Skip to main content
Lanterna Home

Splunk Lantern

Migrar para o Controlo de Missão

  1. Last updated
  2. Save as PDF

Ficar à frente das ameaças requer constante adaptação e otimização das operações de segurança. O Splunk Mission Control oferece uma plataforma poderosa para orquestrar e responder a incidentes, e a migração para o Splunk Mission Control pode melhorar significativamente a sua postura de segurança. Este artigo guia-o através das principais etapas e considerações para uma migração bem-sucedida.

Preparação

  1. Identificar playbooks impactados. Antes de iniciar o processo de migração, é crucial identificar quais os playbooks afetados. Avalie seus playbooks atuais para determinar sua dependência de artefatos de contêiner e resultados de enriquecimento.
  2. Atualizar playbooks. Depois de identificar os playbooks, atualize-os para extrair incidentes do Splunk Mission Control em vez de artefatos de contêiner. Além disso, modifique os playbooks para exibir resultados de enriquecimento nos eventos do Splunk Mission Control em vez de artefatos. Isso garante uma integração perfeita e um desempenho ideal no ambiente Splunk Mission Control.

Controlo de Missão Splunk para Splunk SOAR integração

Para utilizadores que utilizam a Splunk Cloud Platform e Splunk SOAR ambientes cloud, integrando o Splunk Mission Control com Splunk SOAR é um passo valioso. Habilite esta integração enviando um ticket de suporte para o Splunk. Após a activação, é essencial desativar o Aplicação Splunk para exportação SOAR do envio Splunk Enterprise Security notáveis para Splunk SOAR .

Uma abordagem faseada às migrações

  1. Configurar pesquisas de correlação. Por predefinição, todas as pesquisas de correlação activadas criam um incidente do Splunk Mission Control. Identificar pesquisas de correlação que geram incidentes que não são necessários e desabilitar as ações de resposta adaptativa correspondentes.
  2. Agilizar incidentes. Concentre-se em ter a resposta adaptativa “Mission Control Incients” adicionada apenas às pesquisas de correlação que podem gerar incidentes. Desative simultaneamente a entrada modular “Mission Control - Add incidents creation to ES” até estar pronto para todos os notáveis fluírem para o Splunk Mission Control.

Casos de uso comuns no Splunk Mission Control

  • Contentores sondados e incidentes. Um caso de uso comum envolve a adição de contêineres sondados ao Splunk Mission Control como incidentes. Este processo envolve a ingestão de contentores através do método on-poll a partir de um Splunk SOAR app e adicionando-os ao Splunk Mission Control como incidentes. Os playbooks relevantes incluem “[MC] Create Incident From Container”.
  • Migrar Splunk SOAR livros de trabalho. Outro caso de uso crucial é a migração existente Splunk SOAR livros de trabalho para planos de resposta do Splunk Mission Control. Isto é conseguido através da replicação das pasta de trabalho no Splunk Mission Control utilizando endpoints REST. O playbook “[MC] Criar Plano de Resposta MC” facilita esta migração.
  • Exibindo Splunk SOAR contentores em Splunk Mission Control. Givotar eficientemente entre Splunk SOAR e Splunk Mission Control exibindo o Splunk SOAR ID do contentor no campo de descrição do Splunk Mission Control. O playbook “[MC] Salvar ID do contentor no incidente” permite esta transição perfeita.
  • Reforçar Splunk SOAR com campos de Controlo de Missão Splunk. Execute incidentes do Splunk Mission Control em manuais existentes concebidos para artefactos de contentores. O playbook “[MC] Save MC Summary Fields to Container” permite recuperar os campos de incidentes do Splunk Mission Control e salvá-los como artefatos no Splunk SOAR contentor.
  • Actualizar o RBA a partir de Splunk SOAR . Alavancagem Splunk SOAR resultados de enriquecimento para ajustar a pontuação do RiskBased Analytics (RBA) em ambos Splunk Enterprise Security e Splunk Mission Control. O playbook “[Utility] Update Risk Score” facilita este processo através do mapeamento dos resultados de enriquecimento para as pontuações RBA.

Interações entre Splunk platform e Splunk SOAR

Podes fazer Splunk SOAR repouso das chamadas utilizando o | restsoar comando de acesso Splunk SOAR metadados não disponíveis no phantom_* índices. Esta capacidade potencia a integração entre os Splunk platform e Splunk SOAR .

Próximos passos

Estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.