Splunk

統合バージョン: 50.0

Splunk アプリは、Splunk からの関連するアラートとイベントをすべて含むケースを準備します。これらのケースを Google Security Operations に取り込むには、プルベースとプッシュベースの 2 つの方法があります。

1 つ目の方法は「プルベース」と呼ばれます。この方法では、ケースを Google SecOps に取り込むために、Splunk アプリからケースを pull する Splunk Pull Connector を構成する必要があります。この方法では、Splunk アプリで追加の構成は必要ありません。

2 つ目の方法はプッシュベースと呼ばれます。このメソッドを使用すると、Splunk アプリは Google SecOps に API 呼び出しを実行して新しいケースを追加します。このメソッドを使用するには、Google SecOps API キーを生成し、アプリの構成に Google SecOps URI を追加する必要があります。

API キーを作成します。

1. [設定] > [詳細設定] > [API] に移動します。

2. 右上にあるプラス記号をクリックして、新しい API キーを追加します。

3. API キーの名前を入力し、[作成] をクリックします。

4. API キーをコピーします。

Google SecOps と連携するように Splunk を構成する方法

トークン認証を有効または無効にするための前提条件

トークン認証を有効にする前に、次の要件を満たす必要があります。

• トークン認証を有効にする Splunk プラットフォーム インスタンスは、Splunk Web が別のプロセスとして動作するレガシーモードで動作してはなりません。Splunk プラットフォームがレガシー モードの場合、トークン認証は実行されません。レガシー モードの詳細については、Splunk Enterprise 管理マニュアルの Start and Stop Splunk Enterprise ドキュメントをご覧ください。

• トークン認証をオンまたはオフにするには、Splunk プラットフォームへのログインに使用するアカウントに、edit_tokens_settings Splunk プラットフォーム機能を持つロールが割り当てられている必要があります。

Splunk Web を使用してトークン認証を有効にする

トークン認証がオフの場合、Splunk Web の [トークン] ページに次のメッセージが表示されます。

Token authentication is currently disabled > To enable token authentication, click Enable Token Authentication.

トークン認証を有効にするインスタンスで、次の手順を行います。

1. 管理者ユーザーまたはトークン設定を管理できるユーザーとして、Splunk プラットフォーム インスタンスにログインします。トークンを使用して Splunk Web にログインすることはできません。有効なユーザー名とパスワードを指定する必要があります。

2. ログインに成功したら、システムバーで [設定> トークン] を選択します。

3. [Enable Token Authentication] をクリックします。Splunk プラットフォーム インスタンスでは、トークン認証がすぐに有効になり、インスタンスを再起動する必要はありません。

Splunk Web を使用して認証トークンを作成する

1. システムバーで、[設定> トークン] をクリックします。

2. [New Token] をクリックします。

3. [New Token] ダイアログの [User] フィールドに、トークンを作成する Splunk プラットフォーム ユーザーを入力します。

4. [Audience] フィールドに、トークンの目的の簡単な説明を入力します。

5. （省略可）[有効期限] リストで、[絶対時間] または [相対時間] を選択します。この選択によって、リストの下のテキスト フィールドに入力する内容が決まります。

   • [絶対時間] を選択した場合は、リストの下に 2 つのテキスト フィールドが表示されます。

     1. 最初のフィールドに有効な日付を入力します。フィールドをクリックして、ポップアップ カレンダーから日付を選択することもできます。

     2. 2 番目のフィールドに有効な 24 時間形式の時刻を入力します。

   • それ以外の場合は、プルダウン リストの下にテキスト フィールドが 1 つ表示されます。

     1. トークンを有効にしておく期間を現在時刻からの相対時間で表す文字列を入力します。たとえば、トークンを 10 日後に期限切れにする場合は、このフィールドに +10d と入力します。

6. （省略可）[Not Before] リストで、[Absolute Time] または [Relative Time] を選択します。

   [有効期限] コントロールで使用した手順を繰り返します。Not before の時刻は、過去の時刻にすることも、Expiration の時刻より後の時刻にすることもできません。

7. [作成] をクリックします。[New Token] ウィンドウの [Token] フィールドが更新され、生成されたトークンが表示されます。

8. フィールド内のすべてのトークン テキストを選択します。オペレーティング システムとブラウザによっては、[トークン] フィールドをクリックしてから、トリプルクリックするか、キーボードで Ctrl+A または Command+A を押します。トークン テキストがすべて選択されていることを確認します。ウィンドウを閉じると、トークン全体を確認する機会はなくなります。

9. [Token] フィールドからテキストをコピーします。

10. トークンをテキスト ファイル、メール、またはその他の形式の通信に貼り付けて、トークンの使用を承認したユーザーに送信します。トークンを共有するのは、トークンの使用を承認したユーザーのみであることを確認します。完全なトークンを持っているユーザーは、それを使用して認証できます。

11. [閉じる] をクリックします。

12. トークンを使用して Google SecOps Splunk 統合を構成します。

インストール

単一の検索ヘッド

1. TA-Siemplify パッケージをローカルマシンにダウンロードします。 https://splunkbase.splunk.com/app/5010/

2. 検索ヘッドにアプリをインストールします。

   [アプリ: 検索とレポート] を選択します。[アプリをアップロード] ダイアログが表示されます。

3. [ファイルを選択] をクリックして、アプリファイルを選択します。

4. [アップロード] をクリックします。ファイルがアップロードされるまで待ちます。

5. Splunk を再起動します。

TA-Siemplify を構成する

1. Splunk Enterprise で、[Apps] ページに移動します。

2. [Siemplify] を選択します。

3. [アドオンの設定] タブで、次の情報を追加します。

   プッシュベースの方法の場合:

   • Siemplify API URI を Google SecOps サーバーの URI に設定します。
   • [モード] を [プッシュモード] に設定します。
   • [API Key] フィールドに、[API Keys] セクションで生成されたトークン値を入力します。

   pull ベースの方法の場合:

   • [モード] を [プルモード] に設定します。

4. [保存] をクリックします。

アラートの構成

アラートとイベントデータを Google SecOps に送信するには、既存の Splunk アラートにトリガー アクションを追加する必要があります。

[Environment]、[Device Vendor]、[Device Product]、[Event Type] の各フィールドは、イベント テンプレートをサポートしています。イベント テンプレートを使用すると、アラートの値に基づいて Google SecOps 内の特定のフィールドを動的に設定できます。イベント テンプレートを使用するには、フィールド名を角かっこ「[ ]」で囲みます。アラートの最初のイベントを使用して、これらのフィールドが入力されます。

例: 値が Microsoft のフィールド device_vendor を含むアラートがある場合、[device_vendor] をデバイス ベンダー構成パラメータに入力すると、アラートが Google SecOps に送信されたときにベンダーが Microsoft に設定されます。

1. Splunk で [アラート] に移動します。

2. [編集] リストで、[アラートを編集] を選択します。

3. [Trigger Actions] セクションで、[Add Actions > Send Alert to Siemplify] に移動します。

4. アラートを次のように構成します。

   • 名前: ここで設定した値は、アラートの名前に影響します。
   • 優先度: ここで設定した値は、Google SecOps ケースの優先度に影響します。
   • カテゴリ: ビジュアル ファミリーの定義に使用されます。
   • 環境: Google SecOps の環境にマッピングされます。環境がない場合は空白のままにします。角かっこを使用したテンプレートがサポートされています。
   • デバイス ベンダー: イベントを Google SecOps に送信するシステムのベンダーを定義するために使用されます。アラートが Microsoft Sysmon によって生成された場合は、Microsoft を使用するか、テンプレートを使用してアラート/イベント内の値を使用します。
   • デバイス プロダクト: イベントを Google SecOps に送信するシステムのプロダクトを定義するために使用されます。アラートが Microsoft Sysmon によって生成された場合、この値は Sysmon またはテンプレートを使用してアラート/イベント内の値から取得する必要があります。
   • イベントタイプ: Google SecOps のイベント構成セクションでイベントタイプを定義するために使用されます。アラートが不正なプロセスを検索していた場合、イベント タイプは「プロセスが見つかりました」のようなものか、テンプレートを使用してアラート/イベント内の値から取得する必要があります。
   • Time Field: Google SecOps Case の StartTime と EndTime を定義するために使用されます。指定されていない場合は、「_indextime」フィールドが確認されます。「_indextime」が見つからない場合は、アラートが生成された時刻が使用されます。テンプレートはサポートされていません。
   • Expand MultiValue Fields: これを 1 に設定すると、システムは複数値フィールドを検出し、複数値フィールドの各値にマッピングする追加フィールドを作成します。たとえば、複数値フィールド src_hosts に Server1、Server2、Server3 という値が含まれているとします。システムは、src_hosts_0: Server1、src_hosts_1: Server2、src_hosts_2: Server3 という新しいフィールドを作成します。このオプションは、[すべてのイベントデータを取得] が無効になっている場合にのみサポートされます。
   • すべてのイベントデータを取得: この設定では、変換コマンド（chart、timechart、stats、top、rare、contingency、highlight）を含むアラートを構成する未加工のイベントを取得しようとします。これをサポートするには、Splunk 検索ヘッドの変更が必要です。

5. 変換検索から未加工のイベントを有効にするには、$SPLUNK_HOME/etc/apps/TA-siemplify/default/savedsearches.conf を $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf にコピーします。編集: $SPLUNK_HOME/etc/apps/TA-siemplify/local/savedsearches.conf のコメントを解除します。#dispatch.buckets =1

6. ファイルを保存し、Splunk を再起動してこれらの設定を有効にします。

トラブルシューティング

ログレベルを DEBUG に変更する手順は次のとおりです。

1. Splunk Web で、アプリケーションを選択します。

2. [設定] > [サーバー設定] > [サーバー ロギング] に移動します。

3. [ログレベル] パラメータで、[DEBUG] を選択します。

4. [保存] をクリックします。

Google SecOps TA からのログデータのクエリは、Splunk の実装によって異なります。Splunk CIM がインストールされている場合、ログは cim_modactions インデックスにあります。それ以外の場合、ログは _internal インデックスに保存されます。

ネットワーク

Google SecOps から Splunk への Splunk API アクセスのネットワーク アクセス: ポート 8089 経由のトラフィックを許可します。

クラスタ環境に Google SecOps アドオンをデプロイする方法

デプロイ サーバーと検索ヘッドを作成する手順は次のとおりです。

1. SSH を使用してデプロイ サーバーにログインします。

2. /opt/splunk/etc/system/local/serverclass.conf ファイルが存在することを確認します。付与されていない場合は、次のコマンドを実行します。

   vi /opt/splunk/etc/system/local/serverclass.conf

   構成の例を次に示します。

   [global] # whitelist matches all clients.
   [serverClass:AllApps] [serverClass:AllApps:app:*] [serverClass:
   Google Security OperationsAPP]
   

3. /opt/splunk/etc/deployment-apps ディレクトリにアプリファイルをアップロードして抽出します。

4. Splunk ユーザーが存在しない場合は作成します。

   useradd splunk

5. splunk グループが存在しない場合は作成します。

   groupadd splunk

6. アプリの Splunk ユーザー権限を追加します。

   chown splunk:splunk {app path}

7. SSH を使用して検索ヘッドにログインします。

8. 検索ヘッドをクライアントとしてデプロイ サーバーに追加します。

   /opt/splunk/bin/splunk set deploy-poll IP_ADDRESS:8089 #(deployment server ip address)

9. すべての検索ヘッドを再起動します。

10. デプロイメント サーバーの UI にログインします。

11. [設定] > [分散環境] > [転送マネージャー] に移動します。

12. [Server Classes] タブに移動し、[New Server Class] をクリックします。

13. サーバー クラスの名前を指定します。

14. Google SecOps アドオンをアプリとして、検索ヘッドをクライアントとして追加します。

15. すべての検索ヘッドを再起動します。

16. すべての検索ヘッドでアプリが正しく構成されていることを確認します。Splunk は、クラスタ間でアプリを一貫して同期しません。

既知の問題

ログに int() argument must be a string, a bytes-like object or a number, not 'NoneType'. Please double check spelling and also verify that a compatible version of Splunk_SA_CIM is installed エラーが表示された場合は、プルモードで作業している場合でも、構成の API ルートと API キーのパラメータに値が設定されていることを確認してください。

Google SecOps で Splunk の統合を構成する

Splunk との統合により、CA 証明書ファイルを使用して接続を検証できます。これは、接続の追加の確認方法です。

この方法を使用するには、次のものが必要です。*

• CA 証明書ファイル
• Splunk 統合バージョン 26.0 以降

Google SecOps で統合を構成します。

1. CA 証明書ファイルを Base64 文字列に解析します。

2. 統合構成ページを開きます。

3. [CA Certificate File] フィールドに、CA 証明書文字列を入力します。

4. 接続をテストするには、[SSL を検証] チェックボックスをオンにして、[テスト] をクリックします。

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

操作

ホストイベントを取得する

説明

Splunk でホストに関連するイベントを取得します。

パラメータ

実行

このアクションはホスト名エンティティに対して実行されます。

アクションの結果

スクリプトの結果

JSON の結果

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

ケースウォール

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Splunk への接続をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。

アクションの結果

スクリプトの結果

ケースウォール

Splunk Csv Viewer

説明

パラメータ

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果

SplunkQuery

説明

Splunk でクエリを実行します。

パラメータ

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

JSON の結果

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Case Wall

イベントを送信

説明

Splunk にイベントを送信します。

パラメータ

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

JSON の結果

{
    "index": "default",
    "bytes": 70,
    "host": "dogo",
    "source": "www",
    "sourcetype": "web_event"
}

Case Wall

特筆すべき出来事を更新する

説明

Splunk ES で重要なイベントを更新します。

パラメータ

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

ケースウォール

エンティティ クエリを実行する

説明

Splunk でエンティティ クエリを実行します。

アクション パラメータを操作するにはどうすればよいですか？

このアクションにより、エンティティに関連する情報を簡単に取得できます。たとえば、複雑なクエリを作成しなくても、指定したハッシュの影響を受けるエンドポイントのイベント数を把握したいというユースケースを解決できます。Splunk でこの問題を解決するには、次のクエリを準備する必要があります。index="main" | where (device_ip="10.0.0.1" or device_ip="10.12.12.12") and (hash="bad_hash_1" or hash="bad_hash_2") 「Execute Entity Query」アクションを使用して同じクエリを作成するには、アクション パラメータを次のように入力する必要があります。

他のフィールドはすべて空欄のままにします。

指定されたハッシュの影響を受けたエンドポイントの数を確認する場合は、「エンティティ クエリを実行」の構成は次のようになります。

この状況では、「Cross Entity Operator」は影響しません。複数の「Entity Keys」が指定されている場合にのみ、クエリに影響するためです。

パラメータ

実行

このアクションは次のエンティティに対して実行されます。

• IP アドレス
• ホスト
• ユーザー
• ハッシュ
• URL

アクションの結果

スクリプトの結果

JSON の結果

[{
    "app": "SA-AccessProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087674",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:58.404 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-AccessProtection;Access - Default Account Usage - Rule\", search_type=\"\", user=\"admin\", app=\"SA-AccessProtection\", savedsearch_name=\"Access - Default Account Usage - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=0, dispatch_time=1612179969, run_time=51348.242, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtQWNjZXNzUHJvdGVjdGlvbg__RMD509c859ea7b9951b8_at_1612179932_61.40533\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "0",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".404",
    "_time": "2021-02-02T04:01:58.404+02:00"
},
{
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087731",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "127.0.0.1 - admin [02/Feb/2021:04:01:58.172 +0200] \"POST /servicesNS/nobody/SA-AccessProtection/saved/searches/Access%20-%20Default%20Account%20Usage%20-%20Rule/notify?trigger.condition_state=1 HTTP/1.1\" 200 1985 - - - 3ms",
    "_serial": "1",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "splunkd_access",
    "_subsecond": ".172",
    "_time": "2021-02-02T04:01:58.172+02:00"
},
{
    "app": "SA-EndpointProtection",
    "_bkt": "_internal~425~1A082D7B-D5A1-4A2B-BB94-41C439BE3EB7",
    "_cd": "425:9087653",
    "_indextime": "1612231318",
    "_kv": "1",
    "_raw": "02-02-2021 04:01:57.804 +0200 INFO  SavedSplunker - savedsearch_id=\"nobody;SA-EndpointProtection;Endpoint - Should Timesync Host Not Syncing - Rule\", search_type=\"\", user=\"admin\", app=\"SA-EndpointProtection\", savedsearch_name=\"Endpoint - Should Timesync Host Not Syncing - Rule\", priority=default, status=success, digest_mode=1, scheduled_time=1612179932, window_time=300, dispatch_time=1612179970, run_time=51347.420, result_count=0, alert_actions=\"\", sid=\"rt_scheduler__admin_U0EtRW5kcG9pbnRQcm90ZWN0aW9u__RMD5ef3c08822811b7cd_at_1612179932_62.25751\", suppressed=1, thread_id=\"AlertNotifierWorker-0\", workload_pool=\"\"",
    "_serial": "2",
    "_si": [
        "splunk",
        "_internal"
    ],
    "_sourcetype": "scheduler",
    "_subsecond": ".804",
    "_time": "2021-02-02T04:01:57.804+02:00"
}]

Case Wall

コネクタ

Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。

選択したコネクタを構成するには、次の表に示すコネクタ固有のパラメータを使用します。

• Splunk Query Connector の構成パラメータ
• Splunk Pull Connector の構成パラメータ
• Splunk ES - Notable Events Connector の構成パラメータ

Splunk クエリ コネクタ

コネクタは、動的リスト（whitelist）の一部であるクエリを送信し、結果を取得して、取得した結果に基づいてケースを作成します。

ログを表示するサンプル Splunk クエリ

1. クエリは動的リスト（whitelist）ルールとして入力する必要があります。

2. 複数のフィルタを含む検索クエリでは、検索フィルタの区切り文字としてスペースを使用する必要があります（例: index=cim_modactions sourcetype=modular_alerts:risk）。

3. 同じルールに複数のスペース区切りの検索フィルタを入力するのではなく、複数の動的リスト（whitelist）ルールを使用すると、追加されたルールごとに個別の検索が実行されます。

   • index=cim_modactions
   • sourcetype=modular_alerts:send_data_to_siemplify
   • index=_internal sourcetype=splunkd
   • component=sendmodalert
   • action=send_data_to_siemplify
   • index=_internal source=/opt/splunk/var/log/splunk/send_data_to_siemplify_modalert.log

コネクタ パラメータ

コネクタを構成するには、次のパラメータを使用します。

コネクタルール

コネクタでプロキシがサポートされます。

Splunk Pull コネクタ

Splunk から Google SecOps にアラートとイベントをプルします。

コネクタ パラメータ

コネクタを構成するには、次のパラメータを使用します。

コネクタルール

コネクタでプロキシがサポートされます。

Splunk ES - Notable Events Connector

Splunk ES から重要なイベントを取り込みます。

ケースの優先度を定義する

ケースの優先度は、注目すべきイベントの Urgency パラメータで定義されます。このパラメータのみが、注目すべきイベントを Google SecOps に取り込む際に考慮されます。

コネクタ パラメータ

コネクタを構成するには、次のパラメータを使用します。

Query Filter パラメータの使用方法

特定のパラメータに基づいて注目すべきイベントを絞り込む必要がある場合は、Query Filter パラメータを使用します。このパラメータで指定された値は、注目すべきイベントを取得するために送信されるクエリの WHERE 句に追加されます。

送信されたクエリの例を次に示します。

(`get_notable_index` OR `get_sequenced_index`) | eval `get_event_id_meval`,
rule_id=event_id | tags outputfield=tag | `mvappend_field(tag,orig_tag)` |
`notable_xref_lookup` | `get_correlations` | `get_current_status` | `get_owner`
| `get_urgency` | typer | where (urgency="medium" AND urgency="low") AND
(status_label="Unassigned" OR status_label="New")  | tail 50 | fields *

たとえば、Query Filter = isTesting = True の場合、クエリは次のようになります。

search (`get_notable_index` OR `get_sequenced_index`) | eval epoch=_time | eval
`get_event_id_meval`,rule_id=event_id | tags outputfield=tag |
`mvappend_field(tag,orig_tag)` | `notable_xref_lookup` | `get_correlations` |
`get_current_status` | `get_owner` | `get_urgency` | typer | where
(urgency!="informational" AND urgency!="low" **AND isTesting = "True"**) |
fields *

コネクタルール

Splunk ES コネクタは、動的リストとブロックリスト（whitelist と blacklist）を使用します。コネクタは、イベントの search_name フィールドを使用して、動的リストと照合します。

コネクタ イベント

[{
    "indicator": "2012/06/29_21:50", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-578a9be5-0e03-4ec0-940d-4b1842f40fd0", 
    "date_last": "2020-07-15 08:12:07 AM",
"Url": "indicator"
  },{
    "indicator": "2010/12/19_16:35", 
    "tlp": "TLP:RED", 
    "itype": "mal_url", 
    "severity": "very-high", 
    "classification": "public", 
    "detail": "", 
    "confidence": 50, 
    "actor": "", 
    "feed_name": "import", 
    "source": "admin", 
    "feed_site_netloc": "localhost", 
    "campaign": "", 
    "type": "url", 
    "id": "anomali:indicator-52cadd07-330a-45fd-962f-32e22d36a89a", 
    "date_last": "2020-07-15 08:12:07 AM"
  }]

ジョブ

Splunk ES のクローズされたイベントを同期する

説明

クローズされた Splunk ES の注目すべきイベントと Google SecOps のアラートを同期します。

パラメータ

Splunk ES のコメントを同期する

説明

このジョブは、Splunk ES イベントと Google SecOps ケースのコメントを同期します。

パラメータ

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。