® Splunk Enterprise Security 4.7.0 Administration de Splunk Enterprise Security Généré : 20/4/2017 9:37 Copyright (c) 2017 Splunk Inc. All Rights Reserved Table of Contents Présentation générale 5 Administration de Splunk Enterprise Security 5 Examen des incidents et investigations 7 Gestion des examens d'incidents dans Splunk Enterprise Security 7 Personnalisation des examens d’incidents dans Splunk Enterprise 7 Security Création manuelle d'un événement notable dans Splunk Enterprise 9 Security Personnalisation des paramètres des événements notables dans 9 Splunk Enterprise Security Gestion des investigations dans Splunk Enterprise Security 13 Recherches de corrélation 15 Présentation des recherches de corrélation pour Splunk Enterprise 15 Security Création de recherches de corrélation dans Splunk Enterprise Security15 Configuration de recherches de corrélation dans Splunk Enterprise 15 Security Liste des recherches de corrélation dans Splunk Enterprise Security 18 Mise à jour des recherches de corrélation dans Splunk Enterprise 18 Security Configuration d'actions de réponse adaptative dans Splunk Enterprise 21 Security Configuration des actions de réponse adaptative pour une recherche 22 de corrélation dans Splunk Enterprise Security Actifs et identités 26 Ajout de données d'actifs et d'identités à Splunk Enterprise Security 26 Collecte et extraction des données d'actifs et d'identités dans Splunk 26 Enterprise Security Définition de formats d'identité dans Splunk Enterprise Security 27 Formatage d'une liste des actifs ou des identités comme une lookup 27 dans Splunk Enterprise Security. Configuration de la nouvelle liste d'actifs ou d'identités dans Splunk 31 Enterprise Security Vérifiez que vos données d'actifs et d'identités ont été ajoutées à 33 Splunk Enterprise Security Configuration de la corrélation des actifs et des identités dans Splunk 33 Enterprise Security Comment Splunk Enterprise Security corrèle, traite et fusionne les 34 données d'actifs et d'identités Lookups qui stockent des données fusionnées d'actifs et d'identités 35 dans Splunk Enterprise Security Champs d'actifs et d'identités après traitement dans Splunk Enterprise36 Security Test du processus de fusion des actifs et des identités dans Splunk 37 Enterprise Security Personnalisation du processus de fusion des actifs et des identités 37 dans Splunk Enterprise Security Modification des lookups des actifs et des identités dans Splunk 38 Enterprise Security Exemples de méthodes d'ajout d'actifs et d'identités dans Splunk 39 Enterprise Security Renseignements sur les menaces 41 Ajout de renseignements sur les menaces dans Splunk Enterprise 41 Security Types de renseignements sur les menaces pris en charge dans 41 Splunk Enterprise Security. Configuration des sources de renseignements sur les menaces 42 incluses dans Splunk Enterprise Security Téléchargement d'un fil de renseignements sur les menaces à partir 43 d'Internet dans Splunk Enterprise Security Chargement d'un fichier de renseignements sur les menaces structuré47 STIX ou OpenIOC dans Splunk Enterprise Security Chargement d'un fichier CSV personnalisé de renseignements sur les 48 menaces dans Splunk Enterprise Security Ajout de renseignements sur les menaces à partir d'événements 49 Splunk dans Splunk Enterprise Security Ajout et maintien local des renseignements sur les menaces dans 49 Splunk Enterprise Security Ajout de renseignements sur les menaces à l'aide d'un fichier de 49 lookup personnalisé dans Splunk Enterprise Security Vérifiez que vous avez ajouté avec succès les renseignements sur les51 menaces dans Splunk Enterprise Security Modification des renseignements sur les menaces pris en charge 51 dans Splunk Enterprise Security Gestion du contenu 53 Gestion du contenu dans Splunk Enterprise Security 53 Création et gestion de recherches d'indicateurs clés dans Splunk 53 Enterprise Security Création et gestion de recherches enregistrées dans Splunk 54 Enterprise Security Création et gestion de lookups basées sur une recherche dans Splunk54 Enterprise Security Création et gestion de recherches de couloirs d'activité dans Splunk 