Descripción general
La integración de Splunk (INT-001) proporciona sincronización bidireccional entre CaseBender y Splunk, incluidos los eventos notables de Splunk Enterprise Security (ES).Ingesta entrante
Sincronización saliente
/services/collector/event, normalmente el puerto 8088). La extracción y el cierre de
notables usan la API REST de administración (normalmente el puerto 8089). Splunk
on-premise suele usar certificados autofirmados en ambos: desactive Verify SSL si es
necesario (véase más abajo).Capacidades
Requisitos previos
Acceso a Splunk
edit_notable_events. Para el reenvío por
HEC necesita un token de HTTP Event Collector.Salida de red
:8088) y, para las funciones
REST, el endpoint de administración (p. ej. :8089).Rol de administrador de CaseBender
Parte A — Preparar Splunk
Crear un token HEC (para el reenvío saliente)
Crear un token de autenticación (para las funciones REST)
edit_notable_events para cerrar notables y acceso de búsqueda a su
índice de notables.Parte B — Configurar la integración en CaseBender
Abrir el catálogo de integraciones
Elegir un propósito
purpose como Inbound, Outbound o Bidirectional para mostrar las
tarjetas de configuración correspondientes.Configurar el webhook entrante (push)
sk_splunk_). En
Splunk, agregue una acción de alerta Webhook que publique en la URL con el encabezado
Authorization: Bearer <API_KEY>.Configurar la conexión REST de Enterprise Security (opcional)
https://splunk:8089) y las credenciales:Habilitar el sondeo automático (opcional)
Configurar la salida (HEC + cierre de notables)
Probar la conexión
Entrante (sondeo automático)
Con el sondeo automático habilitado, CaseBender ejecuta periódicamente su SPL a través de la API REST de búsqueda de Enterprise Security e ingiere los resultados por sí mismo, sin que se requiera ninguna acción de alerta ni webhook del lado de Splunk.Cómo funciona
Búsqueda programada
pollingIntervalMinutes), CaseBender ejecuta searchQuery sobre la
ventana desde el último cursor mediante el endpoint de exportación en streaming:pollingInitialLookbackHours.Cursor + deduplicación
_time de resultado más reciente que
ha visto, de modo que cada ejecución solo obtiene actividad nueva. Los resultados también se
deduplican por el event_id del notable (con respaldo en el sid de la búsqueda), por
lo que un notable nunca se ingiere dos veces, incluso si la ventana de sondeo se solapa.Normalización
urgency, se construye el título/descripción y se extraen observables y activos de host. El
event_id del notable se estampa en la alerta para que el cierre saliente pueda encontrarlo
más tarde.autoCreateCases habilitado, cada notable sondeado se convierte automáticamente en un
caso (deduplicado por ID de notable): esto coincide con el flujo “extraer notable →
trabajarlo como caso”. Con esta opción deshabilitada, los resultados llegan a la bandeja de
Alertas para su promoción manual. En cualquier caso, el vínculo con Splunk se conserva
para que al cerrar el caso se pueda cerrar el notable.NO_PROXY en redes de
solo proxy.Entrante (webhook / push)
Como alternativa (o además) al sondeo, una acción de alerta de Splunk (o cualquier emisor de webhook) puede enviar los resultados de la búsqueda al endpoint de ingesta de CaseBender.Endpoint
Authorization: Bearer <key> (también se acepta el encabezado x-api-key). Las claves de API
de webhook de Splunk tienen el prefijo sk_splunk_.
Ejemplo de carga
La acción de alerta de webhook de Splunk publica un objetoresult más metadatos de la
búsqueda:
202 Accepted:
Flujo de procesamiento
Proxy de ingesta
/api/v1/ingest/splunk valida la fuente y reenvía la solicitud al servicio de ingesta
(POST /v1/sources/splunk).Publicación en cola
Normalización
Referencia de mapeo de datos
Mapeo de gravedad (urgency de Splunk → CaseBender 1–4):
rule_title → search_name → alert_name →
signature → message. Las etiquetas aplicadas en la ingesta incluyen splunk, siem,
notable (para notables de ES), domain:<security_domain> y app:<app>. Los registros
ingeridos usan por defecto TLP:2 y PAP:2.
