>

Ersteinrichtung der App

Wenn die App auf dem Splunk-Server installiert wurde, schließen Sie die Ersteinrichtung unter Konfiguration → Konfiguration ab.

Die Ansicht "Konfiguration" besteht aus drei Bereichen: "Setup", "Risikolisten" und "Warnungsregeln".

Konfigurieren Sie den API-Schlüssel mit Connect-API-Zugriff und einem funktionierenden API-Endpunkt in der Setup-Ansicht .

Der API-Schlüssel muss im Setup-Bereich konfiguriert werden, damit die App funktioniert. Ein Benutzer benötigt die Fähigkeit von "list_storage_passwords", um API-Schlüssel- und Proxy-Einstellungen in der App zu konfigurieren.

Einrichtung

Registerkarte "Setup"

Hier werden alle Einstellungen mit Ausnahme von Risikolisten und Alarmierungsregeln konfiguriert. Die minimal mögliche Konfiguration ist das Setzen des API-Schlüssels hier.

Wenn Sie die Zertifikatsvalidierung deaktivieren müssen, z. B. wenn ein Netzwerkgerät zwischen dem Splunk-Rechner und dem Internet das SSL-Zertifikat ändert, können Sie dies tun, indem Sie das Kontrollkästchen "SSL-Verifizierung" deaktivieren.

Wenn der Splunk-Server einen Proxy für den Internetzugang benötigt, sollte das Kontrollkästchen Proxy aktiviert sein. Dadurch werden neue Felder angezeigt, die ausgefüllt werden müssen. Der Benutzername und das Kennwort sollten nur konfiguriert werden, wenn der Proxy eine Authentifizierung erfordert. Proxy-Host und Port sind erforderliche Einstellungen.

Der Support für aufgezeichnete Zukunft kann einen Benutzer in seltenen Fällen anweisen, eine andere URL als die API für aufgezeichnete Zukunft zu verwenden. In diesem Fall sollte die API-URL für aufgezeichnete Zukunft geändert werden.

Es gibt fünf Protokollierungsstufen: CRITICAL, ERROR, WARNING, INFO und DEBUG.

Die empfohlene Protokollebene ist INFO. Um ein Problem mit der Recorded Future-App zu melden, ändern Sie sie vorübergehend in DEBUG, um zusätzliche Protokolle zu sammeln, die zur Fehlerbehebung verwendet werden können.

Die von der Recorded Future App generierten Protokolle befinden sich im Standard-Splunk-Protokollverzeichnis $SPLUNK_HOME/var/log/splunk und werden in die folgende Datei geschrieben:

  • ta_recordedfuture_cyber_rest.log

Die in den Protokolldateien enthaltenen Informationen können entweder in der Splunk-GUI oder als Dateien auf dem Splunk-Server angezeigt werden.

Beispiel für eine Suche:


index=_* source="/opt/splunk/var/log/splunk/ta_recordedfuture_cyber_rest.log"

Weitere Informationen zu den anderen Registerkarten finden Sie auf den jeweiligen Hilfeseiten.

Weitere Hilfe

Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.

Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com