TISCアドオンの構成Splunk

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • SplunkTISC アドオンを構成して、アカウントを接続し、データ入力を定義し、観測事象レコードを KV ストアにプルして検索と分析を行います。

    始める前に

    必要なロール:Splunk アドミン

    このタスクについて

    TISC アドオンは、ServiceNow アカウントを Splunk に接続し、観測事象レコードを KV ストアにプルします。

    手順

    1. 左側のナビゲーションから Splunk の脅威インテリジェンスセキュリティセンターアプリを検索します。
    2. [アクション] 列で [設定] を選択します。
      [ 設定 ] ページが表示され、 ServiceNow TISC アカウントを設定できます。
    3. [追加] を選択します。
    4. フォームのフィールドに入力します。
      フィールド 説明
      口座の追加
      名前 アカウントの一意の名前。
      ユーザー名 ServiceNow アカウントのユーザー名。前のステップのロール作成時に作成したものと同じユーザー名 [sn_sec_tisc.api_obs_read_access] を使用できます。
      パスワード ServiceNowアカウントのパスワード。
      インスタンス URL ServiceNowインスタンスの URL。
    5. [追加] を選択します。
      ServiceNow インスタンスアカウントが Splunk に追加されます。
    6. [ 入力 ] ページに移動して、 ServiceNow アカウントのデータ入力を管理します。
    7. [入力の作成] を選択します。
      [入力を追加] ダイアログボックスが表示され、ServiceNow アカウントに入力を追加できます。入力セットが定義されると、アプリケーションはその情報を TISC インスタンスに送信して、基準を満たす特定の数の観測事象を取得します。
    8. 必要に応じて入力の詳細を入力します。
      フィールド 説明
      名前 入力の一意の名前。たとえば、「悪意のある IP リスト」などです。
      アカウント ServiceNow アカウントのユーザー名。前のステップで sn_sec_tisc.api_obs_read_access ロールで作成したものと同じユーザー名を使用できます。
      間隔 TISCからデータを取得する時間間隔を秒単位で設定します。
      有効期限(日数) 有効期限を日数で設定するオプション。
      注:
      サンプルの有効期限は 30 日に設定されています。たとえば、特定の日付にデータがプルされると、10,000 件のレコードが取得される場合があります。これらのレコードは、 Splunk内の KV (Key-Value) ストアに保存されます。レコードは取り込んだ日から 30 日間保持されます。31 日目に、それらは KV ストアから自動的に削除されます。
      有効期限なし 取り込まれたレコードを期限切れにしない場合は、このオプションを選択します。
      追加属性 KV ストアに含める推奨オプションのリストからの追加属性。属性はカンマで区切る必要があります。

      必須属性テーブルの後に、許可される属性のリストが表示されます。
      フィルター どのデータをインポートしてフィルタリングするかを決定する条件。

      フィルター条件を設定するには、脅威スコア、信頼性レベル、タイプなどのフィールドに基づいてクライテリアを定義します。

      単純な条件の場合は、このフィルタリングオプションを使用します。複雑な条件の場合は、JSON フィルターを追加します。
      • 使用できる整数演算子は次のとおりです。

        「=」、 「!=」、「>」、「<」、「>=」、「<=」

      • 使用できる文字列演算子は次のとおりです。

        「=」、「!=」、「IN」

      簡易フィルターの例:

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON より複雑な条件を定義するための JSON ベースのフィルター。
      詳細フィルターの例
      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      注:
      アカウントはデフォルトでアクティブですが、入力はデフォルトで非アクティブです。入力をアクティブ化して、データのインポートを開始します。使用可能なフィルターについては、脅威インテリジェンスセキュリティセンター (TISC) アプリケーションへの観測事象ソースレコードの追加の「Observable_filters」セクションを参照してください。
    9. [ 追加 ] を選択して入力を保存します。
    10. [ クローン ] を選択して既存のアカウントをコピーし、それに基づいてアカウントを作成します。
      同じ基準を使用してデータをインポートするときに重複するエントリが作成されないように、コピーする前に入力を無効にします。
    11. Splunk内で取得され保存された情報と、TISCからプルされたレコードを確認します。
      フィールド 説明
      信頼性 脅威スコアの精度に関連付けられた信頼性レベルを示します。
      [kvlookup_created_time] キー値ストアでのレコード作成時刻を示します。
      [kvlookup_days_till_expiry] レコードが KV ストアから削除されるまでの日数を示します。
      instance_url ServiceNowインスタンスの URL を示します。
      reputation 関連するエンティティの評判を示します。
      source_reported_score TISCから報告されたソーススコア。
      sys_id TISCからのレコードの Sys ID。
      threat_level 脅威の重大度を示します。
      threat_score レコードに関連付けられた脅威のレベルを示すスコア。
      threat_severity 観測事象の脅威の重大度を示します。
      type 観測事象タイプを示します。
      updated_by レコードを最後に更新したユーザー。
      kvlookup_updated_time キー値ストアでレコードが最後に更新されたタイムスタンプを示します。
      value レコードの値。たとえば、IP アドレス、ハッシュ、および類似の値です。
      表 : 1. 追加属性
      フィールド 説明
      additional_context 観測事象の追加コンテキスト。
      attack_phases LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを示します。
      author 作成者の名前。
      コメント 観測事象に関する追加のコメント。
      created 観測事象が作成された日時を示します。
      説明 観測事象の説明。
      expiration_time 観測事象レコードの有効期限を指定します。
      拡張 観測事象の拡張を示します。
      first_observed データが初めて観測された時刻。
      first_seen このレコードが悪意のあるアクティビティを実行していることが初めて確認されたとき。
      historically_significant 観測事象が履歴上重要と見なされるかどうかを示します。この TISC システムフラグは、観測事象をアーカイブから除外するために使用されます。
      ID TISCシステムによって観測事象にアサインされた一意の識別子。
      is_defanged 観測事象値が無力化されたかどうかを示すフラグ。
      is_false_positive 観測事象が誤検出として識別されたかどうかを示すブールフラグ。
      言語 このオブジェクトのテキストコンテンツの言語を示します。
      last_observed データが最後に観測された時刻。
      last_seen このオブジェクトが悪意のあるアクティビティを実行していることが最後に確認された時間。
      notes 観測事象レコードに関する追加のメモ。
      番号 TISCによって観測事象にアサインされたシステム生成番号。
      security_type 観測事象が許可リストまたは拒否リストのいずれに属しているかを指定します。
      no_of_sources 観測事象に貢献した一意のソースの数を表します。
      ソース このレコードの作成元である脅威のソースを指定します。
      status 観測事象のステータス:アクティブまたは非アクティブ。
      tisc_tags 観測事象に関連付けられた TISC タグ。
      taxonomies 観測事象に関連付けられた分類。
      tlp TLP に基づくデータの機密性の設定を示す一意の値。
      updated 観察事項レコードが最後に更新された日時を示します
      usage_categories ボットネットやフィッシングなど、観測事象が該当するカテゴリ。
      watch_list 観測事象がウォッチリストに含まれているかどうかを指定するフラグ。

      これらのフィールドは、クライテリアによって定義された他のフィールドとともに Splunk で利用可能になり、[検索] タブから表示、検索、分析できます。