重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
此插件允许Security Copilot用户调用 Splunk REST API。 目前支持以下功能:
- 执行正常和一次性临时 SPL 查询。
- 在 Splunk 中创建、检索和调度保存的搜索。
- 从 Splunk 中保存的搜索中检索和查看有关触发的警报的信息。
- 获取有关 Splunk 中当前运行的搜索作业的信息。
先决条件
- 访问 Splunk 的安装
- 确保允许Security Copilot的出口 IP 与 Splunk 实例联系。 有关详细信息,请参阅Security Copilot IP 地址范围。 请按照以下步骤根据所使用的 Splunk 实例类型允许以下 IP。 例如,对于 Splunk Cloud,请使用以下指南:Splunk Cloud Platform 管理员 Manual。
- Splunk 中的以下身份验证方法之一
- Splunk 身份验证令牌 (首选)
- 用于基本身份验证的 Splunk 用户名和密码
可 在此处找到有关设置 Splunk 身份验证令牌的文档。 此外,如果运行 Splunk Cloud,可能需要考虑其他注意事项。 此处介绍了这些注意事项。
注意
本文包含有关非Microsoft插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对非Microsoft插件的故障排除支持。 请联系供应商获取支持。
在开始之前了解
与 Security Copilot 集成适用于 API 密钥或基本身份验证。 在使用插件之前,需要执行以下步骤。
API 密钥身份验证
API 密钥身份验证是首选的身份验证方法。 若要通过 API 密钥设置身份验证,需要具有以下信息:
- 用于访问 REST API 的 URL
- 用于访问 API 的 Splunk 用户帐户的 Splunk 身份验证令牌。 可 在此处找到有关设置 Splunk 身份验证令牌的文档。 此外,如果运行 Splunk Cloud,可能需要考虑其他注意事项。 此处介绍了这些注意事项。
当系统要求你设置身份验证时,请选择“ APIKey” 选项。
将 Splunk API URL 添加到 Splunk 实例 API URL 的 字段中。 在 “值 ”字段中添加 Splunk 身份验证令牌。
选择“ 保存” 以完成设置。
基本身份验证
若要使用基本身份验证设置身份验证,需要具有以下信息:
- 用于访问 REST API 的 URL
- 用于访问 API 的 Splunk 用户帐户的用户名和密码。
当系统要求设置身份验证时,请选择“ 基本登录 ”选项。
将 Splunk API URL 添加到 Splunk 实例 API URL 的 字段中。 在“用户名”字段中添加 Splunk 用户名 。 在“密码”字段中添加 Splunk 密码 。
选择“ 保存” 以完成设置。
可用技能
适用于智能 Microsoft Security Copilot 副驾驶®的 Splunk 插件公开了以下技能:
- 即席搜索
- 创建搜索作业
- 获取有关搜索作业的信息
- 从搜索作业检索结果
- 运行一次性搜索
- 保存的搜索
- 检索已保存的搜索
- 创建保存的搜索
- 调度保存的搜索
- 从保存的搜索触发的警报
- 检索触发的警报
- 检索触发的警报详细信息
使用用于智能 Microsoft Security Copilot 副驾驶®的 Splunk 插件,可以在自然对话的上下文中调用与 Splunk 的交互。 下面是一个示例:
- 用户可以使用公共 Web 来研究最近宣布的漏洞/CVE 的数据。
- 然后,用户可以使用后续提示,例如“将此 CVE 编号保存为 Splunk 中跨所有索引的搜索”。 Security Copilot将保留最新提示中上一个提示的上下文。
- 然后,用户可以修改 Splunk 中保存的搜索,以合并更高级的 SPL 技术或创建可视化效果。
Splunk 提示示例
| 技能 | Prompt |
|---|---|
| 创建搜索作业 | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery". Ensure to begin the query with the word "search". |
| 获取搜索作业结果 | Get the search job results for SID 1740764708.5591 from Splunk |
| 运行一次性搜索 | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| 创建保存的搜索 | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| 检索已保存的搜索 | Get all of the saved searches for the copilot user from Splunk |
| 调度保存的搜索 | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| 检索触发的警报 | Get the list of fired alerts from Splunk |
| 检索触发的警报详细信息 | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
| 获取当前搜索作业 | Get all of the current search jobs in Splunk |
智能 Microsoft Security Copilot 副驾驶®通常会了解并获取返回的答案的上下文。 因此,可以在一系列提示中使用自然对话。 例如:如果使用 等 Dispatch the saved search "Cloud Alerts" in Splunk提示,则返回搜索作业 ID。 Security Copilot在其当前上下文中具有该搜索作业 ID,你可以跟进Get the search job results,而不必手动指定搜索作业 ID。
对 Splunk 插件进行故障排除
发生错误
如果遇到错误,例如 无法完成请求或 发生未知错误。 请确保 Wi-Fi 已打开。 如果回溯期过长,导致查询尝试检索过多的数据量,则可能会出现此错误。 如果问题仍然存在,请注销Security Copilot,然后重新登录。 此外,请确保身份验证机制在 Splunk 中具有适当的权限 (确保你作为持有者身份验证进行身份验证的 Splunk 用户有权) 调用 API 调用。 最后,如果要连接到 Splunk 企业版,请确保用于 REST API 终结点的 SSL 未使用自签名证书。
如果要创建搜索作业,并且错误是 HTTP 状态 400,状态代码为 BadRequest,则有两个潜在原因:
- 发送到 Splunk API 的 SPL 查询缺少关键字 (keyword)
search。 可以通过将 添加到Make sure the SPL query starts with the word "search".提示符来解决此问题。 - 未指定或未正确指定执行模式。 可以通过在提示符中添加以下语句之一 (或某种) 风格来解决此问题:
Run this search in normal mode.Run this search in oneshot mode.
提示未调用正确的功能
如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。
提供反馈
若要提供反馈,请联系 Splunk 合作伙伴工程团队。