跳到主要内容
联系支持

这篇文章是给谁看的?

Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1

的Code42控制台中找到您的产品计划帐户菜单

老师,不。

Incydr Professional, Enterprise, Horizon和Gov F2,是的。

Incydr基础,高级和Gov F1,是的。

首页
开始
发布说明
常见问题
api
系统状态
Code42支持

Code42应用程序Splunk幻影

  1. 最后一次更新
  2. 另存为PDF

概述

本文将介绍如何安装和使用Code42 Phantom App。Splunk的幻影(亦称Splunk飙升)是一个安全编betway365排、自动化和响应(SOAR)解决方案,允许您自动化任务、协调工作流并启用事件响应。Code42 Phantom应用程序将Code42特定的动作添加到Splunk Phantom环境中。

注意事项

在开始之前

准备一个用户帐户在Code42环境中配置Code42 Phantom应用程序。此用户帐户用于验证和访问Code42环境中的数据。

  • 权限: Code42 Phantom应用程序返回基于分配给该用户的角色.为了确保用户的权限不是太宽松,请创建具有最低权限级别的用户。分配中显示的角色管理与Code42集成的安全应用程序的用例betway365.在分配角色之后,您应该进行测试,以确认用户可以访问正确的数据。
  • 许可:作为最佳实践,在Code42环境中创建一个用户,专门用于配置Code42 Phantom应用程序。没有Code42应用程序存档的用户将不会使用许可证。

安装Code42 Phantom App

第一步:下载应用程序

  1. 登录您的Splunk幻影账户
  2. 在Splunk Phantom菜单栏中,选择应用>为幻影
  3. 搜索应用程序,输入“Code42”。
  4. 的右边Code42 v2(版本1.0.1),选择下载
    phantom_code42v2-1.0.1.x86_64。下载RPM文件。

第二步:安装应用程序并添加资产

  1. 打开Splunk Phantom环境。
  2. 在左上角,单击主菜单按钮(标记为首页默认),选择应用程序
  3. 点击安装应用程序
  4. 拖动Code42应用程序文件(phantom_code42v2-1.0.1.x86_64.rpm)进入安装App对话框。
  5. 点击安装
  6. 中输入“Code42”搜索应用程序名称盒子。
    Code42应用程序出现在应取消应用程序选项卡。
  7. 在Code42应用程序的右侧,单击配置新资产.“资产”是您想要监视的Code42环境。
    1. 资产信息页签,输入资产名称和描述。
    2. 资产设置选项卡,在要连接的云实例字段,输入您想从中收集数据的Code42云实例的完整主机名或IP地址。如果您不知道Code42环境的URL,联系我们的技术支持工程师
    3. 连接的用户名而且连接密码字段,输入要用于身份验证的Code42用户的凭据。
    4. 若要更改设置以轮询最近30天的警报,请为可选字段输入值。
      要更改其他轮询设置,请使用摄取设置选项卡单击编辑.(资产配置完成后,单击调查现在以轮询警报。)
    5. 选择保存
    6. 资产设置选项卡上,选择测试连接
      如果URL、用户名和密码正确,您将看到到资产的连接是成功的。如果连接不成功,请检查这些设置。
  8. 如果需要,添加额外的资产。为希望从中接收数据的每个Code42云实例输入信息。

步骤3:访问应用内部文档

  1. 在Splunk Phantom环境的左上角,单击主菜单按钮(标记为首页默认),选择应用程序
  2. 中输入“Code42”搜索应用程序名称盒子。
    Code42应用程序出现在Configured Apps选项卡中。
  3. Code42入口,请按文档链接。
  4. 支持的操作标题,请参见相关文档Code42行动你可以在Splunk Phantom环境中使用。

