Datensätze von ExtraHop an Splunk senden
Sie können das ExtraHop-System so konfigurieren, dass Datensätze auf Transaktionsebene zur Langzeitspeicherung an einen Splunk-Server gesendet werden, und diese Datensätze dann vom ExtraHop-System und der ExtraHop-REST-API abfragen.
Hier sind einige Überlegungen zum Senden von Datensätzen von ExtraHop an Splunk:
- Alle Trigger, die für das Senden von Datensätzen konfiguriert sind commitRecord zu einem Recordstore werden automatisch zum Splunk-Server umgeleitet. Es ist keine weitere Konfiguration erforderlich.
- Wenn Sie von einem verbundenen ExtraHop-Recordstore zu Splunk migrieren, können Sie nicht mehr auf die im Recordstore gespeicherten Datensätze zugreifen.
- Wenn Sie ExtraHop-Daten wie Metriken und Erkennungen in einer Splunk-Oberfläche anzeigen und analysieren möchten, konfigurieren Sie eine Splunk oder Splunk SOAR Integration.
Splunk als Recordstore aktivieren
Führen Sie dieses Verfahren auf allen angeschlossenen
ExtraHop-Systemen durch.
Wichtig: | Wenn Ihr ExtraHop-System eine Konsole oder Reveal (x) 360 enthält, konfigurieren Sie alle Sensoren mit denselben Recordstore-Einstellungen oder Übertragungsmanagement, um die Einstellungen von der Konsole oder Reveal (x) 360 aus zu verwalten. |
Before you begin
- Auf jeder Konsole und allen angeschlossenen Sensoren muss dieselbe ExtraHop-Firmware-Version ausgeführt werden.
- Sie benötigen Version 7.0.3 oder höher von Splunk Enterprise und ein Benutzerkonto mit Administratorrechte.
- Sie müssen den Splunk HTTP Event Collector konfigurieren, bevor Ihr Splunk-Server ExtraHop-Datensätze empfangen kann. Sehen Sie die Splunk HTTP-Event-Collector Dokumentation für Anweisungen.
Nachdem Ihre Konfiguration abgeschlossen ist, können Sie im ExtraHop-System nach
gespeicherten Datensätzen abfragen, indem Sie auf Rekorde aus
dem oberen Menü.
Recordstore-Einstellungen übertragen
Wenn du einen ExtraHop hast Konsole Wenn Sie an Ihre ExtraHop-Sensoren angeschlossen sind, können Sie die Recordstore-Einstellungen auf dem Sensor konfigurieren und verwalten oder die Verwaltung der Einstellungen an den Konsole. Durch die Übertragung und Verwaltung der Recordstore-Einstellungen auf der Konsole können Sie die Recordstore-Einstellungen für mehrere Sensoren auf dem neuesten Stand halten.
Die Recordstore-Einstellungen werden für verbundene Recordstores
von Drittanbietern konfiguriert und gelten nicht für den ExtraHop-Recordstore.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?