[これは、Recorded Future App for Splunk Enterpriseのv4.0.x用です]

アプリをダウンロード

Splunk Enterprise 向けの Recorded Future アプリの最新バージョンは、 splunkbase で入手できます。

アプリの初期設定

アプリがSplunkサーバーにインストールされると、アプリの初期セットアップはConfiguration->Global configurationで行われます。

「構成」ビューには、「プロキシー」、「ログ」、「アドオン設定」の 3 つのペインがあります。

SplunkアプリでAPIキー、プロキシ設定、API URLを表示および設定するには、ユーザーが「list_storage_passwords」機能を備えている必要があります。 ログレベルを変更できるようにするには、ユーザーは機能「admin_all_objects」が必要です。

アプリを動作させるには、API キーを [アドオン設定] ペインで設定する必要があります。

プロキシ

Splunkサーバーがプロキシを使用してインターネットにアクセスする場合は、ここで設定する必要があります。 プロキシを使用しない場合は、[有効] チェックボックスをオフのままにします。

ホストとポートは必ず設定する必要があります。 プロキシが認証を必要とする場合は、ユーザー名とパスワードをここで設定する必要があります。 認証を使用しない場合、これらのフィールドは空のままにする必要があります。

伐採

追加のログ記録が必要な場合は、ここでログレベルを調整できます。

推奨されるログレベルは INFO です。

統合は、標準のSplunkログディレクトリ($SPLUNK_HOME/var/log/splunk)に記録されます。 次のログ ファイルが作成されます (アプリの構成と使用状況によっては、すべてが存在しない場合があります)。

• ta_recordedfuture_cyber_recorded_future_risk_list.log
• ta_recordedfuture_cyber_recorded_future_alerts.log
• ta_recordedfuture_cyber_rest.log

これらのファイルに記録されたイベントは、Splunkサーバー上のファイルとして、またはSplunk GUIを介して表示できます。

検索の例:

index=_* source="/opt/splunk/var/log/splunk/ta_recordedfuture_cyber_recorded_future_alerts.log"

アドオン設定

アプリの適切な動作に必要な Recorded Future API キーが [Api key] フィールドに入力されます。

まれに、Recorded Future API の URL を変更する必要がある場合があります。 Recorded Future サポートから指示された場合は、URL を Recorded Future Api URL フィールドに入力する必要があります。

さらにヘルプ

Recorded Future Intelligence Servicesのコンサルタントが、追加の質問やアドバイスを喜んでお手伝いします。 それが誰であるかわからない場合は、[ email protected]に連絡することもできます。

「Recorded Future for Splunk Enterprise」についてSplunkサポートに問い合わせないでください。