適応と調整: ダッシュボードの適応

更新 2025年11月18日 15:08

[これは Splunk Enterprise の Recorded Future アプリの v4.0.x 用です]

ダッシュボードを適応させる

相関ダッシュボードなどの一部のダッシュボードは、ニーズに合わせて簡単に変更できます。情報ソースコードを編集する前に、既存のダッシュボードを複製することをお勧めします。

ダッシュボードの複製

既存のダッシュボードを複製するには、右上隅にある 3 つのドットをクリックし、複製を選択します。

ダッシュボードの新しいタイトルと名前を入力し、「ダッシュボードの複製」をクリックしてから「編集」をクリックします。プライベート権限とクローン権限の違いは、ダッシュボードに現在のユーザーのみがアクセスできるか、すべてのユーザーがアクセスできるかです。

これで、新しいダッシュボードの編集ビューに入りました。

カスタマイズ

最も一般的なタスクは、相関させるデータを変更することです。これを行うには、[情報ソース] ボタンをクリックしてダッシュボードの情報ソースXMLを表示します。相関ダッシュボードで最も重要な 3 つのフィールドは、以下の画像で強調表示されているものです。

最初のオプションでは、Splunk Enterprise サーバー上のログのソースタイプを選択します。2 番目は、一致させる情報を含むフィールドの名前です。この画像では、通常ログ内の宛先 IP アドレスが含まれる「dst」フィールドを照合しています。3 番目は、データを相関させる参照テーブルの名前であり、通常はこの Splunk アプリの入力セクションで構成された脅威リストに対応します。Splunk データとリスクリストを相関させる適切な方法を見つける簡単な方法は、 Splunk Explorer ダッシュボードを使用することです。

データ構造

IP アドレス脅威リストの形式は次のとおりです。

名前、リスク、リスク文字列、証拠の詳細
46.18.32.101,66.0,2/47,"{""証拠の詳細"":[ {""Timestamp"":""2016-11-02T16:26:00.000Z"",""Criticality"":1,""Rule"":""Historical Multicategory Blacklist"",""CriticalityLabel"":""Unusual"",""EvidenceString"":""1 sighting on 1 source: hpHosts Latest Additions. Most recent link (Nov 2, 2016): hxxp://hosts-file.net/?s=doggytalk.be"",""MitigationString"":""""} , {""Timestamp"":""2018-04-15T12:34:28.869Z"",""Criticality"":3,""Rule"":""Phishing Host"",""CriticalityLabel"":""Malicious"",""EvidenceString"":""1 sighting on 1 source: PhishTank: Phishing Reports (verified phish). IP Address reported as host of 1 active phishing URL: hxxp://letiz.be/uploads/bnz.html."",""MitigationString"":""""} ]}"

形式は標準のCSVで、一致させる列は「名前」です。これは、デフォルトのすべてのRecorded Futureリスクリストで同じです。ここでは 2 つの可能性があります。ソースタイプに、フィールドの名前が「dst」ではなく「dest」のように異なる名前になっているかのいずれかです。次に、「 eval Name=dst」を「 eval Name=dest」に変更します。カスタム相関リストに「IP」などの一致させる別のフィールド名がある場合は、ダッシュボード内のすべてのサブ検索を新しいフィールド名を使用するように変更するなど、さらに変更が必要です。

消えるダッシュボード

何らかの理由で、新しく複製したダッシュボードを誤って失ってしまった場合は、「その他」->「ダッシュボード」に移動してアクセスできます。これにより、Splunk のすべてのアドオンのすべてのダッシュボードが表示されますが、「このアプリ」ボタンをクリックすると、Recorded Future Splunk アプリに関連するダッシュボードのみが表示されます。

さらに詳しい情報

さらにご質問やアドバイスがありましたら、Recorded Future Intelligence Services のコンサルタントが喜んでお手伝いいたします。相手が誰なのか分からない場合は、support@recordedfuture.com までお問い合わせください。

「Recorded Future for Splunk Enterprise」については Splunk サポートに問い合わせないでください。

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.