グローバルマップのカスタマイズ

グローバルマップには、ファイアウォールのログと記録された将来のリスクリストを関連付ける際に、一致するすべてのIPアドレスの地理的位置が表示されます。

ローカル・ソース・タイプへの適応

検索文の項目名を同時に変更する限り、ソースタイプを変更することができます。

    sourcetype=netscreen:firewall earliest=-24h
    |eval 名前=dst
    |eval 時間=start_time
    |ルックアップ default_ip_risklist.csv 名前 OUTPUT Risk, RiskString, EvidenceDetails
    |search Risk != ""
    |eval RiskScore = リスク
    |eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.ルール")
    |eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString")
    |search Risk != ""
    |iplocation 名前
    |フィールド + 名前、リスク、緯度、経度、市区町村、国
    |Geostats Count latfield=lat longfield=lon (英語)

検索は、ローカル設定に合わせて調整できます。 最も一般的な変更は、検索の最初の 4 行に関するものです。

• 値 netscreen:firewall は、ファイアウォールログのソースタイプと一致する必要があります。
• eval Name=dst ステートメントは、ファイアウォール ログの宛先 IP アドレスのフィールド名と一致する必要があります
• ルックアップdefault_ip_risklist.csvは、ファイアウォールログを関連付けるリスクリストの名前と一致する必要があります

別のマップウィジェットによるカスタマイズ

マップのスタイルは、leaflet_maps_appなどのビジュアライゼーションを含む追加のSplunkアプリをインストールすることで変更できます。 ダッシュボードの [ 編集 ] をクリックします。

マップの新しいテーマを選択するには、 ビジュアリゼーションの選択をクリックします。

これは、リーフレットのテーマ内でマップがどのように表示されるかです。

これは標準のSplunkマップです。

アクティブな脅威

最初の行には、次のデフォルトのリスクリストの各カテゴリの現在のサイズが表示されます。

• IPアドレス
• ドメイン
• ハッシュ
• 脆弱性
• URL (英語)

マップは、場所に基づいてリスクリスト内のIPアドレスを照合し、上位10の国を円グラフで表示し、相関イベントによって最も多くトリガーされたエンティティごとの上位10のリスクルールを表示します。

さらにヘルプ

「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。

詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com