超级会员免费看
1: 先看一下Splunk IDS 文档:
Splunk UBA category to Splunk CIM field mapping reference - Splunk Documentation
里面清楚的记录着哪些是必须字段:
2: 下面开始配这些字段SPL: 发现就是报如下的错:
3: 最后把tag 的字段增加:attack_ids 就可以了,
Splunk UBA 导入IDS - firesight 数据
于 2022-12-05 18:23:39 首次发布
本文档详细介绍了在Splunk UBA中导入IDS(如Firesight)数据时遇到的问题及解决方法。首先,根据官方文档确定必需字段,然后在SPL中配置这些字段,尤其需要注意在tag字段中添加'attack_ids'。在处理过程中,遇到了UBA无法识别某些字段值的错误,通过查阅官方文档和调整SPL,最终成功识别并导入数据。若事件被标记为skipped,可能需要检查Anomaly Category的值设置。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
