Splunk Explorerダッシュボード
Splunk Explorer ダッシュボードは、[ Other → Splunk Explorer Dashboard] の下にあります。 これは、記録された将来のリスクリストとSplunkイベントのサブセットとの間の迅速な相関関係を実行するように設計されています。 ダッシュボードは、 REST 呼び出しを使用して、Splunkアプリ内のルックアップフォルダで使用可能なすべての ルックアップ ファイルを検索します。
新しい相関関係を実行するには、次のようにします。
- 最初のドロップダウンメニューでリスクリストを選択します。
- ローカルインストールで指定されている使用可能なソースタイプを2番目のドロップダウンメニューで1つ選択します。
- 3番目のドロップダウンメニューに含まれるフィールドは、ソースタイプによって異なります。 フィールドが選択されると、相関関係が自動的に開始されます。
以下のパネルは、相関の結果を示しています。
- 「現在のエンティティ・リスク・リスト・サイズ 」には、選択したリスク・リスト内の項目数が表示されます。
- [Events with the Selected Values] には、過去 36 時間に選択したソースタイプとフィールドを含む Splunk のイベントの数が表示されます。
- [Recorded Future Match Count of Selected Values ] には、選択したフィールドがリスク リストの 1 つの項目と一致するイベントの数が含まれます。
- 「最もアクティブな選択値 」には、選択したフィールドおよびソース・タイプで最も頻繁に発生する値が表示されます。
- 「Recorded Future Matches Details of Selected Values 」には、リスク・リストからの情報で強化された相関一致が表示されます。
以下は、IPアドレスリスクリストとファイアウォールログ/dstをソースタイプ/フィールドとして組み合わせたSplunk Explorerダッシュボードのスクリーンショットの例です(dstは通常、宛先IPアドレスを表します)。
Splunk Explorerダッシュボードの例
さらにヘルプ
「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。
詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com