Panoramica
L’integrazione Splunk (INT-001) fornisce una sincronizzazione bidirezionale tra CaseBender e Splunk, inclusi gli eventi notable di Splunk Enterprise Security (ES).Ingestione in entrata
Sincronizzazione in uscita
/services/collector/event, di
solito la porta 8088). L’estrazione e la chiusura dei notable usano l’API REST di gestione
(di solito la porta 8089). Gli Splunk on-premise usano spesso certificati autofirmati su
entrambi: disattiva Verify SSL se necessario (vedi sotto).Funzionalità
Prerequisiti
Accesso a Splunk
edit_notable_events. Per l’inoltro HEC è
necessario un token HTTP Event Collector.Uscita di rete
:8088) e, per le funzioni REST,
l’endpoint di gestione (es. :8089).Ruolo di amministratore CaseBender
Parte A — Preparare Splunk
Creare un token HEC (per l'inoltro in uscita)
Creare un token di autenticazione (per le funzioni REST)
edit_notable_events per chiudere i notable e dell’accesso di
ricerca al tuo indice di notable.Parte B — Configurare l’integrazione in CaseBender
Aprire il catalogo delle integrazioni
Scegliere uno scopo
purpose su Inbound, Outbound o Bidirectional per mostrare le schede di
configurazione pertinenti.Configurare il webhook in entrata (push)
sk_splunk_). In
Splunk, aggiungi un’azione di avviso Webhook che invii all’URL con l’intestazione
Authorization: Bearer <API_KEY>.Configurare la connessione REST di Enterprise Security (facoltativo)
https://splunk:8089) e le credenziali:Abilitare il polling automatico (facoltativo)
Configurare l'uscita (HEC + chiusura dei notable)
Testare la connessione
Entrata (polling automatico)
Con il polling automatico abilitato, CaseBender esegue periodicamente il tuo SPL tramite l’API REST di ricerca di Enterprise Security e ingerisce i risultati autonomamente — senza alcuna azione di avviso o webhook lato Splunk.Come funziona
Ricerca pianificata
pollingIntervalMinutes), CaseBender esegue searchQuery sulla finestra
dall’ultimo cursore tramite l’endpoint di esportazione in streaming:pollingInitialLookbackHours.Cursore + deduplicazione
_time di risultato più recente
visto, così ogni esecuzione recupera solo attività nuova. I risultati vengono anche
deduplicati per event_id del notable (con ripiego sul sid della ricerca), così un
notable non viene mai ingerito due volte, anche se la finestra di polling si sovrappone.Normalizzazione
urgency, costruendo titolo/descrizione ed estraendo osservabili e asset host. L’event_id
del notable viene impresso sull’avviso affinché la chiusura in uscita possa trovarlo in
seguito.autoCreateCases abilitato, ogni notable estratto diventa automaticamente un caso
(deduplicato per ID notable) — questo corrisponde al flusso “estrai il notable → lavoralo come
caso”. Se disabilitato, i risultati arrivano nella casella Avvisi per la promozione
manuale. In entrambi i casi il collegamento con Splunk viene conservato affinché la chiusura del
caso possa chiudere il notable.NO_PROXY sulle reti
solo-proxy.Entrata (webhook / push)
In alternativa (o in aggiunta) al polling, un’azione di avviso Splunk (o qualsiasi mittente webhook) può inviare i risultati della ricerca all’endpoint di ingestione di CaseBender.Endpoint
Authorization: Bearer <key> (è accettata anche l’intestazione x-api-key). Le chiavi API di
webhook di Splunk hanno il prefisso sk_splunk_.
Esempio di payload
L’azione di avviso webhook di Splunk invia un oggettoresult più i metadati della ricerca:
202 Accepted:
Pipeline di elaborazione
Proxy di ingestione
/api/v1/ingest/splunk convalida la sorgente e inoltra la richiesta al servizio di ingestione
(POST /v1/sources/splunk).Pubblicazione in coda
Normalizzazione
Riferimento di mappatura dei dati
Mappatura della gravità (urgency di Splunk → CaseBender 1–4):
rule_title → search_name → alert_name → signature →
message. I tag applicati all’ingestione includono splunk, siem, notable (per i
notable ES), domain:<security_domain> e app:<app>. I record ingeriti usano per impostazione
predefinita TLP:2 e PAP:2.
