Skip to main content
Lanterna Home

Splunk Lantern

Validar a integridade da fonte de dados

  1. Last updated
  2. Save as PDF

Esta tarefa analisa cada entrada de dados para Splunk User Behavior Analytics (UBA) para garantir a integridade dos dados de registo que estão a ser ingeridos e a integridade geral do próprio processo de entrada. Este procedimento é repetido para cada fonte de dados configurada para UBA em cada intervalo de serviço. Este procedimento é válido a partir da versão 5.3.0 do UBA.

Este artigo faz parte do Splunk User Behavior Analytics Manual do Proprietário, que descreve as tarefas de manutenção contínua recomendadas que o proprietário de uma implementação UBA deve garantir que sejam executadas para manter a implementação funcional. Para ver mais tarefas de manutenção, clique aqui para ver o manual completo .

Por que é que isso é importante?

Splunk User Behavior Analytics é alimentado por dados de log ingeridos do Splunk Enterprise. O UBA recebe ficheiros de registo especificamente formatados do Splunk Enterprise e depois os traduz nas suas bases de dados proprietárias para análise de machine learning. A consistência da formatação destes ficheiros de registo é crítica, uma vez que qualquer alteração na formatação dos registos ingeridos pode impactar negativamente a eficácia dos modelos de machine learning da UBA.

Além da formatação dos logs, a integridade geral dos dados ingeridos é importante para manter um ambiente UBA saudável. Como o UBA depende do Splunk Enterprise para ingestão, qualquer alteração nos detalhes, como nome do índice, tipo de origem, etc. para dados de log no Splunk Enterprise pode impactar negativamente os modelos dentro do UBA e tornar a saída UBA sem sentido.

Por isso, é importante verificar regularmente se as fontes de dados para UBA estão formatadas corretamente e funcionando corretamente para garantir a confiabilidade contínua do sistema UBA.

Cronograma

Todas as semanas

Pré-requisitos

É necessária uma conta de administrador para aceder às definições de entrada de dados necessárias para executar esta tarefa.

Notas e avisos

É importante monitorar continuamente as alterações no cenário de dados do Splunk, mesmo nos períodos intermediários entre as verificações de validação de integridade. É sempre recomendado que os administradores da UBA mantenham um diálogo contínuo com os administradores do Splunk Enterprise para se manterem a par de quaisquer alterações nos dados alojados no Splunk Enterprise que sejam consumidos pela UBA.

Procedimento

Etapa 1: Verificar a integridade da fonte de dados

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique em Gerir e, em seguida, seleccione Fontes de Dados a partir do menu suspenso que aparece.
    clipboard_e61bd3814334b93ceccb09cc6b149a543.png
  2. Na página Fontes de dados, verifique se há fontes de dados que tenham o status 'Falha' na lista de fontes de dados. Qualquer fonte de dados que tenha um estado com falha deve ser investigada e corrigida para garantir o funcionamento adequado do cluster UBA.

    Se necessitar de ajuda com esta atividade, contacte a sua equipa de conta Splunk para contratar o suporte dos Serviços Profissionais.

    clipboard_e0c35be784471b3454428e8659dc12a0b.png
  3. Na página Origens de Dados, verifique se há fontes de dados que tenham um estado de 'Parado' na lista de fontes de dados e execute as seguintes etapas para elas:
    1. Verifique se a fonte de dados foi interrompida intencionalmente. Se tiver sido intencionalmente interrompido, considere eliminá-lo se já não estiver a ser utilizado.
    2. Se a fonte de dados não tiver sido interrompida intencionalmente, investigue para determinar a causa da paragem e, em seguida, corrija para garantir o funcionamento adequado do cluster UBA.

      Se necessitar de ajuda com esta atividade, contacte a sua equipa de conta Splunk para contratar suporte de serviços profissionais.

  4. Na página Fontes de Dados, execute as seguintes etapas para cada fonte de dados que tenha um status de 'Processamento':
    1. Na tabela Origens de Dados, clique na linha da fonte de dados individual.
    2. Na página de detalhes das Fontes de dados, procure um painel para 'Eventos ignorados'. Se existir um Painel 'Eventos Ignorados', calcule o índice de saltos para a fonte de dados dividindo o número apresentado no painel 'Eventos Ignorados' pelo número apresentado no painel 'Eventos' e multiplicando o número resultante por 100. Se o resultado desse cálculo for maior que 30, registre o nome da fonte de dados para remediação no final desta atividade.

      Um número superior a 30 significa que mais de 30% dos eventos da fonte de dados estão a ser ignorados pela UBA, o que pode afetar a precisão das detecções.

      clipboard_ec8db38fd99c49829c6a9295ef6d398d0.png
    3. Leve o URL apresentado no painel 'URL' e verifique se ele aponta para a instância correta do Splunk. Este painel deve conter o URL de um cabeçalho de pesquisa do Splunk que pode ser acedido pelo nó do Cluster UBA. Se o URL estiver incorreto, registre o nome da fonte de dados para correção no final desta atividade.

      A UBA utiliza um cabeçalho de pesquisa Splunk para ingerir dados. Se o URL incorreto for usado, os dados podem estar faltando no UBA.

      clipboard_e7747ecf6a1613f444a3f8121c0bc3bce.png
    4. Copie a consulta SPL apresentada no painel 'Splunk Query' e execute essa pesquisa no cabeçalho de pesquisa do Splunk apresentado no painel URL. Verifique se a pesquisa retorna resultados do tipo de origem correto, conforme esperado, com base no nome da fonte de dados UBA. Se os resultados da pesquisa estiverem incorretos, registre o nome da fonte de dados para correção no final desta atividade.

      O UBA executa pesquisas usando o SPL indicado no painel Splunk Query. Se esta consulta não estiver correta, isso afetará a ingestão de dados.

      clipboard_ed9cd99dafcfe7752839eeb64cbc9a9c8.png
    5. Pressione o botão Voltar para voltar à página principal Fontes de Dados.
  5. Após as etapas anteriores terem sido concluídas para todas as fontes de dados, passe para a próxima etapa.

Passo 2: Verificar a integridade da recolha de identidade

  1. Na página Fontes de Dados, reveja a lista de fontes de dados e encontre a linha que contém as palavras 'Dados de RH' na coluna Tipo. Clique nessa linha.
    clipboard_eca87d96c9835a7ff5f67dd44197d5624.png
  2. Na página de detalhes da Fonte de Dados da fonte de dados HR, copie a consulta apresentada no painel Consulta e execute essa pesquisa no cabeçalho de pesquisa do Splunk apresentado no painel URL.
  3. Reveja os resultados da pesquisa. Consulte a sua equipa de RH para identificar um funcionário que começou recentemente e reveja os resultados da pesquisa para verificar se o registo de RH desse funcionário está presente nos resultados da pesquisa. Se o novo registo de funcionário não estiver presente nos resultados da pesquisa, registre o nome da fonte de dados de RH para remediação.

Etapa 3: Remediação

Eliminar todas as fontes de dados identificadas para remediação. Em seguida, recrie-as com base nas instruções de boas práticas fornecidas em Obter dados no Splunk UBA .

Se necessitar de ajuda com esta atividade, contacte a sua equipa de conta Splunk para contratar suporte de serviços profissionais.

Próximos passos

Estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.