インストールと構成

取り付け

このアドオンをインストールするには、次の手順を実行します。

「インシデントレビュー - イベント属性」セクションの「新規エントリの追加」ボタンをクリックします。次の [ラベル] と [フィールド] の組み合わせを追加します。

インストールが完了したら、Splunkインスタンスの再起動が必要になります。
まだ行っていない場合は、「脅威アクティビティが検出されました」というエンタープライズセキュリティ相関検索を有効にします
1. 「エンタープライズ・セキュリティ」メニュー・バーで、「構成 -> Content Management」をクリックします
2. フィルターバーに「Threat Activity Detected」と入力します。
3. 「有効にする」リンクをクリックして、相関検索を有効にします
必要に応じて、インストール後の検証レポートを作成します。 "アプリの展開の検証" レポートを実行します。いくつかのテストを実行しますが、どのテストもエラーになることはありません。
1. [Dashboards]、[Reports...] -[> Reports] の順に移動します。
2. [アプリの展開の検証] を実行します。

または、Splunk Webインターフェイスの「Find more apps online」機能を使用してアドオンをダウンロードすることもできます。上記の手順 5 以降は、引き続き完了する必要があります。

インストール後、Recorded Future API と通信するために Add-on for Recorded Future を設定する必要があります。

セットアップは、アップグレード後に実行する必要があります。 APIキー(ドキュメントでは以前はトークンと呼ばれていました)は、古い構成から引き継がれません。プロキシとログレベルの構成についても同じことが言えます。

アプリのバージョン 2 と 3 では変更が大きいため、アプリディレクトリ ($SPLUNK_HOME/etc/apps/TA-recorded_future) を削除して、アプリを新規インストールすることをお勧めします。

それが不可能な場合は、以下の手順に進んでください。

次のファイルとディレクトリは、使用されなくなったため削除できます。

binフォルダから:

未来
libfuturize (ライブラリの未来化)
過去
要求
rf_integrations
rf_splunk
RFAPI (英語)
splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py

ローカルフォルダから(存在する場合):

commands.conf (コマンド・コンブ)

local/data/ui/nav フォルダー (存在する場合) から:

default.xml

ローカルフォルダ内のファイルはすべて、ローカル設定の結果です。これらは、アプリに付属する新しい設定よりも優先されます。ローカルフォルダ内の各ファイルの違いを、デフォルトフォルダ内の新しいデフォルトと比較して確認し、必要に応じて調整します。

特に、savedsearches.conf での相関検索は、実施されている場合、問題を引き起こす可能性があります。