Code42应用程序Splunk幻影
概述
本文将介绍如何安装和使用Code42 Phantom App。Splunk的幻影(亦称Splunk飙升)是一个安全编betway365排、自动化和响应(SOAR)解决方案,允许您自动化任务、协调工作流并启用事件响应。Code42 Phantom应用程序将Code42特定的动作添加到Splunk Phantom环境中。
注意事项
- 要使用Code42 Phantom App,你必须有一个现有的Splunk Phantom环境。有关如何安装和配置Splunk Phantom环境的说明,请登录您的Splunk幻影账户看看文档.
- 客户冠军可以为Code42 Phantom App提供技术支持,但Code42不能为Splunk Phantom本身提供技术支持。联系Splunk支持寻求Splunk Phantom的帮助。
- 用于运行Splunk Phantom的设备必须通过HTTPS访问Code42云。Code42 Phantom App不支持对Code42云的非安全HTTP访问。
- 要使用Code42 Phantom App中的某些操作,您必须有一个Code42产品方案包括文件元数据收集。联系你的客户成功经理(CSM)协助办理执照。
- Code42 Phantom应用程序不同于Code42内幕威胁应用程序Splunk。有关Code42内部威胁应用程序Splunk的更多信息,请参阅以下文章:
在开始之前
准备一个用户帐户在Code42环境中配置Code42 Phantom应用程序。此用户帐户用于验证和访问Code42环境中的数据。
- 权限: Code42 Phantom应用程序返回基于分配给该用户的角色.为了确保用户的权限不是太宽松,请创建具有最低权限级别的用户。分配中显示的角色管理与Code42集成的安全应用程序的用例betway365.在分配角色之后,您应该进行测试,以确认用户可以访问正确的数据。
- 许可:作为最佳实践,在Code42环境中创建一个用户,专门用于配置Code42 Phantom应用程序。没有Code42应用程序存档的用户将不会使用许可证。
安装Code42 Phantom App
第一步:下载应用程序
- 登录您的Splunk幻影账户.
- 在Splunk Phantom菜单栏中,选择应用>为幻影.
- 在搜索应用程序,输入“Code42”。
- 的右边Code42 v2(版本1.0.1),选择下载.
phantom_code42v2-1.0.1.x86_64。下载RPM文件。
第二步:安装应用程序并添加资产
- 打开Splunk Phantom环境。
- 在左上角,单击主菜单按钮(标记为首页默认),选择应用程序.
- 点击安装应用程序.
- 拖动Code42应用程序文件(phantom_code42v2-1.0.1.x86_64.rpm)进入安装App对话框。
- 点击安装.
- 中输入“Code42”搜索应用程序名称盒子。
Code42应用程序出现在应取消应用程序选项卡。 - 在Code42应用程序的右侧,单击配置新资产.“资产”是您想要监视的Code42环境。
- 在资产信息页签,输入资产名称和描述。
- 在资产设置选项卡,在要连接的云实例字段,输入您想从中收集数据的Code42云实例的完整主机名或IP地址。如果您不知道Code42环境的URL,联系我们的技术支持工程师.
- 如果您登录到Code42控制台https://console.us.code42.com(US1)上,输入:
https://console.us.code42.com
- 如果您登录到Code42控制台https://console.us2.code42.com(2)上,输入:
//www.snvyl.com
- 如果在Code42联邦环境中登录到Code42控制台https://console.gov.code42.com(之三),输入:
https://console.gov.code42.com
- 如果您登录到爱尔兰Code42云的Code42控制台https://console.ie.code42.com(EU1)上,输入:
https://console.ie.code42.com
- 如果您登录到Code42控制台https://console.us.code42.com(US1)上,输入:
- 在连接的用户名而且连接密码字段,输入要用于身份验证的Code42用户的凭据。
- 若要更改设置以轮询最近30天的警报,请为可选字段输入值。
要更改其他轮询设置,请使用摄取设置选项卡单击编辑.(资产配置完成后,单击调查现在以轮询警报。) - 选择保存.
- 在资产设置选项卡上,选择测试连接.
如果URL、用户名和密码正确,您将看到到资产的连接是成功的。如果连接不成功,请检查这些设置。
- 如果需要,添加额外的资产。为希望从中接收数据的每个Code42云实例输入信息。
步骤3:访问应用内部文档
- 在Splunk Phantom环境的左上角,单击主菜单按钮(标记为首页默认),选择应用程序.
- 中输入“Code42”搜索应用程序名称盒子。
Code42应用程序出现在Configured Apps选项卡中。 - 在Code42入口,请按文档链接。
- 下支持的操作标题,请参见相关文档Code42行动你可以在Splunk Phantom环境中使用。
Code42行动
您可以在Splunk Phantom环境中运行以下Code42操作。
有关操作参数和输出的详细信息,请参见Splunk的Code42应用程序中的文档.有关操作的更多一般信息,请参见Splunk Phantom文档.
