Splunk ES에서 설정을 위한 추가 정보

Splunk 엔터프라이즈 보안 설정

The app has built-in support for Splunk Enterprise Security. The support is available when the app is installed on a search head together with Splunk ES.

Splunk ES 기능을 사용하기 위해 필요한 단계

Splunk ES 지원 사용

In the Recorded Future for Splunk menu, select Configure. Ensure that the switch to enable support for Splunk ES is enabled.

Splunk ES 내 필수 구성

To be able to use the full features of Splunk ES functionality, some configuration has to be done in Splunk Enterprise Security.

  • In the Enterprise Security menu bar, click Configure → Incident Management → Incident Review Settings.
  • Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field Combinations:
라벨 필드
RF 위험 점수 RF_A_RISK
RF 트리거 규칙 RF_B_RULES
RF 매우 악의적인 증거 RF_EVIDENCE_CRITICAL
RF 악성 증거 rf_evidence_malicious
RF 의심스러운 증거 rf_evidence_suspicious
RF 비정상적인 증거 rf_evidence_unusual
  • A restart of the Splunk instance will be required once the installation has completed.
  • If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"
    1. 엔터프라이즈 보안 메뉴 모음에서 구성 → 콘텐츠 관리를 클릭합니다.
    2. 필터 표시줄에 "위협 활동 감지됨을 입력합니다."
    3. 상관관계 검색을 활성화하려면 '사용' 링크를 클릭합니다.

탐지된 이벤트 강화

Splunk ES detects suspicious events using it's built-in Threat Intelligence framework. Recorded Future leverages the framework to perform detection of suspicious events.

Once an event has been detected it is however necessary to enrich it to make triage efficient. This can be done in two ways:

  1. Using saved searches which adds data from Recorded Future's Risk Lists to the events.
  2. Using the provided Adaptive Response action. This method makes a query to Recorded Future's API to fetch up-to-date information.

각 방법을 활성화하는 방법에 대한 지침은 아래를 참조하세요.

강화 수행을 위한 저장된 검색어

By default the app will enable four saved searches that will perform the enrichment of any compatible notable events. See below for the steps needed to switch to Adaptive Response based Enrichment.

증강을 수행하는 적응형 응답(AR)

AR(적응형 응답)을 활성화하려면 다음 단계를 수행해야 합니다:

  • 주목할 만한 이벤트를 강화하는 검색 기능을 끄세요:
    1. 구성 → 콘텐츠 관리로 이동합니다.
    2. Disable "RF IP Threatlist Search", "RF Domain Threatlist Search" and "RF Hash Threatlist Search" (easier to find if you use the app filter, but not necessary).
  • "위협 활동 감지됨" 을 클릭하여 설정을 엽니다.
    1. "적응형 응답 조치" 옆에 있는 "새 응답 조치 추가를 클릭합니다."
    2. 기록된 미래의 작업을 선택합니다.
    3. 기본값 그대로 두기 "자동" 선택.
  • 저장을 클릭합니다.

적응형 응답 애드혹 호출

인시던트 검토 대시보드에서 적응형 대응을 임시로 호출할 수 있습니다. 이러한 방식으로 적응형 응답을 호출하는 사용자에게는 list_storage_passwords 기능이 있어야 합니다.