Konfigurieren und Verwalten von Risikolisten
Risikolisten können verwendet werden, um Ereignisse zu korrelieren und anzureichern. Jedes Element in einer Risikoliste, wie z. B. eine IP-Nummer oder Domäne, enthält eine Risikobewertung und die Informationen, die zu ihrer Risikobewertung beigetragen haben.
Liste der Ausfallrisiken
Die Recorded Future App wird mit den fünf Recorded Future Risk Lists ausgeliefert:
- IP-Adresse
- Domänennamen
- Internetadressen
- Hashes von Dateien
- Schwachstellen (hauptsächlich CVEs)
Mit Fusion Access ist es möglich, mit benutzerdefinierten Risikolisten zu arbeiten.
Hinzufügen von Risikolisten
Zusätzliche Risikolisten können heruntergeladen werden, indem Sie auf Risikoliste hinzufügen klicken. Die folgenden Felder werden oben angezeigt:
| Feld | Bedeutung | Kommentar |
|---|---|---|
| Name | Name der Risikoliste innerhalb der Splunk-Instanz. | Die Nachschlagedatei erhält den Namen .csv. |
| Kategorie "Risikoliste" | Der Typ der Entität, die in der Risikoliste enthalten ist. | IP, Domäne, Hash, Schwachstelle oder URL. |
| Fusion-Datei | Der Weg zur Fusionsrisikoliste. | Der Pfad muss auf eine definierte Fusion-Datei verweisen, die als unkomprimierte CSV-Datei gespeichert ist, wenn sie als Suche verwendet wird. |
| Aktualisierungs-Intervall | Das Intervall, das für die Suche nach Updates verwendet wird. | Die Standardeinstellung ist, sobald eine aktualisierte Version verfügbar ist. |
Wenn Sie mit der Konfiguration der neuen Risikoliste fertig sind, klicken Sie auf Speichern , um die neue Konfiguration zu speichern.
Risikolisten verwalten
Alle konfigurierten Risikolisten werden unter Konfiguration → Konfiguration → Risikolisten aufgelistet. Die Liste der Risikolisteneingaben ist so sortiert, dass oben alle benutzerdefinierten Risikolisten und unten die Standardkonfiguration angezeigt werden. Die Standardeingaben für die Risikoliste können nicht gelöscht, sondern nur deaktiviert werden.
Um eine konfigurierte Risikoliste zu bearbeiten, klicken Sie einfach auf Bearbeiten und die Felder werden entsperrt. Klicken Sie auf Speichern , wenn Sie mit der Bearbeitung der Einstellungen fertig sind.
Um eine Risikoliste zu entfernen, aktivieren Sie das entsprechende Kontrollkästchen Risikoliste löschen und klicken Sie auf Speichern.
Besondere Überlegungen für aufgezeichnete zukünftige Apps auf Splunk ES
Sowohl die Recorded Future App for Splunk als auch die Recorded Future App for Splunk ES rufen die gleichen Standard-Risikolisten ab. Um unnötigen Credit-Verbrauch und Verarbeitungsaufwand zu vermeiden, wird empfohlen, über die Recorded Future App for Splunk ES auf die Risikolisten zuzugreifen und diese in der Recorded Future App for Splunk zu deaktivieren.
Weitere Hilfe
Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.
Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com