Splunk Enterprise Security のセットアップ
このアプリには、Splunk Enterprise Security のサポートが組み込まれています。このサポートは、Splunk ES とともにアプリが検索ヘッドにインストールされている場合に利用できます。
Splunk ES機能を使用するために必要な手順
Splunk ESサポートを有効にする
Splunk の Recorded Future メニューで、構成を選択します。Splunk ES のサポートを有効にするスイッチが有効になっていることを確認します。
Splunk ES内で必要な設定
Splunk ES の機能をすべて使用できるようにするには、Splunk Enterprise Security でいくつかの設定を行う必要があります。
- エンタープライズ セキュリティ メニュー バーで、[構成] → [インシデント管理] → [インシデント レビュー設定] をクリックします。
- 「インシデントレビュー - イベント属性」セクションの「新しいエントリを追加」ボタンをクリックします。次のラベルとフィールドの組み合わせを追加します。
| ラベル | 分野 |
|---|---|
| RFリスクスコア | rf_a_リスク |
| RFトリガールール | rf_b_ルール |
| RF 非常に悪質な証拠 | rf_証拠_クリティカル |
| RF悪意のある証拠 | 悪意のあるRF証拠 |
| RF 疑わしい証拠 | 疑わしい証拠 |
| RF 異常な証拠 | rf_証拠_異常 |
- インストールが完了したら、Splunk インスタンスを再起動する必要があります。
- まだ設定していない場合は、「 Threatアクティビティ検出」というエンタープライズセキュリティ相関検索を有効にしてください。
- エンタープライズセキュリティメニューバーで、構成→コンテンツ管理をクリックします。
- フィルターバーに「 Threatアクティビティが検出されました」と入力します
- 相関検索を有効にするには、「有効にする」リンクをクリックします
検出されたイベントの強化
Splunk ES は、組み込みのThreat Intelligenceフレームワークを使用して疑わしいイベントを検出します。 Recorded Futureはフレームワークを活用して、疑わしいイベントの検知を実行します。
ただし、イベントが検出されると、トリアージを効率的に行うためにイベントを充実させる必要があります。これは 2 つの方法で実行できます。
- 保存された検索を使用して、Recorded Future のリスク リストからのデータをイベントに追加します。
- 提供されているアダプティブ応答アクションを使用します。 このメソッドは、Recorded Future の API にクエリを実行して最新情報を取得します。
それぞれの方法を有効にする方法については、以下を参照してください。
エンリッチメントを実行するための保存された検索
デフォルトでは、アプリは 4 つの保存済み検索を有効にし、互換性のある注目すべきイベントの拡充を実行します。適応型レスポンス ベースのエンリッチメントに切り替えるために必要な手順については、以下を参照してください。
エンリッチメントを実行するための適応応答 (AR)
アダプティブ レスポンス (AR) を有効にするには、次の手順を実行する必要があります。
- 注目すべきイベントを充実させる検索をオフにします。
- 設定→コンテンツ管理へ進む
- 「RF IP 脅威リスト検索」、「RF ドメイン脅威リスト検索」、および「RF ハッシュ脅威リスト検索」を無効にします (アプリ フィルターを使用すると見つけやすくなりますが、必須ではありません)。
- 「 Threatアクティビティが検出されました」をクリックして設定を開きます。
- 「アダプティブ応答アクション」の横にある「新しい応答アクションを追加」をクリックします。
- Recorded Futureのアクションを選択
- デフォルトの「自動」選択のままにします。
- 保存をクリック
適応型応答 アドホック呼び出し
アダプティブ レスポンスのアドホック呼び出しは、インシデント レビュー ダッシュボードなどから行うことができます。この方法でアダプティブ応答を呼び出すユーザーには、 list_storage_passwords 能力。