Condividi tramite

Splunk

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Questo plug-in consente agli utenti Security Copilot di effettuare chiamate all'API REST splunk. Attualmente sono supportate le funzionalità seguenti:

  • Esecuzione di query SPL normali e one-shot ad hoc.
  • Creazione, recupero e invio di ricerche salvate in Splunk.
  • Recupero e visualizzazione di informazioni sugli avvisi delle ricerche salvate in Splunk.

Prerequisiti

  • Accesso a un'installazione di Splunk
  • Assicurarsi di consentire agli INDIRIZZI IP in uscita di Security Copilot di contattare l'istanza di Splunk. Per altre informazioni, vedere Security Copilot intervalli di indirizzi IP. Seguire la procedura per consentire gli INDIRIZZI IP seguenti in base al tipo di istanza splunk in uso. Ad esempio, per Splunk Cloud, usare le indicazioni qui: Splunk Cloud Platform Amministrazione Manual.
  • Uno dei metodi di autenticazione seguenti in Splunk:
    • Token di autenticazione Splunk (preferito)
    • Nome utente e password splunk per l'autenticazione di base

La documentazione per la configurazione di un token di autenticazione Splunk è disponibile qui. Inoltre, potrebbero essere necessarie altre considerazioni se si esegue Splunk Cloud. Queste considerazioni sono documentate qui.

Nota

Questo articolo contiene informazioni sui plug-in non Microsoft. Questo articolo viene fornito per completare gli scenari di integrazione. Tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per i plug-in non Microsoft. Per assistenza, contattare il fornitore.

Sapere prima di iniziare

L'integrazione con Security Copilot funziona con una chiave API o con l'autenticazione di base. Prima di usare il plug-in, è necessario seguire questa procedura.

Autenticazione della chiave API

L'autenticazione con chiave API è il metodo di autenticazione preferito. Per configurare l'autenticazione tramite la chiave API, è necessario disporre delle informazioni seguenti:

  • URL per l'accesso all'API REST
  • Token di autenticazione Splunk per l'account utente Splunk che verrà usato per accedere all'API. La documentazione per la configurazione di un token di autenticazione Splunk è disponibile qui. Inoltre, potrebbero essere necessarie altre considerazioni se si esegue Splunk Cloud. Queste considerazioni sono documentate qui.

  1. Quando viene chiesto di configurare l'autenticazione, selezionare l'opzione Chiave API.

    Immagine della pagina del metodo di autorizzazione preferito per la selezione di Splunk

  2. Aggiungere l'URL dell'API Splunk al campo relativo all'URL dell'istanza dell'API Splunk. Aggiungere il token di autenticazione Splunk nel campo Valore.

    Immagine delle impostazioni di splunk Security Copilot.

  3. Selezionare Salva per completare l'installazione.

Autenticazione di base

Per configurare l'autenticazione tramite l'autenticazione di base, è necessario disporre delle informazioni seguenti:

  • URL per l'accesso all'API REST
  • Nome utente e password per l'account utente Splunk che verrà usato per accedere all'API.

  1. Quando viene chiesto di configurare l'autenticazione, selezionare l'opzione Chiave API.

    Immagine del metodo di accesso di base per connettere Splunk.

  2. Aggiungere l'URL dell'API Splunk al campo relativo all'URL dell'istanza dell'API Splunk. Aggiungere il nome utente Splunk nel campo Nome utente. Aggiungere la password Splunk nel campo Password.

    Immagine della pagina delle impostazioni splunk da configurare.

  3. Selezionare Salva per completare l'installazione.

Richieste splunk di esempio

Competenza Richiesta
Creare un processo di ricerca Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery"
Ottenere i risultati del processo di ricerca Get the search job results for SID 1740764708.5591 from Splunk
Eseguire una ricerca oneshot Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery"
Creare una ricerca salvata Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report".
Recuperare le ricerche salvate Get all of the saved searches for the copilot user from Splunk
Inviare una ricerca salvata Dispatch the saved search "Top Mitre Techniques" in Splunk
Recuperare gli avvisi attivati Get the list of fired alerts from Splunk
Recuperare i dettagli dell'avviso attivato Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test

Microsoft Security Copilot spesso comprende e ottiene il contesto dalle risposte restituite. Di conseguenza, è possibile usare una conversazione naturale in una catena di prompt. Ad esempio: se si usa un prompt, ad Dispatch the saved search "Top Mitre Techniques" in Splunkesempio , viene restituito l'ID del processo di ricerca. Security Copilot avrà l'ID del processo di ricerca nel contesto corrente ed è possibile completare Get the search job results l'operazione anziché specificare manualmente un ID processo di ricerca.

Competenze disponibili

Il plug-in Splunk per Microsoft Security Copilot espone le competenze seguenti:

  • Ricerche ad hoc
    • Creazione di processi di ricerca
    • Recupero dei risultati dai processi di ricerca
    • Esecuzione di ricerche one-shot
  • Ricerche salvate
    • Recupero di ricerche salvate
    • Creazione di ricerche salvate
    • Invio di una ricerca salvata
  • Avvisi generati da ricerche salvate
    • Recupero degli avvisi attivati
    • Recupero dei dettagli dell'avviso attivato

Con il plug-in Splunk per Microsoft Security Copilot, è possibile richiamare le interazioni con Splunk nel contesto di una conversazione naturale. Ecco un esempio:

  1. Un utente può usare il Web pubblico per eseguire ricerche sui dati su una vulnerabilità o CVE annunciata di recente.
  2. L'utente può quindi usare una richiesta di completamento, ad esempio "Salva questo numero CVE come ricerca in Splunk in tutti gli indici". Security Copilot manterrà il contesto dal prompt precedente nel prompt più recente.
  3. L'utente può quindi modificare la ricerca salvata all'interno di Splunk per incorporare tecniche SPL più avanzate o per creare visualizzazioni.

Risolvere i problemi del plug-in Splunk

Si verificano errori

Se si verificano errori, ad esempio Impossibile completare la richiesta o Si è verificato un errore sconosciuto. Assicurarsi che il plug-in sia attivato. Questo errore può verificarsi se il periodo di lookback è troppo lungo, causando il tentativo della query di recuperare una quantità eccessiva di dati. Se il problema persiste, disconnettersi da Security Copilot e quindi eseguire di nuovo l'accesso. Assicurarsi inoltre che il meccanismo di autenticazione disponga delle autorizzazioni appropriate all'interno di Splunk (assicurarsi che l'utente splunk che si sta autenticando come con l'autenticazione con connessione disponga delle autorizzazioni per richiamare le chiamate API). Infine, se ci si connette a Splunk Enterprise, assicurarsi che ssl in uso per l'endpoint DELL'API REST non usi un certificato autofirmati.

Richieste non richiamano le funzionalità corrette

Se i prompt non richiamano le funzionalità corrette o i prompt richiamano un altro set di funzionalità, è possibile che siano presenti plug-in personalizzati o altri plug-in con funzionalità simili a quelle del set di funzionalità che si vuole usare.

Inviare feedback

Per fornire commenti e suggerimenti, contattare il team di progettazione dei partner Splunk.

Vedere anche

Altri plug-in per Microsoft Security Copilot

Gestire i plug-in in Microsoft Security Copilot