Compartilhar via

Splunk

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Este plug-in permite que Security Copilot utilizadores façam chamadas para a API REST do Splunk. Atualmente, são suportadas as seguintes funcionalidades:

  • Executar consultas ad hoc ad hoc normais e únicas.
  • Criar, obter e enviar pesquisas guardadas no Splunk.
  • Obter e ver informações sobre alertas de pesquisas guardadas no Splunk.

Pré-requisitos

  • Acesso a uma instalação do Splunk
  • Certifique-se de que permite que os IPs de saída do Security Copilot contactem a instância do Splunk. Para obter mais informações, veja Security Copilot intervalos de endereços IP. Siga os passos para permitir os IPs abaixo com base no tipo de instância do Splunk que está a utilizar. Por exemplo, para o Splunk Cloud, utilize a documentação de orientação aqui: Splunk Cloud Platform Administração Manual.
  • Um dos seguintes métodos de autenticação no Splunk:
    • Token de autenticação splunk (preferencial)
    • Nome de utilizador e palavra-passe do Splunk para autenticação básica

A documentação para configurar um token de autenticação Splunk pode ser encontrada aqui. Além disso, existem outras considerações que poderá ter em conta se estiver a executar o Splunk Cloud. Estas considerações estão documentadas aqui.

Observação

Este artigo contém informações sobre plug-ins não Microsoft. Este artigo é fornecido para ajudar a concluir os cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins que não sejam da Microsoft. Contacte o fornecedor para obter suporte.

Antes de começar

A integração com Security Copilot funciona com uma chave de API ou autenticação básica. Tem de efetuar os seguintes passos antes de utilizar o plug-in.

Autenticação da Chave de API

A Autenticação da Chave de API é o método preferencial de autenticação. Para configurar a autenticação através da Chave de API, terá de ter as seguintes informações:

  • O URL para aceder à API REST
  • O token de autenticação do Splunk para a conta de utilizador do Splunk que irá utilizar para aceder à API. A documentação para configurar um token de autenticação Splunk pode ser encontrada aqui. Além disso, existem outras considerações que poderá ter em conta se estiver a executar o Splunk Cloud. Estas considerações estão documentadas aqui.

  1. Quando lhe for pedido para configurar a autenticação, selecione a opção Chave de API.

    Imagem da página do método de autorização preferencial de seleção do Splunk

  2. Adicione o URL da API do Splunk ao campo "URL da Instância da API do Splunk". Adicione o token de autenticação Splunk no campo Valor.

    Imagem das definições de Security Copilot do Splunk.

  3. Selecione Guardar para concluir a configuração.

Autenticação básica

Para configurar a autenticação através da autenticação básica, terá de ter as seguintes informações:

  • O URL para aceder à API REST
  • O nome de utilizador e a palavra-passe da conta de utilizador do Splunk que irá utilizar para aceder à API.

  1. Quando lhe for pedido para configurar a autenticação, selecione a opção Chave de API.

    Imagem do método básico de início de sessão para ligar o Splunk.

  2. Adicione o URL da API do Splunk ao campo "URL da Instância da API do Splunk". Adicione o nome de utilizador splunk no campo Nome de utilizador. Adicione a palavra-passe do Splunk no campo Palavra-passe.

    Imagem da página de definições do Splunk a configurar.

  3. Selecione Guardar para concluir a configuração.

Pedidos do Splunk de exemplo

Habilidade Prompt
Criar uma tarefa de pesquisa Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery"
Obter os resultados da tarefa de pesquisa Get the search job results for SID 1740764708.5591 from Splunk
Executar uma pesquisa com uma captura de ecrã Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery"
Criar uma pesquisa guardada Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report".
Obter pesquisas guardadas Get all of the saved searches for the copilot user from Splunk
Enviar uma pesquisa guardada Dispatch the saved search "Top Mitre Techniques" in Splunk
Obter alertas acionados Get the list of fired alerts from Splunk
Obter detalhes do alerta acionado Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test

Microsoft Security Copilot muitas vezes compreenderá e obterá contexto das respostas devolvidas. Como resultado, pode utilizar uma conversação natural numa cadeia de pedidos. Por exemplo: se utilizar um pedido como Dispatch the saved search "Top Mitre Techniques" in Splunk, é devolvido o ID da tarefa de pesquisa. Security Copilot terá esse ID de tarefa de pesquisa no contexto atual e pode dar seguimento Get the search job results em vez de ter de especificar manualmente um ID de tarefa de pesquisa.

Competências Disponíveis

O Plug-in splunk para Microsoft Security Copilot expõe as seguintes competências:

  • Pesquisas ad hoc
    • Criar tarefas de pesquisa
    • Obter resultados de tarefas de pesquisa
    • Executar pesquisas únicas
  • Pesquisas guardadas
    • A obter pesquisas guardadas
    • Criar pesquisas guardadas
    • Distribuir uma pesquisa guardada
  • Alertas acionados de pesquisas guardadas
    • A obter alertas acionados
    • Obter detalhes do alerta acionado

Com o plug-in Splunk para Microsoft Security Copilot, pode invocar interações com o Splunk no contexto de uma conversação natural. Veja um exemplo:

  1. Um utilizador pode utilizar a Web pública para pesquisar dados sobre uma vulnerabilidade/CVE anunciada recentemente.
  2. Em seguida, o utilizador pode utilizar um pedido de seguimento, como "Guardar este número CVE como uma pesquisa no Splunk em todos os índices". Security Copilot manterá o contexto da linha de comandos anterior na linha de comandos mais recente.
  3. Em seguida, o utilizador pode modificar a pesquisa guardada no Splunk para incorporar técnicas de SPL mais avançadas ou para criar visualizações.

Resolver problemas do plug-in splunk

Ocorrem erros

Se encontrar erros, como Não foi possível concluir o pedido ou ocorreu um erro desconhecido. Certifique-se de que o plug-in esteja ativado. Este erro pode ocorrer se o período de procura for demasiado longo, o que faz com que a consulta tente obter uma quantidade excessiva de dados. Se o problema persistir, termine sessão no Security Copilot e, em seguida, volte a iniciar sessão. Além disso, certifique-se de que o mecanismo de autenticação tem as permissões adequadas no Splunk (certifique-se de que o utilizador do Splunk que está a autenticar como com a autenticação de portador tem permissões para invocar chamadas à API). Por fim, se estiver a ligar-se ao Splunk Enterprise, certifique-se de que o SSL que está a utilizar para o ponto final da API REST não está a utilizar um certificado autoassinado.

Solicitações não estão a invocar as capacidades corretas

Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar.

Faça comentários

Para fornecer feedback, contacte a equipa de engenharia de parceiros do Splunk.

Confira também

Outros plug-ins para Microsoft Security Copilot

Gerir plug-ins no Microsoft Security Copilot

  • Last updated on