57 Enterprise Security Création et gestion de vues dans Splunk Enterprise Security 58 Exportation du contenu de Splunk Enterprise Security en tant 58 qu'application Création et gestion de lookups dans Splunk Enterprise Security 59 Création et modification d'objets de risque dans Splunk Enterprise 65 Security Configuration et dépannage 66 Configuration des paramètres généraux de Splunk Enterprise Security 66 Gestion des identifiants d'entrée dans Splunk Enterprise Security 67 Gestion des permissions dans Splunk Enterprise Security 68 Personnalisation de la barre de menu dans Splunk Enterprise Security 68 Configuration du filtrage par panneau dans Splunk Enterprise Security 72 Dépannage des tableaux de bord dans Splunk Enterprise Security 73 Matrice des exigences des tableaux de bord de Splunk Enterprise 74 Security Recherche extrême 84 Comment Splunk Enterprise Security utilise la recherche extrême 84 Exemple de recherche extrême dans Splunk Enterprise Security 87 Commandes de recherche extrême 91 Présentation générale Administration de Splunk Enterprise Security Les administrateurs de Splunk Enterprise Security sont responsables de la configuration, de l'entretien, des audits et de la personnalisation d'une instance de Splunk Enterprise Security. Si vous n'êtes pas administrateur de Splunk Enterprise Security, consultez Utilisation de Splunk Enterprise Security pour une présentation de l'utilisation de cette application en tant qu'analyste de la sécurité. Utilisez les liens ci-dessous pour en savoir plus sur les tâches administratives dans Splunk Enterprise Security. Gestion et prise en charge des workflows d'analyste Pour activer et personnaliser les workflows des analystes dans votre organisation, consultez : Gestion des examens d'incidents dans Splunk Enterprise Security Personnalisation des examens des incidents dans Splunk Enterprise Security Personnalisation des paramètres des événements notables dans Splunk Enterprise Security Gestion des investigations dans Splunk Enterprise Security Enrichissement des données pour Enterprise Security Enrichissez Splunk Enterprise Security avec des données relatives aux actifs et aux identités dans votre environnement et des données supplémentaires sur les menaces connues. Configurez Ajouter des données d'actifs et d'identité dans Splunk Enterprise Security pour une liste complète des tâches relatives à l'ajout et à la gestion des données d'actifs et d'identités dans Splunk Enterprise Security. Voir Renseignements sur les menaces dans Splunk Enterprise Security pour plus d'informations sur toutes les tâches relatives à la gestion des sources de renseignements sur les menaces dans Splunk Enterprise Security. Gestion et personnalisation des configurations Pour les procédures de configuration continue dans Splunk Enterprise Security, consultez : Configuration des paramètres généraux de Splunk Enterprise Security Gestion des identifiants d'entrée dans Splunk Enterprise Security Gestion des permissions dans Splunk Enterprise Security Personnalisation de la barre de menu dans Splunk Enterprise Security Configuration du filtrage avancé dans Splunk Enterprise Security Vous pouvez trouver des informations supplémentaires de configuration dans le Manuel d'installation et de mise à niveau. Configuration et déploiement d'index Configuration d'utilisateurs et de rôles Configuration de modèles pour Splunk Enterprise Security Création, gestion et exportation de contenu Pour créer un nouveau contenu ou gérer et personnaliser du contenu existant, consultez : Création de recherches de corrélation dans Splunk Enterprise Security Création et gestion de recherches d'indicateurs clés dans Splunk Enterprise Security Création et gestion de recherches enregistrées dans Splunk Enterprise Security Création et gestion de lookups basées sur une recherche dans Splunk Enterprise Security Création et gestion de recherches de couloirs d'activité dans Splunk Enterprise Security Création et gestion de vues dans Splunk Enterprise Security Création et gestion de lookups dans Splunk Enterprise Security Création et modification d'objets de risque dans Splunk Enterprise Security Pour partager du contenu personnalisé avec d'autres instances d'ES, exportez le contenu de Splunk Enterprise Security en tant qu'application. 