Splunk Rule: unknown with checkpoint log in Contributing Events – Incident Review – Enterprise Security APP

gani

Internship/Fresher
Staff member
Jun 22, 2019
67
18
8
HCM city

Rule: unknown with checkpoint log in Contributing Events – Incident Review – Enterprise Security APP



1617268527807.png


Cách xử lý:

Chọn dấu > để mở rộng event tìm thêm thông tin

Ở đây chúng ta có thể nhận thấy. Tại field rule được Checkpoint định nghĩa là số và tên rule thì được định nghĩa tại rule_name.

1617268537946.png


Tiếp theo, check lại field rule trong data model

1617268550919.png


Có thể nhận thấy, mặc định splunk chỉ define field rule không có rule_name. vì thế, khác với define với format log của Checkpoint

Đã tìm ra nguyên nhân, việc tiếp theo có thể giải quyết theo 2 cách:

  • Thêm eval expression filelds vào dataset trong data model như sau
1617268582687.png


  • Edit lại field rule với ý tưởng ưu tiên chọn field rule_name nếu không có tồn tại thì lấy giá trị của field rule
1617268574399.png


Tiếp theo save lại và kiểm tra (mất từ 1 – 2 phút để apply)

1617268569572.png



Ngoài ra, một số log của FW khác, file rule và rule_nam trên splunk đã đồng nhất nên không cần bị trường hợp như v
1617269981154.png


Kết quả thành công, chúc các bạn thành công.
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu