설치 및 구성
설치
이 애드온을 설치하려면 다음 단계를 수행하세요:
-
Splunkbase에서최신 TA 릴리스 다운로드
-
Splunk에서 화면 왼쪽 상단의 Splunk 로고 옆에 있는 드롭다운 메뉴에서 "앱 관리" 를 선택합니다.
-
"파일에서 앱 설치"
-
TA-recorded_future.spl 파일의 위치를 찾아서 선택한 후 업로드합니다. 메시지가 표시되면 Splunk를 다시 시작합니다.
-
"앱 관리" 로 돌아갑니다. 목록에서 "기록된 미래를 위한 Splunk ES 애드온" 을 찾아 실행하고 "설정".
-
엔터프라이즈 보안 메뉴 모음에서 구성 -> 인시던트 관리 -> 인시던트 검토 설정을 클릭합니다.
-
"인시던트 검토 - 이벤트 속성" 섹션에서 '새 항목 추가' 버튼을 클릭합니다. 다음 레이블 및 필드 조합을 추가합니다:
라벨 필드 RF 위험 점수 RF_A_RISK RF 트리거 규칙 RF_B_RULES RF 매우 악의적인 증거 RF_EVIDENCE_CRITICAL RF 악성 증거 rf_evidence_malicious RF 의심스러운 증거 rf_evidence_suspicious RF 비정상적인 증거 rf_evidence_unusual -
설치가 완료되면 Splunk 인스턴스를 다시 시작해야 합니다.
-
아직 사용하지 않았다면 "위협 활동 감지됨이라는 엔터프라이즈 보안 상관관계 검색을 사용 설정하세요."
- 엔터프라이즈 보안 메뉴 모음에서 구성 -> 콘텐츠 관리를 클릭합니다.
- 필터 표시줄에 "위협 활동 감지됨을 입력합니다."
- 상관관계 검색을 활성화하려면 '사용' 링크를 클릭합니다.
-
선택 사항으로 설치 후 확인 보고서를 작성합니다. "앱 배포 유효성 검사" 보고서를 실행합니다. 여러 가지 테스트를 수행하며, 그 중 어느 테스트에서도 오류가 발생해서는 안 됩니다.
- 대시보드, 보고서...로 이동합니다. -> 보고서로 이동합니다.
- 앱 배포 유효성 검사를 실행합니다.
또는 Splunk 웹 인터페이스의 "온라인에서 더 많은 앱 찾기" 기능을 사용하여 애드온을 다운로드할 수 있습니다. 위의 5단계 이상은 반드시 완료해야 합니다.
구성
설치 후 Recorded Future용 애드온을 설정해야 Recorded Future API와 통신할 수 있습니다.
- 구성 -> 구성으로 이동합니다.
- 애드온 설정 탭을 선택합니다.
- API 키를 입력합니다.
- 추가 구성이 필요한 경우 다른 탭을 검토하세요.
이전 버전에서 업그레이드하기
업그레이드 후 설정을 실행해야 합니다. API 키(이전에는 문서에서 토큰이라고 함)는 이전 구성에서 이월되지 않습니다. 프록시 및 로글 레벨 구성도 마찬가지입니다.
3.x 버전에서 업그레이드
앱 버전 2와 3 사이의 변경 사항이 많으므로 앱 디렉토리($SPLUNK_HOME/등/앱스/TA-recorded_future)를 삭제하고 앱을 새로 설치하는 것이 좋습니다.
이것이 가능하지 않은 경우 아래 지침을 따르세요.
제거할 수 있는 파일 및 디렉터리
다음 파일과 디렉토리는 더 이상 사용하지 않으므로 제거할 수 있습니다:
휴지통 폴더에서:
future
libfuturize
past
requests
rf_integrations
rf_splunk
rfapi
splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py
로컬 폴더에서(있는 경우):
commands.conf
local/data/ui/nav 폴더(있는 경우)에서:
default.xml
검토해야 하는 파일
로컬 폴더에 있는 모든 파일은 로컬 구성의 결과입니다. 이러한 설정은 앱과 함께 제공되는 새 설정보다 우선합니다. 기본 폴더의 새 기본값과 로컬 폴더의 각 파일의 차이점을 검토하고 필요한 경우 조정합니다.
특히 저장검색.conf의 상관관계 검색은 제자리에 있으면 문제를 일으킬 가능성이 높습니다.