アラートAPIを使用してSplunkで記録された将来のアラートを表示する
はじめに
2018年に導入された新しい Alert API により、クライアントはRecorded Futureアラートにプログラムでアクセスできるようになりました。 このサポートページでは、SplunkインテグレーションクライアントがAlert APIを使用してアラートをSplunkに組み込む方法について概説します。 アラートAPIの使用方法の一般的な概要については、この サポートページを確認してください。
このアドオン機能は、Recorded Futureの(コア)Splunk Enterprise Integration Application(https://splunkbase.splunk.com/app/2629/ 参照)の3.xバージョンがインストールされていることを前提としています。 また、本連携アプリケーションのv4.x(2018年9月リリース)では、「アラート」ダッシュボードが標準パッケージに組み込まれます。
基本的な手順
- alerts.py ファイルは、Recorded Future Appのbinディレクトリに配置する必要があります。
- ファイルをsplunk:splunkにchownする必要があるかもしれません
- 755にchmodファイルする必要があるかもしれません
- .confファイルは、Recorded Futureアプリのローカルディレクトリに配置する必要があります。
- ファイルを splunk:splunk に chown する必要があるかもしれません
- Splunkのホームディレクトリが/opt/splunk/でない場合は、ファイルのパスを調整する必要があります。
- xml ファイルを Recorded Future App の local/data/ui/views ディレクトリにコピーします。
- ファイルを splunk:splunk に chown する必要があるかもしれません
- アクセス権限の調整、グローバルビューの設定(すべてのアプリ、すべてのユーザーの読み取り、管理者の書き込み)が必要になる場合があります
- アプリでの表示のためにデフォルトのナビゲーションに追加する必要があります
スクリプトはkvストアに保存されているAPIキーを取得する必要があり、何も入力する必要はありません。セットアップまたは構成中に問題が発生した場合は、アカウントチームを通じてリモートセッションをスケジュールしてください。APIキーのユーザーは、APIからアラートを取得するために、アラートを共有している必要があります。