Splunkで記録された将来のエンリッチメントデータへのピボット

これらの手順では、Splunkの任意のイベントからエンリッチメントデータに簡単にピボットするためのワークフローアクションを追加する方法を示します。 ここでは、 Recorded FutureのSplunk Enterprise統合がすでにインストールされていることを前提としています。

 

これはSplunkの検索アプリ内の一般的なイベントビューですが、使用できるアクションは限られています。

情報を付加するフィールドをメモしておくことが重要です。 この場合、ネットワークから発信されるファイアウォールを通過するトラフィックの宛先ポイントであるため、「dst」を使用します。 

ステップ1:Splunk検索ヘッドの[設定]>[フィールド]に移動します。

 

ステップ2。[ワークフロー アクション] の右側にある [新規追加] を選択します。

 

ステップ3。移行先のアプリを「TA_recordedfuture-cyber」として選択します 。 注:他のアプリを移行先として選択することもできますが、これは組織のみに、および可能なロールベースのアクセス制御にのみお勧めします。

ステップ4.ワークフローアクションの一意の名前を選択します。

ステップ5.ワークフローアクションのラベルを選択します。 注:このフィールドで変数($dst$)を使用して、メニューに「RF Enrich IPADDRESS(この例では使用)」と表示したり、「RF destination enrichment」などの静的な値を使用したりできます

ステップ6.エンリッチメントするフィールドを選択します。

ステップ7.特定のイベントタイプに制限する場合はここに入力し、そうでない場合は空白のままにします。 注:通常、イベントタイプはTAまたはアプリの一部として定義され、イベントタイプは任意の検索で作成できます。 例:検索文字列「index=extfws sourcetype=netscreen:firewall action=allowed」を使用してfwacceptsという名前のイベントタイプを作成すると、他のデバイスからのトラフィックやファイアウォールからのドロップされたトラフィックに対してワークフローが表示されないように制限できます。

ステップ 8.ドロップダウンメニューで「両方にアクションを表示」を選択し、リンクのアクションタイプを選択します。

ステップ9.「http://yoursearchhead.company.com/en-US/app/TA_recordedfuture-cyber/recorded_future_ip_enrichment?form.name=$dst$」と入力します。 を URI (yoursearchhead.company.com は Splunk Search Head の DNS 名) に挿入します。 注:末尾を、選択したフィールド「$dst」の変数名に置き換えています。

ステップ 10. ドロップダウンメニューで「新しいウィンドウへのリンクを開く」を選択し、「メソッドを「取得」にリンクするを選択します。

ステップ 11. 右下隅にある「保存」を選択して、ワークフローアクションを保存します。

 

新しいワークフローアクションが保存されると、Recorded Future App内でのみ非公開に設定されます。

ステップ 12.[ワークフロー アクション] の右側にある [アクセス許可] を選択します。

ステップ 13. [すべてのアプリ] を選択して、他の Splunk アプリからのピボットを有効にし、ワークフロー アクションに適切な [ロールのアクセス許可] を有効にして、[保存] を選択します。

 

ステップ 14.イベントを選択します(権限がグローバルに設定されている場合は、どのアプリでも)。 これで、イベントメニューからワークフローアクションが使用可能になります。

アクションを選択すると、エンティティエンリッチメントダッシュボードを含む新しいウィンドウ/タブが表示されます。

ご不明な点やサポートが必要な場合は、[email protected]までご連絡ください。