5 Dépannage des tableaux de bord Pour des conseils et des bonnes pratiques utiles pour le dépannage des tableaux de bord dans Enterprise Security, consultez Dépannage des tableaux de bord dans Splunk Enterprise Security. Pour plus d'informations sur les groupes de données des modèles de données qui renseignent les tableaux de bord d'Enterprise Security, consultez Matrice des exigences des tableaux de bord pour Splunk Enterprise Security Pour plus d'informations sur tous les tableaux de bord disponibles dans Splunk Enterprise Security, consultez la présentation des tableaux de bord dans Utilisation de Splunk Enterprise Security. 6 Examen des incidents et investigations Gestion des examens d'incidents dans Splunk Enterprise Security Splunk Enterprise Security détecte des patterns dans vos données et examine automatiquement les événements pour rechercher des incidents relatifs à la sécurité grâce aux recherches de corrélation. Lorsqu'une recherche de corrélation détecte un pattern suspect, la recherche de corrélation crée une alerte appelée événement notable. Le tableau de bord Examen des incidents fait apparaître tous les événements notables et les classes par gravité potentielle afin que les analystes puissent rapidement trier, affecter et suivre les problèmes. Pour plus d'informations sur la manière dont les analystes utilisent le tableau de bord Examen des incidents, consultez la présentation d'Examen des incidents dans Utilisation de Splunk Enterprise Security. Pour faire un audit et examiner l'activité des analystes sur le tableau de bord Examen des incidents, consultez Audit des examens d'incidents dans Utilisation de Splunk Enterprise Security. Pour personnaliser l'affichage du tableau de bord Examen des incidents et également modifier les capacités et les permissions des analystes, consultez Personnalisation des examens des incidents dans Splunk Enterprise Security. Pour créer manuellement des événements notables, consultez Création manuelle d'un événement notable dans Splunk Enterprise Security. Pour personnaliser les paramètres des événements notables, consultez Personnalisation des paramètres d'événement notable dans Splunk Enterprise Security. Pour plus d'informations sur la manière dont les événements notables sont renseignés et gérés par le framework des événements notables, consultez Framework des événements notables dans Splunk Enterprise Security dans le portail des développeurs Splunk. Comment les scores de risque sont affichés dans Examen des incidents Les scores de risque ne s'affichent pas dans Examen des incidents pour chaque actif ou identité. Seuls les actifs ou les identités (objets de risque) ayant un score de risque et un type d'objet de risque « système » ou « utilisateur » s'affichent dans Examen des incidents. Les scores de risque n'affichent que les champs suivants : orig_host, dvc, src, dest, src_user et user. Il est possible que le score de risque d'un actif ou d'une identité ne corresponde pas au score du tableau de bord Analyse des risques. Le score de risque est un score cumulatif pour un actif ou une identité plutôt qu'un score spécifique pour un nom d'utilisateur exact. Par exemple, si une personne possède le nom d'utilisateur « buttercup » qui a un score de risque de 40, et une adresse e-mail « [email protected] » avec un score de risque de 60, et que la lookup d'identité identifie que « buttercup » et « [email protected] » appartiennent à la même personne, un score de risque de 100 s'affiche dans Examen des incidents pour les deux comptes « buttercup » et « [email protected] ». Autre exemple : une IP 10.11.36.1 ayant un score de risque de 80 et une IP 10.11.36.19 avec un score de risque de 30. Si la lookup d'actif identifie qu'une plage d'IP « 10.11.36.1 - 10.11.36.19 » appartient au même actif, un score de risque de 110 s'affiche dans Examen des incidents pour les adresses IP « 10.11.36.1 » et « 10.11.36.19 ». Les scores de risque sont calculés pour Examen des incidents à l'aide de la recherche de génération de lookup Menace - Corrélation des risques - Gén. lookup. La recherche s'exécute toutes les 30 minutes et met à jour le fichier de lookup risk_correlation_lookup. Pour voir des mises à jour plus fréquente des scores de risque dans Examen des incidents, mettez à jour le cron_schedule de la recherche enregistrée. Informer un analyste d'événements notables non triés Vous pouvez utiliser une recherche de corrélation pour avertir un analyste si un événement notable n'a pas été trié. 1. Sélectionnez Configurer > Gestion du contenu. 