リスクリストの概要

リスクリストを使用して、イベントを関連付け、強化できます。リスクリストの各要素(IP番号、URL、ハッシュなど)には、リスクスコアと、スコアが設定された理由に関する情報があります。

対応関係

設定されたリスクリストは、Splunkサーバーにダウンロードされ、ローカルで処理されます。情報の一部は、Splunk Enterprise Securityの一部である脅威インテリジェンスフレームワークに挿入されます。このフレームワークは、外部ソース(Recorded Futureなど)からの侵害の痕跡(IOC)のリストを保持します。

イベントが適切なリストのエントリと一致すると、さらにアクションが可能なフラグが立てられます。その他のアクションの例としては、「脅威アクティビティが検出されました」ルールなどの相関検索があります。このルールに一致するイベントは、Splunk Enterprise Securityで「重要イベント」として強調表示されます。

エンリッチメント

ダウンロードされたリスクリストもルックアップテーブルとして保存されます。 Recorded FutureのSpunk Enterprise Security用アドオンには、重要なイベントを調べ、追加データが利用可能なイベントに対して新しい重要なイベントを作成する保存検索が事前設定されています。新しいイベントには、記録された将来のリスクスコアや、このリスクがIOCに割り当てられた理由の詳細などの追加情報が含まれます。

デフォルトのリスクリスト

既定では、アプリは 4 つの既定のリスクリストが事前に構成された状態で出荷されます。

IP番号
ドメイン名
URL (英語)
ハッシュ

Fusionへのアクセス権がある場合は、追加のリスクリストを定義して読み取ることができます。

リスクリストを管理する

[Configuration->Inputs] に移動します。これにより、構成されたすべての入力(リスクリストとアラート監視の両方)が表示されます。 >記号をクリックすると、リストに関する追加情報が表示されます。

[アクション]ドロップダウンでは、リストの有効化/無効化、削除、複製、編集を行うことができます。

リスクリストのダウンロードを追加または変更する

追加のリスクリストを作成するには、緑色の「Create New Input」ボタンをクリックし、「Recorded Future risk list」を選択します。

畑	意味	コメント
名前	Splunkインスタンス内のリスクリスト名。ルックアップファイルの名前は <name>.csv になります。
間	この秒数が経過すると、リストの更新がチェックされます。これは 300 に設定する必要があります。	これにより、リストがチェックされる頻度が指定されます。更新が行われるのは、リストが更新された場合のみです。
インデックス	モジュラ入力は、実行時に統計を生成します。これらが格納されるインデックスを設定します。	正しいロールの割り当てを持つインデックスを選択してください - 不明な場合は main/default のままにします。
リスク・リスト・カテゴリー	リスク・リストにデータがある要素の種類を選択します。	IP、ドメイン、ハッシュ、脆弱性、または URL
Fusion ファイル	Fusionリスクリストへのパス。リストをルックアップとして使用する場合は、非圧縮csvファイルを生成するようにFusion Flowを定義する必要があります。	定義されたFusionファイルに対応している必要があります。このフィールドを空白のままにすると、カテゴリのデフォルトのリスクリストが使用されます。

新しいリスクリストが設定されると、そのリスクリストがダウンロードされ、Splunkの脅威インテリジェンスフレームワークで利用できるようになります。通常、これは数分で行われます。完了すると、リスクリストは疑わしいIOCの検出に使用されます。

ただし、エンリッチメントを有効にするには、新しい相関検索が必要です。