Code42行动

您可以在Splunk Phantom环境中运行以下Code42操作。

有关操作参数和输出的详细信息,请参见Splunk的Code42应用程序中的文档.有关操作的更多一般信息,请参见Splunk Phantom文档

行动 描述
添加case事件 添加案例
添加离职员工 将一名离职员工添加到离职员工名单
增加高风险员工 增加一个高风险的员工高风险员工名单
添加高风险标签 添加一个风险因素对于用户。
增加法定管理人 添加用户(管理员)到合法持有事项
阻止用户 屏蔽用户禁止访问他们的Code42账户。
关闭案例 结案
创建用户 创建一个新增Code42用户帐户。
禁用用户 失活用户的Code42账号。
获取警报详细信息 得到警报详细信息
找到即将离职的员工 得到一个离职员工
雇佣高风险员工 得到一个高风险员工
获取用户简介 查看用户配置文件
搜索文件 搜索Code42获取具有匹配文件散列的备份文件并下载它。
列表情况下 输出一个列表情况下
列出离职员工名单 对象上的用户列表离职员工名单
列出高风险员工 对象上的用户列表高风险员工名单
在调查 的最近30天的查询警报.可以更改轮询设置配置资产
激活用户 复活一个被停用的用户的Code42帐户。
辞退离职员工 将即将离职的员工从离职员工名单
开除高风险员工 将高风险员工从高风险员工名单
移除高风险标签 删除一个风险因素来自用户。
移除法定监护人 删除用户(管理员)合法持有事项
运行高级查询

使用JSON运行高级查询。


有关展示如何使用JSON使用鉴证搜索API执行搜索的示例,请参见法证搜寻API
运行查询 搜索Code42文件事件
搜索警报 搜索警报
设置警报状态 设置告警状态
测试连接 使用提供的配置验证资产配置的连接性。
开启用户 打破一个用户,允许访问他们的Code42帐户。
更新的情况 编辑案例

Code42剧本

Code42剧本包含了一个样本调查的流程。

安装Code42剧本

  1. 登录您的Splunk幻影账户
  2. 在Splunk Phantom菜单栏中,选择剧本
  3. 搜索剧本,输入“Code42”。
    搜索返回Code42剧本。
  4. 在Code42剧本条目的右侧,选择查看详细信息
  5. 点击得到剧本
    有关配置源代码控制存储库以获取剧本的信息,请参见Splunk Phantom文档
  6. 打开Splunk Phantom环境。
  7. 在左上角,单击主菜单按钮(标记为首页默认),选择剧本
  8. 点击来自源代码控制的更新用剧本更新你的Splunk Phantom环境。
    有关查看剧本的信息,请参见Splunk Phantom文档
  9. 搜索剧本名称,输入“Code42”。
    搜索返回Code42剧本。

Code42剧本流程

Code42剧本流程以Code42警报开始,并允许分析师调查和响应事件:

  1. Playbook从Code42警报触发。
  2. 检索警报详细信息。
  3. 需要进一步调查:
    • 是:检索与警报相关的所有文件事件。
    • 不:结束剧本。
  4. 打开箱子。
  5. 向案例中添加文件事件。
  6. 寻找文件。
  7. 获取用户配置文件。
  8. 决定是否向用户和管理员发送电子邮件。
  9. 决定是否需要回应,如果需要,选择回应:
    • 添加用户为合法占用
    • 将用户添加到高风险员工列表
    • 阻止用户
  10. 更新情况。
  11. 关闭案例。

卸载Code42 Phantom App

  1. 在Splunk Phantom环境的左上角,单击主菜单按钮(标记为首页默认),选择应用程序
  2. 中输入“Code42”搜索应用程序名称盒子。
    Code42应用程序出现在配置应用程序选项卡。
  3. 配置应用程序中,选择Code42
  4. 点击垃圾桶按钮Splunk_Phantom_uninstall_icon.png在Code42应用程序的右侧。
    Code42应用程序被卸载。

版本历史

以下是发布的重点内容。有关完整的发行说明,请参见应用程序文档

Code42 Phantom App

版本1.0.1

2022年2月8日

由Code42开发的Code42 Phantom应用程序的初始版本。

Code42应用程序Splunk幻影

版本1.0.24

2019年9月26日

  • 修复了导致锁定装置行动失败。
  • 修复了1.0.5版本中的已知问题在执行时,将请求发送到单个Code42云URL运行查询行动。

版本1.0.5

2018年11月2日

Splunk为Splunk Phantom开发的Code42应用程序的初始发布。

已知问题

运行查询操作时,请求转到一个Code42云URL,而不管您输入的URL是什么配置资产.请求转到https://authority-east-lb.us.code42.com,访问Code42控制台的Code42环境使用的URLhttps://console.us.code42.com

要解决此问题,请为Splunk Phantom安装最新版本的Code42应用程序。

方法时,此问题会影响安装运行查询动作,你有一个不同的Code42云URL在你的资产配置: