Splunk ES TAのインストールと設定

インストールと構成

取り付け

このアドオンをインストールするには、次の手順を実行します。

  1. Splunkbaseから最新のTAリリースをダウンロード

  2. In Splunk, select "Manage Apps" from the drop-down menu next to the Splunk logo on the upper left of the screen

  3. 「ファイルからアプリをインストール」を選択します

  4. Browse to the location of the TA-recorded_future.spl file, select it and upload. Restart Splunk when prompted to do so.

  5. Go back to "Manage Apps". Locate "Splunk ES Add-on for Recorded Future" in the list and run "Set up".

  6. In the Enterprise Security menu bar, click Configure -> Incident Management -> Incident Review Settings.

  7. Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field combinations:

    ラベル
    RF リスク スコア rf_a_risk
    RF トリガー ルール rf_b_rules
    RF 非常に悪意のある証拠 rf_evidence_critical
    RF 悪意のある証拠 rf_evidence_malicious
    RF 不審な証拠 rf_evidence_suspicious
    RF の異常な証拠 rf_evidence_unusual

  8. A restart of the Splunk instance will be required once the installation has completed.

  9. If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"

    1. In the Enterprise Security menu bar, click Configure -> Content Management
    2. フィルター バーに「Threat Activity Detected」と入力します。
    3. 「有効にする」リンクをクリックして、相関検索を有効にします

  10. Optionally, create a post install verification report. Run the "Validate app deployment" report. It will perform a number of tests, none of which should yield an error.

    1. [Dashboards]、[Reports...] -[> Reports] の順に移動します。
    2. [アプリの展開の検証] を実行します。

Alternatively, you can download the Add-on using the Splunk Web interface's "Find more apps online" feature. Steps 5 and onwards above must still be completed.

構成

After installation, you will need to set up the Add-on for Recorded Future to communicate with the Recorded Future API.

  1. [Configuration (設定)] - [> Configuration (設定)] に移動します。
  2. 「アドオン設定」タブを選択します。
  3. APIキーを入力します。
  4. 追加の構成が必要な場合は、他のタブを確認します。

Upgrading from previous versions

The setup needs to be run after the upgrade. The API key (previously called token in our documentation) will not carry over from the old configuration. The same goes for proxy and loglevel configurations.

Upgrade from 3.x versions

Due to the extent of the changes between version 2 and 3 of the app we recommend that you remove the app directory ($SPLUNK_HOME/etc/apps/TA-recorded_future) and make a fresh install of the app.

それが不可能な場合は、以下の手順に進んでください。

Files and directories that can be removed

The following files and directories can be removed since they are not used anymore:

binフォルダから: 

未来
libfuturize (ライブラリの未来化)
過去
要求
rf_integrations
rf_splunk
RFAPI (英語)
splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py

ローカルフォルダから(存在する場合): 

commands.conf (コマンド・コンブ)

local/data/ui/nav フォルダー (存在する場合) から: 

default.xml

Files that must be reviewed

ローカルフォルダ内のファイルはすべて、ローカル設定の結果です。これらは、アプリに付属する新しい設定よりも優先されます。 ローカルフォルダ内の各ファイルの違いを、デフォルトフォルダ内の新しいデフォルトと比較して確認し、必要に応じて調整します。

In particular correlation searches in savedsearches.conf are likely to cause issues if in place.