Splunk ES TA 설치 및 구성

설치 및 구성

설치

이 애드온을 설치하려면 다음 단계를 수행하세요:

  1. Splunkbase에서최신 TA 릴리스 다운로드

  2. In Splunk, select "Manage Apps" from the drop-down menu next to the Splunk logo on the upper left of the screen

  3. "파일에서 앱 설치"

  4. Browse to the location of the TA-recorded_future.spl file, select it and upload. Restart Splunk when prompted to do so.

  5. Go back to "Manage Apps". Locate "Splunk ES Add-on for Recorded Future" in the list and run "Set up".

  6. In the Enterprise Security menu bar, click Configure -> Incident Management -> Incident Review Settings.

  7. Click the button 'Add new entry' in the "Incident Review - Event Attributes" section. Add the following Label and Field combinations:

    라벨 필드
    RF 위험 점수 RF_A_RISK
    RF 트리거 규칙 RF_B_RULES
    RF 매우 악의적인 증거 RF_EVIDENCE_CRITICAL
    RF 악성 증거 rf_evidence_malicious
    RF 의심스러운 증거 rf_evidence_suspicious
    RF 비정상적인 증거 rf_evidence_unusual

  8. A restart of the Splunk instance will be required once the installation has completed.

  9. If you haven't already done so, enable the Enterprise Security correlation search called "Threat Activity Detected"

    1. In the Enterprise Security menu bar, click Configure -> Content Management
    2. 필터 표시줄에 "위협 활동 감지됨을 입력합니다."
    3. 상관관계 검색을 활성화하려면 '사용' 링크를 클릭합니다.

  10. Optionally, create a post install verification report. Run the "Validate app deployment" report. It will perform a number of tests, none of which should yield an error.

    1. 대시보드, 보고서...로 이동합니다. -> 보고서로 이동합니다.
    2. 앱 배포 유효성 검사를 실행합니다.

Alternatively, you can download the Add-on using the Splunk Web interface's "Find more apps online" feature. Steps 5 and onwards above must still be completed.

구성

After installation, you will need to set up the Add-on for Recorded Future to communicate with the Recorded Future API.

  1. 구성 -> 구성으로 이동합니다.
  2. 애드온 설정 탭을 선택합니다.
  3. API 키를 입력합니다.
  4. 추가 구성이 필요한 경우 다른 탭을 검토하세요.

Upgrading from previous versions

The setup needs to be run after the upgrade. The API key (previously called token in our documentation) will not carry over from the old configuration. The same goes for proxy and loglevel configurations.

Upgrade from 3.x versions

Due to the extent of the changes between version 2 and 3 of the app we recommend that you remove the app directory ($SPLUNK_HOME/etc/apps/TA-recorded_future) and make a fresh install of the app.

이것이 가능하지 않은 경우 아래 지침을 따르세요.

Files and directories that can be removed

The following files and directories can be removed since they are not used anymore:

휴지통 폴더에서: 

future
libfuturize
past
requests
rf_integrations
rf_splunk
rfapi
splunklib
get-rf-threatlists.py
rf_es_setup.py
verify_rf_app.py

로컬 폴더에서(있는 경우): 

commands.conf

local/data/ui/nav 폴더(있는 경우)에서: 

default.xml

Files that must be reviewed

로컬 폴더에 있는 모든 파일은 로컬 구성의 결과입니다. 이러한 설정은 앱과 함께 제공되는 새 설정보다 우선합니다. 기본 폴더의 새 기본값과 로컬 폴더의 각 파일의 차이점을 검토하고 필요한 경우 조정합니다.

In particular correlation searches in savedsearches.conf are likely to cause issues if in place.