Splunk Enterprise Securityのセットアップ

このアプリには、Splunk Enterprise Securityのサポートが組み込まれています。 このサポートは、アプリがSplunk ESと一緒に検索ヘッドにインストールされている場合に利用できます。

Splunk ES の機能を使用するために必要な手順

Splunk ES サポートを有効にする

[Recorded Future for Splunk]メニューで、[Configure]を選択します。 Splunk ES のサポートを有効にするスイッチが有効になっていることを確認します。

Splunk ESで必要な設定

Splunk ESの全機能を使用するには、Splunk Enterprise Securityでいくつかの設定を行う必要があります。

• 「エンタープライズ・セキュリティ」メニュー・バーで、「インシデント管理の構成」→インシデント・レビュー設定→をクリックします。
• 「インシデントレビュー - イベント属性」セクションの「新規エントリの追加」ボタンをクリックします。 次のラベルとフィールドの組み合わせを追加します。

ラベル	畑
RF リスク スコア	rf_a_risk
RF トリガー ルール	rf_b_rules
RF 非常に悪意のある証拠	rf_evidence_critical
RF 悪意のある証拠	rf_evidence_malicious
RF 不審な証拠	rf_evidence_suspicious
RF の異常な証拠	rf_evidence_unusual

• インストールが完了したら、Splunkインスタンスの再起動が必要になります。
• まだ行っていない場合は、「脅威アクティビティが検出されました」というエンタープライズセキュリティ相関検索を有効にします
  1. [Enterprise Security] メニュー バーで、[→ Content Management の構成] をクリックします
  2. フィルター バーに「Threat Activity Detected」と入力します。
  3. 「有効にする」リンクをクリックして、相関検索を有効にします

検出されたイベントのエンリッチメント

Splunk ESは、組み込みの脅威インテリジェンスフレームワークを使用して不審なイベントを検出します。 Recorded Futureは、このフレームワークを活用して、疑わしいイベントの検出を実行します。

ただし、イベントが検出されたら、トリアージを効率的にするためにイベントを強化する必要があります。 これは、次の 2 つの方法で実行できます。

1. Recorded Futureのリスクリストからイベントにデータを追加する保存済み検索を使用します。
2. 提供されたアダプティブ・レスポンス・アクションを使用する。 このメソッドは、Recorded Future の API にクエリを実行して、最新の情報を取得します。

それぞれのメソッドを有効にする方法については、以下を参照してください。

エンリッチメントを実行するための保存済み検索

既定では、アプリは 4 つの保存済み検索を有効にし、互換性のある重要なイベントのエンリッチメントを実行します。 Adaptive Response ベースのエンリッチメントに切り替えるために必要な手順については、以下を参照してください。

エンリッチメントを実行するための適応応答 (AR)

アダプティブレスポンス(AR)を有効にするには、次の手順を実行する必要があります。

• 重要なイベントを充実させる検索をオフにします。
  1. →コンテンツ管理の設定に移動
  2. 「RF IP 脅威リスト検索」、「RF ドメイン脅威リスト検索」、および「RF ハッシュ脅威リスト検索」を無効にします (アプリ フィルターを使用すると見つけやすくなりますが、必須ではありません)。
• 「脅威アクティビティが検出されました」をクリックして設定を開きます。
  1. 「Adaptive Response Action」の横の「Add New Response Action」をクリックします。
  2. Recorded Futureのアクションを選択します
  3. デフォルトの「自動」選択のままにします。
• [保存]をクリックします

Adaptive Responseのアドホック呼び出し

Adaptive Responseのアドホックな呼び出しは、インシデントレビューダッシュボードから行うことができます。 この方法でアダプティブ・レスポンスを呼び出すユーザーには、その list_storage_passwords 機能が必要です。