splunk.es.adaptive_response_notable_event 模块 – 管理 Splunk 企业安全值得注意的事件自适应响应
注意
此模块是 splunk.es 集合(版本 4.0.0)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install splunk.es。
要在 playbook 中使用它,请指定:splunk.es.adaptive_response_notable_event。
splunk.es 1.0.0 中的新增功能
已弃用
- 在以下版本中删除:
2024-09-01 之后的重大版本
- 原因:
发布了具有更多功能的新版本和更新模块。
- 替代方案:
splunk_adaptive_response_notable_events
概要
此模块允许创建、删除和修改与关联搜索相关的 Splunk 企业安全值得注意的事件自适应响应
别名:splunk_adaptive_response_notable_event
参数
参数 |
注释 |
|---|---|
要提取的资产列表,选择任何一个或多个可用选项 默认为所有可用选项 选项
默认: |
|
要将此值得注意的事件自适应响应与之关联的关联搜索的名称 |
|
值得注意的事件的默认所有者,如果未设置,则默认为 Splunk 系统默认值 |
|
值得注意的事件的默认状态,如果未设置,则默认为 Splunk 系统默认值 选项
|
|
值得注意的事件的描述,这将填充 Web 控制台的描述字段 |
|
设置在触发事件之前搜索相关事件的时间量。例如,2h。使用 “$info_min_time$” 将向下钻取时间设置为与搜索的最早时间匹配 默认: |
|
设置在触发事件之后搜索相关事件的时间量。例如,1m。使用 “$info_max_time$” 将向下钻取时间设置为与搜索的最新时间匹配 默认: |
|
向下钻取搜索的名称,支持使用匹配事件的字段进行变量替换。 |
|
向下钻取搜索,支持使用匹配事件的字段进行变量替换。 |
|
要提取的身份字段列表,选择任何一个或多个可用选项 默认为所有可用选项 选项
默认: |
|
要将值得注意的事件与之关联的调查配置文件。 |
|
值得注意的事件的名称 |
|
接下来应运行的自适应响应列表 描述分析师可以采取的下一步骤和响应措施来解决此威胁。 默认: |
|
建议接下来运行的自适应响应列表 识别推荐的自适应响应将在分析师查看可用响应操作列表时突出显示这些操作,从而更容易在较长的可用操作列表中找到它们。 默认: |
|
Splunk 安全域 选项
|
|
严重性评级 选项
|
|
添加或删除数据源。 选项
|
示例
- name: Example of using splunk.es.adaptive_response_notable_event module
splunk.es.adaptive_response_notable_event:
name: "Example notable event from Ansible"
correlation_search_name: "Example Correlation Search From Ansible"
description: "Example notable event from Ansible, description."
state: "present"
next_steps:
- ping
- nslookup
recommended_actions:
- script
- ansiblesecurityautomation
状态
此模块将在 2024-09-01 之后的重大版本中删除。[已弃用]
有关更多信息,请参阅 已弃用。