2. Localisez la recherche de corrélation Événements notables non triés à l'aide des filtres. 3. Modifiez la recherche en changeant les champs du propriétaire de l'état de l'événement notable comme vous le souhaitez. 4. Configurez l'action d'alerte souhaitée. 5. Enregistrer les modifications. 6. Activer la recherche de corrélation Événements notables non triés. Personnalisation des examens d’incidents dans Splunk Enterprise Security En tant qu'administrateur Splunk Enterprise Security, vous pouvez personnaliser la manière dont les analystes 7 affichent les événements notables dans le tableau de bord Examen des incidents puis interagissent avec eux. Modification des capacités et des permissions des analystes Configurez si les analystes peuvent remplacer l'urgence calculée d'un événement notable et déterminez s’il faut demander à un analyste d'ajouter un commentaire lors de la mise à jour d'un événement notable sur la page Paramètres d'examen des incidents. 1. Sélectionnez Configurer > Gestion des incidents > Paramètres d'examen des incidents pour afficher les paramètres d'examen des incidents. 2. Autorisez ou empêchez les analystes de remplacer l'urgence calculée d'un événement notable grâce à la case à cocher Autoriser le remplacement d'une urgence. Par défaut, les analystes sont autorisés à remplacer une urgence. 3. Demandez aux analystes d'ajouter un commentaire lors de la mise à jour d'un événement notable en cochant la case Obligatoire dans Commentaires. 4. Si vous demandez aux analystes d'ajouter un commentaire, saisissez la longueur minimale, en nombre de caractères, des commentaires obligatoires. La longueur par défaut est de 20 caractères. Configuration de la capacité recommandée pour les analystes Configurez le nombre recommandé maximum d'événements notables à affecter par analyste de sécurité sur la page Paramètres généraux. 1. Sélectionnez Configurer > Général > Paramètres généraux pour afficher les paramètres généraux. 2. Saisissez un nombre préférable d'événements notables à affecter à un analyste à l'aide du paramètre Capacité de l’analyste d’examen des incidents. La valeur par défaut est 12. Remarque : Cette valeur est utilisée à des fins d'audit et n'empêche pas d'affecter plus d'événements notables à un analyste que le nombre par défaut. Modification des colonnes d'examen des incidents Vous pouvez modifier les colonnes affichées dans le tableau de bord Examen des incidents. 1. Examinez les colonnes qui se trouvent dans Examen des incidents - Attributs des tableaux. 2. Utilisez la colonne d'action pour éditer, supprimer ou modifier l'ordre des colonnes disponibles. 3. Ajoutez des colonnes personnalisées en sélectionnant Insérer sous ou en sélectionnant Plus..., puis Insérer au-dessus. Configuration d'Examen des incidents pour autoriser la modification groupée des événements notables Si vous essayez de modifier plus de 1000 événements notables qui se sont produits en une courte période, seuls les 1000 événements notables les plus récents sont effectivement modifiés et un message d'erreur s'affiche. Vous pouvez exécuter une recherche pour examiner les événements qui ont été modifiés avec succès ou non. |inputlookup incident_review_lookup Cela est dû à la limite du nombre d'événements qui peuvent être modifiés dans un bucket unique à l'aide d'un appel REST. Pour éviter que cela ne se produise dans des cas particuliers, un analyste peut utiliser une plage de temps plus courte lorsqu'il effectue des modifications afin de limiter le nombre d'événements notables à plus de 1000 événements. Pour éviter que cela ne se produise en toutes circonstances, vous pouvez modifier le nombre maximum d'événements qui peuvent être renvoyés à partir d'un bucket. Si vous utilisez Splunk Enterprise Security sur Splunk Cloud, ouvrez un ticket d'assistance pour obtenir de l'aide sur ce paramètre. 