splunk.es.adaptive_response_notable_event 模块 – 管理 Splunk Enterprise Security 显著事件自适应响应
注意
此模块是 splunk.es 集合 (版本 4.0.0) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install splunk.es。
要在 playbook 中使用它,请指定: splunk.es.adaptive_response_notable_event。
splunk.es 1.0.0 中的新增功能
已弃用
- 将在以下版本中移除:
2024-09-01 之后的主要版本
- 原因:
发布了具有更多功能的更新模块。
- 替代方案:
splunk_adaptive_response_notable_events
概要
此模块允许创建、删除和修改与关联搜索相关的 Splunk Enterprise Security 显著事件自适应响应。
别名:splunk_adaptive_response_notable_event
参数
参数 |
注释 |
|---|---|
要提取的资产列表,选择任何一个或多个可用选项 默认为所有可用选项 选项
默认值: |
|
要与此显著事件自适应响应关联的关联搜索的名称 |
|
显著事件的默认所有者,如果未设置,则默认为 Splunk 系统默认值 |
|
显著事件的默认状态,如果未设置,则默认为 Splunk 系统默认值 选项
|
|
显著事件的描述,这将填充 Web 控制台的描述字段 |
|
设置在触发事件之前搜索相关事件的时间量。例如,2h。使用“$info_min_time$”将钻取时间设置为与搜索的最早时间匹配 默认值: |
|
设置在触发事件之后搜索相关事件的时间量。例如,1m。使用“$info_max_time$”将钻取时间设置为与搜索的最新时间匹配 默认值: |
|
钻取搜索的名称,支持使用匹配事件中的字段进行变量替换。 |
|
钻取搜索,支持使用匹配事件中的字段进行变量替换。 |
|
要提取的身份字段列表,选择任何一个或多个可用选项 默认为所有可用选项 选项
默认值: |
|
要与显著事件关联的调查配置文件。 |
|
显著事件的名称 |
|
接下来应运行的自适应响应列表 描述分析师可以采取的解决此威胁的后续步骤和响应措施。 默认值: |
|
建议接下来运行的自适应响应列表 识别推荐的自适应响应将为分析师突出显示这些操作,以便在查看可用的响应操作列表时更容易找到它们,从而更容易在较长的可用操作列表中找到它们。 默认值: |
|
Splunk 安全域 选项
|
|
严重性等级 选项
|
|
添加或删除数据源。 选项
|
示例
- name: Example of using splunk.es.adaptive_response_notable_event module
splunk.es.adaptive_response_notable_event:
name: "Example notable event from Ansible"
correlation_search_name: "Example Correlation Search From Ansible"
description: "Example notable event from Ansible, description."
state: "present"
next_steps:
- ping
- nslookup
recommended_actions:
- script
- ansiblesecurityautomation
状态
此模块将在 2024-09-01 之后的主要版本中删除。 *[已弃用]*
更多信息请参见 已弃用。