重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
此外掛程式可讓 Security Copilot 使用者呼叫 Splunk REST API。 目前支援下列功能:
- 執行一般和單次臨機作SPL查詢。
- 在Splunk中建立、擷取和分派已儲存的搜尋。
- 從 Splunk 中儲存的搜尋擷取和檢視警示的相關信息。
必要條件
- 存取 Splunk 安裝
- 請務必允許 Security Copilot的輸出IP連絡您的Splunk實例。 如需詳細資訊,請參閱 Security Copilot IP 位址範圍。 請遵循步驟,根據您使用的Splunk實例類型來允許下列IP。 例如,針對Splunk Cloud,請使用此處的指引:Splunk Cloud Platform 管理員 Manual。
- Splunk 中的下列其中一個驗證方法:
- Splunk 驗證令牌 (慣用)
- 基本身份驗證的Splunk使用者名稱和密碼
您可以 在這裡找到設定 Splunk 驗證權杖的檔案。 此外,如果您正在執行 Splunk Cloud,您可能需要考慮其他事項。 這些考慮記載 於此處。
注意事項
本文包含非Microsoft外掛程式的相關信息。 本文的提供可協助完成整合案例。 不過,Microsoft不會針對非Microsoft外掛程式提供疑難解答支援。 請連絡廠商以取得支援。
開始之前的須知事項
與 Security Copilot整合可與 API 金鑰或基本身份驗證搭配使用。 使用外掛程式之前,您必須先採取下列步驟。
API 金鑰驗證
API 金鑰驗證是慣用的驗證方法。 若要透過 API 金鑰設定驗證,您必須具備下列資訊:
- 用於存取 REST API 的 URL
- 您將用來存取 API 之 Splunk 使用者帳戶的 Splunk 驗證令牌。 您可以 在這裡找到設定 Splunk 驗證權杖的檔案。 此外,如果您正在執行 Splunk Cloud,您可能需要考慮其他事項。 這些考慮記載 於此處。
當系統要求您設定驗證時,請選取 [API 金鑰] 選項。
將 Splunk API URL 新增至 “Splunk API 實例 URL” 的 字段。 在 [值] 欄位中新增 Splunk 驗證令牌。
選 取 [儲存 ] 以完成設定。
基本驗證
若要透過基本身份驗證設定驗證,您必須具備下列資訊:
- 用於存取 REST API 的 URL
- 您將用來存取 API 之 Splunk 使用者帳戶的使用者名稱和密碼。
當系統要求您設定驗證時,請選取 [API 金鑰] 選項。
將 Splunk API URL 新增至 “Splunk API 實例 URL” 的 字段。 在 [用戶名稱] 欄位中新增 Splunk 使用者名稱。 在 [密碼] 欄位中新增 Splunk 密碼。
選 取 [儲存 ] 以完成設定。
範例 Splunk 提示
| 技能 | 提示 |
|---|---|
| 建立搜尋作業 | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| 取得搜尋作業結果 | Get the search job results for SID 1740764708.5591 from Splunk |
| 執行單一快照搜尋 | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| 建立已儲存的搜尋 | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| 擷取已儲存的 | Get all of the saved searches for the copilot user from Splunk |
| 分派已儲存的搜尋 | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| 擷取引發的警示 | Get the list of fired alerts from Splunk |
| 擷取引發的警示詳細數據 | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilot 通常會瞭解並從傳回的答案取得內容。 因此,您可以在提示鏈結中使用自然交談。 例如:如果您使用之類的 Dispatch the saved search "Top Mitre Techniques" in Splunk提示,則會傳回搜尋作業標識碼。 Security Copilot 在其目前內容中會有該搜尋作業標識碼,您可以追蹤Get the search job results該標識碼,而不需要手動指定搜尋作業標識符。
可用的技能
適用於 Microsoft Security Copilot 的 Splunk 外掛程式會公開下列技能:
- 臨機作搜尋
- 建立搜尋作業
- 從搜尋作業擷取結果
- 執行單次搜尋
- 已儲存的搜尋
- 擷取已儲存的搜尋
- 建立已儲存的搜尋
- 分派已儲存的搜尋
- 從儲存的搜尋引發警示
- 擷取引發的警示
- 擷取引發的警示詳細數據
使用適用於 Microsoft Security Copilot 的 Splunk 外掛程式,您可以在自然交談的內容中叫用與 Splunk 的互動。 以下為範例:
- 使用者可以使用公用 Web 來研究最近宣佈的弱點 /CVE 上的數據。
- 使用者接著可以使用後續提示,例如「將此 CVE 編號儲存為 Splunk 中所有索引的搜尋」。 Security Copilot 會在最新的提示中維護上一個提示的內容。
- 用戶接著可以修改 Splunk 內儲存的搜尋,以納入更進階的 SPL 技術或建立視覺效果。
針對 Splunk 外掛程式進行疑難解答
發生錯誤
如果您遇到錯誤,例如 無法完成您的要求,或 發生未知的錯誤。 請確定已開啟外掛程式。 如果回查期間太長,導致查詢嘗試擷取過多的數據量,可能會發生此錯誤。 如果問題持續發生,請註銷 Security Copilot,然後重新登入。 此外,請確定驗證機制在Splunk中具有適當的許可權 (請確定您使用持有人驗證驗證身分驗證的Splunk使用者具有) 叫用 API 呼叫的許可權。 最後,如果您要連線到 Splunk 企業,請確定您用於 REST API 端點的 SSL 不是使用自我簽署憑證。
提示 未叫用正確的功能
如果提示未叫用正確的功能,或提示叫用一些其他功能集,您可能會有自定義外掛程式或其他外掛程式,其功能與您想要使用的功能集類似。
提供意見反應
若要提供意見反應,請連絡 Splunk 合作夥伴工程小組。