为Splunk设置InsightConnect应用程序
Splunk应用程序允许您根据配置的警报触发InsightConnect工作流程。
要为Splunk设置InsightConnect应用程序,您需要:
使用API触发创建工作流程
要设置Splunk应用程序要将数据发送到Insight Connect,您需要使用API触发创建新的工作流程。配置API触发器后,它将显示生成的URL,如:https://us.api.insight.rapid7.com/connect/v1/workflows/25ffe298-20b2-4bbb-995d-1222218214a17/events/execute.。您需要复制URL,因为您稍后需要它。
配置API触发器后,您可以根据需要配置其余工作流程步骤。请记住,您已配置的API触发需要具有其输出定义的输出,这可能会根据配置SPLUNK实例的方式而更改。
为简化此体验,我们包含了一个Starter InsightConnect工作流,您可以导入包含具有定义输出的已配置的API触发器。
生成Insight API键
配置了工作流程后,您需要生成并复制API密钥。您需要在将警报从Splunk设置为InsightConnect时稍后复制和提供。
设置并将警报发送到InsightConnect从Splunk
此时,您已在InsightConnect中完成所有必要的步骤。您现在需要访问Splunk实例以继续设置InsightConnect应用程序为Splunk提供的警报。
要设置并将警报从Splunk设置为InsightConnect:
- 打开搜索和报告应用程序。
- 创建搜索,单击**另存为按钮并选择“警报”。
- 根据需要配置警报。完成后,单击“添加操作”并选择“发送到Rapid7 InsightConnect”。
- 在“触发URL”字段中,从API触发输入“生成的URL”。
- 在“X-API-Key”字段中,输入您之前生成的Insight API密钥。
- 保存更改。现在将从您的Splunk实例发送给您之前配置的InsightConnect工作流程。
这个页面对你有帮助吗?