Splunk ES でのセットアップに関する追加情報

Splunk Enterprise Securityのセットアップ

The app has built-in support for Splunk Enterprise Security. The support is available when the app is installed on a search head together with Splunk ES.

Splunk ES の機能を使用するために必要な手順

Splunk ES サポートを有効にする

In the Recorded Future for Splunk menu, select Configure. Ensure that the switch to enable support for Splunk ES is enabled.

Splunk ESで必要な設定

To be able to use the full features of Splunk ES functionality, some configuration has to be done in Splunk Enterprise Security.

In the Enterprise Security menu bar, click Configure → Incident Management → Incident Review Settings.
Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field Combinations:

ラベル	畑
RF リスクスコア	rf_a_risk
RF トリガールール	rf_b_rules
RF 非常に悪意のある証拠	rf_evidence_critical
RF 悪意のある証拠	rf_evidence_malicious
RF 不審な証拠	rf_evidence_suspicious
RF の異常な証拠	rf_evidence_unusual

A restart of the Splunk instance will be required once the installation has completed.
If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"
1. [Enterprise Security] メニューバーで、[→ Content Management の構成] をクリックします
2. フィルターバーに「Threat Activity Detected」と入力します。
3. 「有効にする」リンクをクリックして、相関検索を有効にします

検出されたイベントのエンリッチメント

Splunk ES detects suspicious events using it's built-in Threat Intelligence framework. Recorded Future leverages the framework to perform detection of suspicious events.

Once an event has been detected it is however necessary to enrich it to make triage efficient. This can be done in two ways:

Using saved searches which adds data from Recorded Future's Risk Lists to the events.
Using the provided Adaptive Response action. This method makes a query to Recorded Future's API to fetch up-to-date information.

それぞれのメソッドを有効にする方法については、以下を参照してください。

エンリッチメントを実行するための保存済み検索

By default the app will enable four saved searches that will perform the enrichment of any compatible notable events. See below for the steps needed to switch to Adaptive Response based Enrichment.

エンリッチメントを実行するための適応応答 (AR)

アダプティブレスポンス(AR)を有効にするには、次の手順を実行する必要があります。

重要なイベントを充実させる検索をオフにします。
1. →コンテンツ管理の設定に移動
2. Disable "RF IP Threatlist Search", "RF Domain Threatlist Search" and "RF Hash Threatlist Search" (easier to find if you use the app filter, but not necessary).
「脅威アクティビティが検出されました」をクリックして設定を開きます。
1. 「Adaptive Response Action」の横の「Add New Response Action」をクリックします。
2. Recorded Futureのアクションを選択します
3. デフォルトの「自動」選択のままにします。
[保存]をクリックします

Adaptive Responseのアドホック呼び出し

Adaptive Responseのアドホックな呼び出しは、インシデントレビューダッシュボードから行うことができます。この方法でアダプティブ・レスポンスを呼び出すユーザーには、その list_storage_passwords 機能が必要です。

プラットフォームの機能

製品

ユースケース

チーム

業種

サービス

ロシアと連携しているTAG-110は、Wordマクロ有効文書でタジキスタンを標的化

米中AI格差の評価

TerraStealerV2とTerraLogger：Golden Chickensの新しいマルウェアファミリーを発見

何が重要かを知る

お客様向け

パートナー向け