1. Ouvrez limits.conf pour la modification. Consultez Comment modifier un fichier de configuration dans le Manuel d'administration de Splunk Enterprise. 2. Configurez max_events_per_bucket sur un nombre supérieur à 1000. 3. Enregistrez. Consultez limits.conf pour plus d'informations à propos du paramètre max_events_per_bucket. Ajout d'un lien de navigation à une vue filtrée d'Examen des incidents Pour aider les analystes ES dans le cadre de leurs workflows, vous pouvez ajouter un lien dans la navigation de 8 l'application qui charge une version d'Examen des incidents avec des filtres appliqués. Consultez Ajout d'un lien à une vue filtrée d'Examen des incidents. Création manuelle d'un événement notable dans Splunk Enterprise Security Vous pouvez créer manuellement un événement notable à partir d'un événement indexé ou à partir de rien. Remarque : par défaut, seuls les administrateurs peuvent créer manuellement des événements notables. Pour octroyer cette capacité à d'autres utilisateurs, consultez Configuration d'utilisateurs et de rôles dans le Manuel d'installation et de mise à niveau. Création d'un événement notable à partir d'un événement existant Vous pouvez créer un événement notable à partir d'un événement indexé à l'aide du menu Actions d'événement. Ne créez pas un événement notable à partir d'événements notables du tableau de bord Examen des incidents. 1. À partir d'un événement, affichez ses détails et cliquez sur Actions d'événement. 2. Sélectionnez Créer un événement notable. 3. Saisissez un Titre pour l'événement. 4. (optionnel) Sélectionnez un Domaine sécurité. 5. (optionnel) Sélectionnez un niveau d'Urgence. 6. (optionnel) Sélectionnez un Propriétaire. 7. (optionnel) Sélectionnez un État. 8. Saisissez une Description expliquant pourquoi vous avez créé l'événement notable ou ce qui doit faire l'objet d'une enquête. 9. Enregistrez l'événement notable. Le tableau de bord Examen des incidents s'affiche avec votre nouvel événement notable. Remarque : Un événement notable créé de cette manière comprend des champs de suivi tels que Propriétaire et État, mais ne comprend pas les champs uniques ou les liens créés lorsqu'un événement notable est généré par une action d'alerte de recherche de corrélation. Création d'un événement notable à partir de rien Créez un événement notable basé sur des observations, une recherche à partir d'un système de sécurité extérieure à Splunk ou autre chose. 1. Sélectionnez Configurer > Gestion des incidents > Nouvel événement notable. 2. Saisissez un Titre pour l'événement. 3. (optionnel) Sélectionnez un Domaine sécurité. 4. (optionnel) Sélectionnez un niveau d'Urgence. 5. (optionnel) Sélectionnez un Propriétaire. 6. (optionnel) Sélectionnez un État. 7. Saisissez une Description expliquant pourquoi vous avez créé l'événement notable ou ce qui doit faire l'objet d'une enquête. 8. Enregistrez l'événement notable. Le tableau de bord Examen des incidents s'affiche avec votre nouvel événement notable. Personnalisation des paramètres des événements notables dans Splunk Enterprise Security En tant qu'administrateur Splunk Enterprise Security, vous pouvez modifier la configuration des événements notables. Modifiez les champs des événements notables. Gérez l'état des événements notables. Créez et gérez la suppression d'événements notables. Modification des champs des événements notables Modifiez les champs affichés dans le tableau de bord Examen des incidents, pour les événements notables du tableau de bord Paramètres d'examen des incidents. Par exemple, vous pouvez modifier l'étiquette d'un champ dans les détails d'un événement notable,supprimer un champ ou ajouter un nouveau champ à la section Champs supplémentaires des détails de l'événement notable. Les modifications que vous apportez aux champs des 9 événements notables ont une incidence sur tous les événements notables. 