Uscita: inoltro di audit tramite HEC
Quando abilitato consyncCaseUpdates / syncCaseClose, CaseBender pubblica eventi di audit
JSON verso il tuo endpoint HEC affinché l’attività dei casi sia ricercabile in Splunk:
source: casebender:case (o casebender:alert) e
sourcetype: _json all’indice configurato.
Uscita: chiudere il notable di Splunk (write-back)
Quando un caso viene chiuso in CaseBender, l’eventocase_closed viene inoltrato all’handler di
Splunk. Se il caso è collegato a un notable Splunk e closeNotableOnCaseClose è attivo,
CaseBender chiude il notable tramite l’API REST di ES.
Come viene risolto il notable collegato
La pipeline di ingestione imprimesplunkEventId (l’event_id del notable) e l’ID
dell’integrazione che lo ha ingerito nei customFields di ogni avviso Splunk. Alla chiusura del
caso, l’handler raccoglie quegli ID evento dagli avvisi collegati al caso, così un caso promosso
da un notable estratto o da webhook viene risolto automaticamente, indipendentemente da come è
stato creato.
Cosa viene inviato
CaseBender chiama l’endpointnotable_update di ES:
statusè per impostazione predefinita 5 (Chiuso) ed è configurabile tramitenotableStatusOnClose.commentè:Case <id> closed in CaseBender with resolution: <resolution>.
syncCaseClose (evento di audit HEC) e closeNotableOnCaseClose (write-back del notable
tramite REST) sono interruttori indipendenti per integrazione. Il write-back del notable
richiede la connessione REST di Enterprise Security e un ruolo con la capacità
edit_notable_events.Considerazioni sulla sicurezza
- Gestione dei token — i token HEC e i token/password REST sono memorizzati nelle impostazioni dell’integrazione; ruotali secondo la pianificazione della tua organizzazione e aggiorna l’integrazione di conseguenza.
- Privilegio minimo — il ruolo REST necessita solo dell’accesso di ricerca al tuo indice di
notable e di
edit_notable_events. I token HEC dovrebbero puntare a un indice dedicato. - Chiavi di webhook — tratta la chiave API
sk_splunk_come un segreto. Ruotala se esposta e aggiorna l’azione di avviso di Splunk. - TLS — preferisci certificati attendibili. Se devi usare certificati autofirmati (comune on-premise), Verify SSL può essere disattivato; la connessione resta cifrata ma il certificato non viene convalidato. Limita l’uscita ai tuoi endpoint HEC e di gestione di Splunk.
Risoluzione dei problemi
Il test di connessione fallisce o va in timeout
Il test di connessione fallisce o va in timeout
8088). Se Splunk usa un certificato autofirmato, disattiva Verify
SSL — altrimenti la richiesta fallisce con un errore di certificato.Il polling è abilitato ma non compaiono notable
Il polling è abilitato ma non compaiono notable
8089) e che esistano risultati più
recenti del cursore. Alla prima esecuzione vengono importati solo i risultati della finestra
pollingInitialLookbackHours. Controlla l’ultimo stato di sincronizzazione dell’integrazione
per l’errore specifico.La chiusura del caso non chiude il notable Splunk
La chiusura del caso non chiude il notable Splunk
closeNotableOnCaseClose sia attivo e che la connessione ES REST sia
configurata con un ruolo che abbia edit_notable_events. Il caso deve essere collegato a un
notable Splunk — la chiusura di un caso promosso da un notable estratto/di webhook risolve il
collegamento automaticamente. Controlla la cronologia del caso per l’esito della
sincronizzazione.notable_update restituisce 403 o 404
notable_update restituisce 403 o 404
403 significa che il ruolo REST non dispone della capacità edit_notable_events. Un
404 di solito significa che l’URL non è l’endpoint di gestione di Enterprise Security —
conferma che restUrl punti alla porta di gestione di Splunk con ES installato.Errori di certificato autofirmato dietro un proxy
Errori di certificato autofirmato dietro un proxy
NO_PROXY affinché la connessione
sia diretta e disattiva Verify SSL se il certificato è autofirmato.