行动 | 描述 |
添加case事件 | 添加案例. |
添加离职员工 | 将一名离职员工添加到离职员工名单. |
增加高风险员工 | 增加一个高风险的员工高风险员工名单. |
添加高风险标签 | 添加一个风险因素对于用户。 |
增加法定管理人 | 添加用户(管理员)到合法持有事项. |
阻止用户 | 屏蔽用户禁止访问他们的Code42账户。 |
关闭案例 | 结案. |
创建用户 | 创建一个新增Code42用户帐户。 |
禁用用户 | 失活用户的Code42账号。 |
获取警报详细信息 | 得到警报详细信息. |
找到即将离职的员工 | 得到一个离职员工. |
雇佣高风险员工 | 得到一个高风险员工. |
获取用户简介 | 查看用户配置文件. |
搜索文件 | 搜索Code42获取具有匹配文件散列的备份文件并下载它。 |
列表情况下 | 输出一个列表情况下. |
列出离职员工名单 | 对象上的用户列表离职员工名单. |
列出高风险员工 | 对象上的用户列表高风险员工名单. |
在调查 | 的最近30天的查询警报.可以更改轮询设置配置资产. |
激活用户 | 复活一个被停用的用户的Code42帐户。 |
辞退离职员工 | 将即将离职的员工从离职员工名单. |
开除高风险员工 | 将高风险员工从高风险员工名单. |
移除高风险标签 | 删除一个风险因素来自用户。 |
移除法定监护人 | 删除用户(管理员)合法持有事项. |
运行高级查询 | 使用JSON运行高级查询。
|
运行查询 | 搜索Code42文件事件. |
搜索警报 | 搜索警报. |
设置警报状态 | 设置告警状态. |
测试连接 | 使用提供的配置验证资产配置的连接性。 |
开启用户 | 打破一个用户,允许访问他们的Code42帐户。 |
更新的情况 | 编辑案例. |
Code42剧本
Code42剧本包含了一个样本调查的流程。
安装Code42剧本
- 登录您的Splunk幻影账户.
- 在Splunk Phantom菜单栏中,选择剧本.
- 在搜索剧本,输入“Code42”。
搜索返回Code42剧本。 - 在Code42剧本条目的右侧,选择查看详细信息.
- 点击得到剧本.
有关配置源代码控制存储库以获取剧本的信息,请参见Splunk Phantom文档. - 打开Splunk Phantom环境。
- 在左上角,单击主菜单按钮(标记为首页默认),选择剧本.
- 点击来自源代码控制的更新用剧本更新你的Splunk Phantom环境。
有关查看剧本的信息,请参见Splunk Phantom文档. - 在搜索剧本名称,输入“Code42”。
搜索返回Code42剧本。
Code42剧本流程
Code42剧本流程以Code42警报开始,并允许分析师调查和响应事件:
- Playbook从Code42警报触发。
- 检索警报详细信息。
- 需要进一步调查:
- 是:检索与警报相关的所有文件事件。
- 不:结束剧本。
- 打开箱子。
- 向案例中添加文件事件。
- 寻找文件。
- 获取用户配置文件。
- 决定是否向用户和管理员发送电子邮件。
- 决定是否需要回应,如果需要,选择回应:
- 添加用户为合法占用
- 将用户添加到高风险员工列表
- 阻止用户
- 更新情况。
- 关闭案例。
卸载Code42 Phantom App
- 在Splunk Phantom环境的左上角,单击主菜单按钮(标记为首页默认),选择应用程序.
- 中输入“Code42”搜索应用程序名称盒子。
Code42应用程序出现在配置应用程序选项卡。 - 下配置应用程序中,选择Code42.
- 点击垃圾桶按钮在Code42应用程序的右侧。
Code42应用程序被卸载。
版本历史
以下是发布的重点内容。有关完整的发行说明,请参见应用程序文档.
Code42 Phantom App
版本1.0.1
2022年2月8日
由Code42开发的Code42 Phantom应用程序的初始版本。
Code42应用程序Splunk幻影
版本1.0.5
2018年11月2日
Splunk为Splunk Phantom开发的Code42应用程序的初始发布。
已知问题
为运行查询操作时,请求转到一个Code42云URL,而不管您输入的URL是什么配置资产.请求转到https://authority-east-lb.us.code42.com,访问Code42控制台的Code42环境使用的URLhttps://console.us.code42.com.
要解决此问题,请为Splunk Phantom安装最新版本的Code42应用程序。
方法时,此问题会影响安装运行查询动作,你有一个不同的Code42云URL在你的资产配置:
- 访问Code42控制台的Code42环境https://console.us2.code42.com使用URLhttps://console.us2.code42。com
- Code42环境连接到爱尔兰Code42云并访问Code42控制台https://console.ie.code42.com使用URLhttps://authority-default-lb.ie.code42.com