1. Dans la barre de menu de Splunk Enterprise Security, sélectionnez Configurer > Gestion des incidents > Paramètres d'examen des incidents. 2. Consultez Examen des incidents - Attributs des événements. 3. Cliquez sur Modifier pour modifier un champ ou l'étiquette d'un champ spécifique qui s'affiche dans Examen des incidents. 4. Cliquez sur Supprimer pour supprimer un champ des détails de l'événement notable dans le tableau de bord Examen des incidents. 5. Cliquez sur Enregistrer pour enregistrer vos modifications. Ajout d'un champ aux détails d'un événement notable Un champ s'affiche dans les Champs supplémentaires des détails d'un événement notable si le champ existe dans les résultats de la recherche de corrélation et si Examen des incidents peut afficher le champ. Pour ajouter un champ au détail d'un événement notable, commencez par vous assurer que les résultats de la recherche de corrélation comprennent le champ et que Examen des incidents peut afficher le champ. 1. Déterminez si le champ que vous souhaitez afficher est compris dans les résultats de la recherche de corrélation. Exécutez la recherche de corrélation sur la page Rechercher pour examiner ce qui est renvoyé, ou examinez la syntaxe de recherche. Si le champ existe dans les résultats de la recherche, passez à l'étape quatre. Si le champ n'existe pas dans les résultats de la recherche, passez à l'étape deux. 2. Modifiez la recherche de corrélation afin qu'elle comprenne le champ. Si vous pouvez modifier la recherche avec l'éditeur de recherche guidé, ajoutez le champ comme une fonction d'agrégat avec un alias. Utilisez la fonction values pour renvoyer toutes les valeurs possibles d'un champ donné ou la fonction latest pour renvoyer la valeur la plus récente du champ. Si vous avez créé manuellement la recherche, modifiez-la pour extraire les champs. Assurez-vous de ne pas modifier les critères de corrélation lorsque vous modifiez la recherche. Si la recherche ne comprend pas de transformations statistiques, ajoutez | fields + newfieldname à la fin de la recherche, où newfieldname représente le nom du nouveau champ que vous souhaitez afficher dans les détails supplémentaires. Si la recherche comprend des transformations statistiques, extrayez les champs lorsque vous procédez à la transformation statistique. Par exemple, si votre recherche comprend une recherche de statistiques | stats count by src | where count>5, les champs src et count s'affichent dans les détails de l'événement notable. Pour ajouter le champ dest aux détails de l'événement notable, vous pouvez modifier la recherche comme suit : | stats values(dest) as dest,count by src. 3. Vérifiez les modifications apportées aux recherches de corrélation sur la page Rechercher avant de les enregistrer. 4. Ajoutez le champ à la liste des champs supplémentaires. 1. Dans la barre de menu de Splunk Enterprise Security, sélectionnez Configurer > Gestion des incidents > Paramètres d'examen des incidents. 2. Cliquez sur Ajouter une nouvelle entrée pour ajouter le nouveau champ à la section Champs supplémentaires des détails de l'événement notable. 3. Saisissez une Étiquette à utiliser comme nom complet du champ dans les détails de l'événement notable. 4. Saisissez un Champ qui correspond à celui que vous souhaitez afficher dans les détails de l'événement notable. 5. Cliquez sur Fait. 6. Cliquez sur Enregistrer. Gestion de l'état des événements notables Un analyste affecte un état à un événement notable pour communiquer l'état de l'événement notable dans le workflow d'investigation. L'état s'aligne sur les étapes d'une investigation et peut être utilisé pour examiner et établir un rapport de la progression de l'investigation d'un événement notable dans le tableau de bord Audit des examens d'incidents. Pour afficher les états disponibles pour les événements notables, sélectionnez Configurer > Gestion des incidents > États des événements notables Peut être Étiquette Description modifié Non attribué Pas d'événement notable affecté. Non Nouveau (valeur par Pas d'événement notable examiné. Non défaut) 10
Description: