Identity Intelligenceモジュール Splunk の統合

目次

• ユースケース
  • ソリューション
  • 問題
• 技術要件
• インストール手順
  • Pythonパッケージのインストール
  • 検索とダッシュボードの導入
  • トラブルシューティング

ユースケース

Recorded Future Identity Intelligenceモジュールは、実用的なインテリジェンスを提供する添付コンテキストと分析を備えた数十億の情報漏洩 / 侵入認証情報への沈黙性を提供します。 このモジュールは、「従業員」 (別名従業員情報漏洩 / 侵入) と「外部」 (別名顧客情報漏洩 / 侵入) の 2 つのユースケースに焦点を当てています。 公開された認証情報をプルダウンすると、タスクの自動化、アナリストへの通知、履歴知識に使用できます。

ソリューション

• ユーザーの認証情報漏洩発見通知時のユーザーパスワードの自動変更
• 侵入時に認証情報が頻繁に見つかるユーザーの検出
• 侵害されたパスワードの特性を分析して、組織の新しいパスワード要件を決定します

統合は、ダッシュボードの露出の概要から始まります。

以下の例では、Splunk を使用してIdentity API をクエリし、情報漏洩 / 侵入 ID を検出します。 この場合、ログイン ドメインが Norsegods[.]online である公開された認証情報が検索されます。 ID の総数、認証情報の総数、および上位の ID が返されます。

次のパネルの結果には、情報漏洩 / 侵入認証情報のタイムライン、上位の FQDN、上位のマルウェア、公開された上位のテクノロジーが含まれます。

次のパネルの結果には、ダッシュボードの上部で使用された検索条件から見つかった ID のリストと、認証情報に関する一般的な情報が表示されます。

特定の件名をクリックすると、その ID の漏洩した認証情報の詳細がドリルダウンされます。 たとえば、アカウント名、使用されたマルウェアの種類、流出日、最終ダウンロード日、パスワードのプロパティ、Cookie 情報、関連するダンプや侵害を確認できます。

問題

• プラットフォームおよび API の外部でRecorded Futureによって見つかった公開された認証情報を表示できない
• Recorded Futureによって発見された公開された認証情報から自動アクションを実行できない
• 公開された認証情報を履歴情報としてローカルに保存できない

技術要件

統合には次の技術要件があります。

• Splunk 向け Recorded Future アプリ

>= v.1.1.9 -以下のクライアントに推奨 ない  SplunkのRecorded Futureとの統合ライセンス

>= v2.0 - Splunk の Recorded Future との統合ライセンスを持つクライアントに推奨されます

• Splunk の Recorded Future アプリに追加される Python スクリプトといくつかの conf 構成ファイル
• Recorded FutureのID詳細とログデータを格納するために作成された2つのインデックス
• アイデンティティデータのインデックス作成に使用される保存済み検索
• アイデンティティを検索して結果を表示するためのダッシュボード

このソリューションには、Identity Intelligence モジュールが必要です。Recorded Future for Splunk 統合を所有しているクライアントと統合していないクライアント向けには別々の手順があります。この統合はそのまま使用することを目的としています。継続的なサポートは、統合サポートまたはプレミアム サポートによって提供されます。さらなるリクエストや機能強化には、プロフェッショナル サービスによるスコープの設定が必要です。

インストール手順

Pythonパッケージのインストール

1. splunkbase から Splunk 用の Recorded Future App の最新バージョン 1.1.x をインストールします 。

• 現在v1.1.92023年10月17日現在

2. Splunk の Recorded Future アプリに移動し、アカウント チームから提供された API トークンを構成ページに入力します。

• Splunk Cloudクライアントは、このカスタムパッケージをHeavy Forwarderにデプロイします。
• Splunkオンプレミスクライアントは、サーチヘッドまたはヘビーフォワーダーにインストールすることを選択できます。
• ユニバーサルフォワーダーとIDMはサポートされていません

3. Splunk 内で Recorded Future からの ID データを格納する 2 つの新しいインデックスを作成します。

• rfidentities: IDデータを保存する
• rfidentities_log: スクリプト実行からのログイベントを保存します

4. Splunk 用の Recorded Future Identity パッケージをダウンロードした後、CLI 経由で構成するために zip ファイルを Splunk サーバーにコピーします。

5. 次のファイルをそれぞれのディレクトリにコピーします。

a. 記録された未来のアイデンティティ.py

  i. cp recordsedfuture_identities.py /opt/splunk/etc/apps/TA-recordedfuture/bin/ 

プロキシを使用している場合は、スクリプトのプロキシ バージョンを使用する必要があります。代わりに以下のコマンドを実行してください。

ii. cp recordsedfuture_identities_proxy.py /opt/splunk/etc/apps/TA-recordedfuture/bin/

スクリプトのプロキシ バージョンの場合は、プロキシ情報を反映するように 76 行目と 77 行目を変更します。

b. splunklib/

cp -R splunklib /opt/splunk/etc/apps/TA-recordedfuture/bin/

c.注:既存のRecorded Future Splunkクライアントをご利用の場合、これらの設定ファイルの一部は既に存在している可能性があります。これらのファイルをコピーするのではなく、既存のファイルに内容を追加してください。

commands.conf 、inputs.conf 、props.conf 、savedsearches.conf 、tags.conf

cp *.conf /opt/splunk/etc/apps/TA-recordedfuture/local

TA-recordedfuture ディレクトリは次のようになります。

6. Splunk が適切に動作するようにファイルの権限を変更します。

sudo chown -R splunk:splunk /opt/splunk/etc/apps/TA-recordedfuture
 sudo chmod 755 /opt/splunk/etc/apps/TA-recordedfuture/bin/recordedfuture_identities.py

7. 変更を有効にするには、Splunk を再起動します。

2. 変更を保存する

3. 「RecordedFutureIdentities」検索を初めて手動で実行します。これにより、上記で編集した保存済み検索に基づいて認証情報がインデックスされます。認証情報をバックフィルしたい場合は、ルックバック日数を長く設定することもできます。

4. 「設定」→「ユーザーインターフェース」→「ビュー」→ 「+新規追加」に移動して、 Recorded Futureアイデンティティ」ダッシュボードを作成します。

5. ビュー名には「recorded_future_identities」を使用します。ダウンロードしたパッケージに含まれるrecorded_future_identities.xmlファイルのXMLを貼り付け、「保存」をクリックします。

これを繰り返して、「recorded_future_identities_overview.xml」のコンテンツを含む「recorded_future_identities_overview」という名前の追加ビューを追加します。

6. 「設定」→「ユーザー インターフェース」→「ナビゲーション メニュー」→「TA 記録された未来のメニューを開く」に移動して、アプリのナビゲーション バーにドロップダウン オプションを追加します。

7. 次のコレクションを貼り付けます。

<collection label="カスタムビュー">
 <view name="記録された将来のアイデンティティ"/>
 <ビュー名="記録された将来のアイデンティティの概要" />
</collection>

8. 変更を保存します。

9. セットアップが完了し、Splunk の Recorded Future アプリからダッシュボードにアクセスできるようになります。認証情報は「RecordedFutureIdentities」検索から時間ごとにインデックス付けされ、認証情報はRecorded Future Identities ダッシュボードから表示できます。

トラブルシューティング

• savedsearches.conf ファイルはSplunkにスクリプトを実行するタイミングを指示します。また、返される認証情報に必要なプロパティに基づいて、検索コマンドにコマンドライン引数を追加することもできます。
• スクリプトが失敗した場合、Splunk は Web GUI にスタック トレースを表示しません。問題をトラブルシューティングするには、ダッシュボードの下部にあるダッシュボード パネルのログを確認します。最新のログ結果が表示されない場合は、検索を更新してください。スクリプトからのログ結果は、 rfidentities_log にインデックス付けされます。
• 呼び出しが成功するとrfidentities_[timestamp].jsonという名前のファイルが生成されます。 アプリのローカルディレクトリ（ /opt/splunk/etc/apps/TA-recordedfuture/local ）に保存されます。これらの認証情報はrfidentitiesにインデックスされ、ダッシュボードの最初のパネルに表示されます。
• スクリプトが正常に実行され、出力ファイルが生成されなかった場合は、認証情報が見つからなかったか、過去 7 日以内に認証情報がディスクに書き込まれていました。 検証のためにログ結果を確認してください。
• 出力ファイルが生成されたが、認証情報が最初のダッシュボード パネルに表示されない場合は、ダッシュボードを更新します。 取得してディスクに書き込んだ認証情報の数によっては、認証情報のインデックス付けに時間がかかる場合があります。
• ヘビーフォワーダーにインストールされた Splunk クライアントでは、重複フィールドのインデックス作成に関する問題が発生する可能性があります。取り込み時にこれが発生しないようにするには、 props.confファイルの内容を Splunk の Recorded Future アプリの検索ヘッドlocal/フォルダーにコピーします。Splunk Cloud クライアントの場合、 REST API 設定を使用する必要があります。 もう 1 つのオプションは、Recorded Future アプリの代わりに構成ファイルを使用するカスタム Splunk アプリを作成することです。
  • 検索時に、 mvdedupを使用して重複フィールドを削除できます。mvdedup_spl.txt添付ファイルにある追加の SPL は、最終的なrexとdedupコマンドの前に、「RecordedFutureIdentitiesDashboard」保存済み検索に追加できます。

• その他のすべてのエラーについては、コマンド ラインからスクリプトを手動で実行してデバッグします。コマンドラインから実行する場合は、API キーを提供する必要があります。使用例については、スクリプトの詳細セクションを参照してください。
• ファイルの内容は、ID 認証情報がディスク上で重複しないようにするために使用されます。
• ファイルはディスク上に 1 週間保存されます。

その他のご質問については、アカウントチームまたはsupport@recordedfuture.comまでお問い合わせください。