適応と調整: マクロの適応

更新

[これは Splunk Enterprise の Recorded Future アプリの v4.0.x 用です]

マクロを適応させる

マクロはmacros.confという設定ファイルで定義されます。通常、Splunk アプリケーションにバンドルされます。Recorded Future によって事前定義されたマクロのほとんどは、Recorded Future Connect API から返されるJSONオブジェクトを処理するために作成されています。ただし、「rf_hits」と呼ばれるマクロが 1 つあり、相関ダッシュボードが正しく機能するには、ユーザーによる何らかの構成が必要になる可能性があります。

    [rf_hits(1)]
 args = 内野
定義 = dedup $infield$ \
 | lookup rf_ip_threatfeed 名前を $infield$ として OUTPUT 名前を RF_Hit、Risk、RiskString、EvidenceDetails として
| 検索 RF_Hit=* \
 | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.Rule") \
 | eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString")
 iseval = 0

正しい脅威リストを使用するには、4 行目をカスタマイズする必要がある可能性があります。

さらに詳しい情報

さらにご質問やアドバイスがありましたら、Recorded Future Intelligence Services のコンサルタントが喜んでお手伝いいたします。相手が誰なのか分からない場合は、support@recordedfuture.com までお問い合わせください。

「Recorded Future for Splunk Enterprise」については Splunk サポートに問い合わせないでください。

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る