En outre, vous devrez peut-être prendre en compte d’autres considérations si vous exécutez Splunk Cloud. Ces considérations sont documentées ici.
Lorsque vous êtes invité à configurer l’authentification, sélectionnez l’option Clé API.
Ajoutez l’URL de l’API Splunk au champ « URL de l’instance d’API Splunk ». Ajoutez le jeton d’authentification Splunk dans le champ Valeur.
Sélectionnez Enregistrer pour terminer l’installation.
Authentification de base
Pour configurer l’authentification par le biais de l’authentification de base, vous devez disposer des informations suivantes :
- URL permettant d’accéder à l’API REST
- Nom d’utilisateur et mot de passe du compte d’utilisateur Splunk que vous utiliserez pour accéder à l’API.
Lorsque vous êtes invité à configurer l’authentification, sélectionnez l’option Clé API.
Ajoutez l’URL de l’API Splunk au champ « URL de l’instance d’API Splunk ». Ajoutez le nom d’utilisateur Splunk dans le champ Nom d’utilisateur. Ajoutez le mot de passe Splunk dans le champ Mot de passe.
Sélectionnez Enregistrer pour terminer l’installation.
Exemples d’invites Splunk
| Compétence | Invite |
|---|---|
| Créer un travail de recherche | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| Obtenir les résultats du travail de recherche | Get the search job results for SID 1740764708.5591 from Splunk |
| Exécuter une recherche oneshot | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| Créer une recherche enregistrée | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| Récupérer les recherches enregistrées | Get all of the saved searches for the copilot user from Splunk |
| Distribuer une recherche enregistrée | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| Récupérer les alertes déclenchées | Get the list of fired alerts from Splunk |
| Récupérer les détails de l’alerte déclenchée | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilot comprenez souvent et obtenez le contexte à partir des réponses retournées. Par conséquent, vous pouvez utiliser une conversation naturelle dans une chaîne d’invites. Par exemple : si vous utilisez une invite telle que Dispatch the saved search "Top Mitre Techniques" in Splunk, l’ID du travail de recherche est retourné. Security Copilot a cet ID de travail de recherche dans son contexte actuel, et vous pouvez effectuer un suivi avec Get the search job results au lieu d’avoir à spécifier manuellement un ID de travail de recherche.
Compétences disponibles
Le plug-in Splunk pour Microsoft Security Copilot expose les compétences suivantes :
- Recherches ad hoc
- Création de travaux de recherche
- Récupération des résultats des travaux de recherche
- Exécution de recherches en une seule fois
- Recherches enregistrées
- Récupération des recherches enregistrées
- Création de recherches enregistrées
- Distribution d’une recherche enregistrée
- Alertes déclenchées à partir de recherches enregistrées
- Récupération des alertes déclenchées
- Récupération des détails de l’alerte déclenchée
Avec le plug-in Splunk pour Microsoft Security Copilot, vous pouvez appeler des interactions avec Splunk dans le contexte d’une conversation naturelle. Voici un exemple :
- Un utilisateur peut utiliser le web public pour rechercher des données sur une vulnérabilité/CVE récemment annoncée.
- L’utilisateur peut ensuite utiliser une invite de suivi telle que « Enregistrer ce numéro CVE en tant que recherche dans Splunk sur tous les index ». Security Copilot conserverez le contexte de l’invite précédente dans l’invite la plus récente.
- L’utilisateur peut ensuite modifier la recherche enregistrée dans Splunk pour incorporer des techniques SPL plus avancées ou créer des visualisations.
Résoudre les problèmes liés au plug-in Splunk
Des erreurs se produisent
Si vous rencontrez des erreurs, telles que Impossible de terminer votre demande ou Une erreur inconnue s’est produite. Assurez-vous que le plug-in est activé. Cette erreur peut se produire si la période de recherche arrière est trop longue, ce qui entraîne la tentative de récupération d’une quantité excessive de données par la requête. Si le problème persiste, déconnectez-vous de Security Copilot, puis reconnectez-vous. Vérifiez également que le mécanisme d’authentification dispose des autorisations appropriées dans Splunk (vérifiez que l’utilisateur Splunk que vous authentifiez comme avec l’authentification du porteur, dispose des autorisations nécessaires pour appeler des appels d’API). Enfin, si vous vous connectez à Splunk Enterprise, vérifiez que le protocole SSL que vous utilisez pour le point de terminaison de l’API REST n’utilise pas de certificat auto-signé.
Requêtes n’appellent pas les fonctionnalités appropriées
Si les invites n’appellent pas les fonctionnalités appropriées, ou si les invites appellent un autre ensemble de fonctionnalités, vous pouvez avoir des plug-ins personnalisés ou d’autres plug-ins qui ont des fonctionnalités similaires à celles que vous souhaitez utiliser.
Envoyer des commentaires
Pour fournir des commentaires, contactez l’équipe d’ingénierie partenaire splunk.