Saliente: reenvío de auditoría por HEC
Cuando se habilita consyncCaseUpdates / syncCaseClose, CaseBender publica eventos de
auditoría en formato JSON en su endpoint HEC para que la actividad del caso se pueda buscar en
Splunk:
source: casebender:case (o casebender:alert) y sourcetype: _json
al índice configurado.
Saliente: cerrar el notable de Splunk (write-back)
Cuando se cierra un caso en CaseBender, el eventocase_closed se envía al controlador de
Splunk. Si el caso está vinculado a un notable de Splunk y closeNotableOnCaseClose está
activado, CaseBender cierra el notable mediante la API REST de ES.
Cómo se resuelve el notable vinculado
El flujo de ingesta estampasplunkEventId (el event_id del notable) y el ID de la
integración que lo ingirió en los customFields de cada alerta de Splunk. Al cerrar el caso, el
controlador recopila esos ID de evento de las alertas vinculadas al caso, de modo que un caso
promovido desde un notable sondeado o de webhook se resuelve automáticamente, sin importar cómo
se creó.
Qué se envía
CaseBender llama al endpointnotable_update de ES:
statuses por defecto 5 (Cerrado) y se puede configurar mediantenotableStatusOnClose.commentes:Case <id> closed in CaseBender with resolution: <resolution>.
syncCaseClose (evento de auditoría por HEC) y closeNotableOnCaseClose (write-back del
notable por REST) son conmutadores independientes por integración. El write-back del notable
requiere la conexión REST de Enterprise Security y un rol con la capacidad
edit_notable_events.Consideraciones de seguridad
- Gestión de tokens — los tokens HEC y los tokens/contraseñas REST se almacenan en la configuración de la integración; rótelos según la programación de su organización y actualice la integración cuando lo haga.
- Privilegio mínimo — el rol REST solo necesita acceso de búsqueda a su índice de notables y
edit_notable_events. Los tokens HEC deberían apuntar a un índice dedicado. - Claves de webhook — trate la clave de API
sk_splunk_como un secreto. Rótela si se expone y actualice la acción de alerta de Splunk. - TLS — prefiera certificados de confianza. Si debe usar certificados autofirmados (común on-premise), puede desactivar Verify SSL; la conexión sigue cifrada, pero el certificado no se valida. Restrinja la salida a sus endpoints HEC y de administración de Splunk.
Solución de problemas
La prueba de conexión falla o expira
La prueba de conexión falla o expira
8088). Si Splunk usa un certificado autofirmado, desactive Verify
SSL; de lo contrario, la solicitud falla con un error de certificado.El sondeo está habilitado pero no aparecen notables
El sondeo está habilitado pero no aparecen notables
8089), y que haya resultados
más recientes que el cursor. En la primera ejecución solo se importan resultados dentro de
pollingInitialLookbackHours. Revise el último estado de sincronización de la integración
para ver el error específico.El cierre del caso no cierra el notable de Splunk
El cierre del caso no cierra el notable de Splunk
closeNotableOnCaseClose esté activado y de que la conexión ES REST esté
configurada con un rol que tenga edit_notable_events. El caso debe estar vinculado a un
notable de Splunk; al cerrar un caso promovido desde un notable sondeado/de webhook, el
vínculo se resuelve automáticamente. Revise la línea de tiempo del caso para ver el resultado
de la sincronización.notable_update devuelve 403 o 404
notable_update devuelve 403 o 404
403 significa que el rol REST carece de la capacidad edit_notable_events. Un 404
normalmente significa que la URL no es el endpoint de administración de Enterprise Security;
confirme que restUrl apunta al puerto de administración de Splunk con ES instalado.Errores de certificado autofirmado detrás de un proxy
Errores de certificado autofirmado detrás de un proxy
NO_PROXY para que la conexión
sea directa y desactive Verify SSL si el certificado es autofirmado.