Splunk Rule: unknown with checkpoint log in Contributing Events – Incident Review – Enterprise Security APP

gani

Administrator

Rule: unknown with checkpoint log in Contributing Events – Incident Review – Enterprise Security APP



1617268527807.png


Cách xử lý:

Chọn dấu > để mở rộng event tìm thêm thông tin

Ở đây chúng ta có thể nhận thấy. Tại field rule được Checkpoint định nghĩa là số và tên rule thì được định nghĩa tại rule_name.

1617268537946.png


Tiếp theo, check lại field rule trong data model

1617268550919.png


Có thể nhận thấy, mặc định splunk chỉ define field rule không có rule_name. vì thế, khác với define với format log của Checkpoint

Đã tìm ra nguyên nhân, việc tiếp theo có thể giải quyết theo 2 cách:

  • Thêm eval expression filelds vào dataset trong data model như sau
1617268582687.png


  • Edit lại field rule với ý tưởng ưu tiên chọn field rule_name nếu không có tồn tại thì lấy giá trị của field rule
1617268574399.png


Tiếp theo save lại và kiểm tra (mất từ 1 – 2 phút để apply)

1617268569572.png



Ngoài ra, một số log của FW khác, file rule và rule_nam trên splunk đã đồng nhất nên không cần bị trường hợp như v
1617269981154.png


Kết quả thành công, chúc các bạn thành công.
 
Last edited:
Top