での TISC アドオンの構成 Splunk

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • 以下の手順に従って、アプリケーションを構成します。

    始める前に

    必要なロール:Splunk アドミン

    このタスクについて

    次の手順では、 Splunk での TISC アドオンの構成について説明します。

    手順

    1. 左側のナビゲーションから Splunk 向け脅威インテリジェンスセキュリティセンター アプリを検索します。
    2. [アクション] 列の [設定] をクリックします。
      [構成] ページが表示され、ServiceNow TISC アカウントを設定できます。
    3. [Add (追加)] を選択します。
    4. フォームで、フィールドに入力します。
      フィールド 説明
      口座の追加
      名前 アカウントの一意の名前。
      ユーザー名 ServiceNow アカウントのユーザー名を入力します。上記の手順でロールの作成時に作成された sn_sec_tisc.api_obs_read_access と同じユーザー名を使用できます。
      パスワード アカウントのパスワード ServiceNow 入力します。
      インスタンス URL ServiceNowインスタンスの URL アドレスを入力します。
    5. [追加] をクリックします。
      ServiceNowインスタンスアカウントがSplunkに追加されます。
    6. [入力] ページに移動してコレクションを作成し、ServiceNowアカウントのデータ入力を管理します。
    7. [ 新規入力を作成] をクリックします。
      ServiceNowアカウントに入力を追加するための [入力を追加] ダイアログボックスが表示されます。

      入力セットが定義されると、アプリケーションは情報を TISC インスタンスに送信して、基準を満たす特定の数の観測事象を取得します。

    8. 必要に応じて入力の詳細を入力します。
      フィールド 説明
      名前 入力の一意の名前。例:悪意のある IP リスト。
      アカウント ServiceNow アカウントのユーザー名を入力します。上記の手順で sn_sec_tisc.api_obs_read_access ロールで作成されたユーザーに使用されるのと同じユーザー名を使用できます。
      間隔 TISCからデータを取得する時間間隔を秒単位で設定します。
      有効期限 (日数) 有効期限を日数で設定するオプション。
      注:
      サンプルの有効期限は 30 日に設定されています。たとえば、特定の日付にデータをプルすると、10,000 件のレコードセットが取得される場合があります。これらのレコードは、 Splunk 内の KV (キー値) ストアに格納されます。取り込み日から、レコードは 30 日間保持されます。31日目になると、KVストアから自動的に削除されます。
      無期限 取り込まれたレコードを期限切れにしない場合は、このオプションを選択します。
      追加属性 推奨オプションのリストから追加の属性を追加して KV ストアに含めることができます。属性はカンマで区切る必要があります。

      許可される属性のリストは、必須属性の表の後の表に記載されています。
      フィルター インポートするデータをフィルタリングする条件を定義します。

      フィルター条件を設定するには、脅威スコア、信頼性レベル、タイプなどのフィールドに基づいて基準を定義します。

      単純なフィルター条件の場合は、このフィルタリングオプションを使用できます。ただし、フィルター条件がより複雑で、高度なフィルタリングの場合は、JSON フィルターを追加することを選択できます。
      • 使用できる整数演算子は次のとおりです。

        "=", "!=", ">", "<", ">=", "<="

      • 使用できる文字列演算子は次のとおりです。

        "="、"!="、"IN"

      以下は、単純なフィルターの例です

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON ベースのフィルターを使用すると、より複雑な条件を定義できます。JSON オブジェクトのステータスがアクティブである必要があります。

      [ JSON フィルター] チェックボックスをオンにすると、JSON を使用してフィルター条件を適用できる詳細フィルターに切り替わります。

      詳細フィルターの例:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      注:
      アカウントはデフォルトでアクティブになっていますが、入力はデフォルトでは非アクティブになっているため、データのインポートを開始するにはアカウントを有効にする必要があります。可能なフィルターについては、「脅威 インテリジェンスセキュリティセンター (TISC) アプリケーションに観測事象ソースレコードを追加する 」のObservable_filtersセクションを参照してください。
    9. [追加] をクリックして入力を追加します。
    10. [クローンまたはコピー] をクリックして、既存のアカウントに基づいて新しいアカウントをコピーして作成します。
      同じ基準を使用してデータをインポートするときに重複エントリが作成されないように、クローンを作成する前に入力が非アクティブ化されていることを確認してください。
    11. データがプルされると、次の情報が取得され、TISC からプルされたレコードとともに Splunk 内の KV ストアに保存されます。
      フィールド 説明
      信頼性 脅威スコアの精度に関連付けられた信頼性レベルを示します。
      kvlookup_created_time キー値ストア内のレコード作成時刻を示します。
      kvlookup_days_till_expiry レコードが KV ストアから削除されるまでの日数を示します。
      instance_url ServiceNowインスタンスの URL アドレスを示します。
      reputation 関連するエンティティの評判を示します。
      source_reported_score TISC から報告されたソーススコア。
      sys_id TISCを介して受信されるレコードの Sys ID。
      threat_level 脅威の重大度レベルを示します。
      threat_score レコードに関連付けられた脅威のレベルを示すスコア。
      threat_severity 観測事象の脅威の重大度を示します。
      タイプ 観測事象タイプを示します。
      updated_by レコードを最後に更新したユーザーに関する情報を提供します。
      kvlookup_updated_time キー値ストアでレコードが最後に更新されたタイムスタンプを示します。
      レコードの値。たとえば、IP、ハッシュなどです。
      表 : 1. 追加属性
      フィールド 説明
      additional_context 必要に応じて、追加のコンテキストを入力します。
      attack_phases LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを示します。
      author 作成者の名前を入力します。
      コメント 必要に応じてコメントを追加します。
      作成日時 観測事象がいつ作成されたかを示します。
      説明 説明を入力します。
      expiration_time 観測事象レコードの有効期限を指定します。
      拡張 観測事象の拡張を示します。
      first_observed データが観測された最初の時刻。
      first_seen このレコードが悪意のあるアクティビティを実行していることが初めて確認されたとき。
      historically_significant 観測事象が履歴上重要であると見なされるかどうかを示します。この TISC システムフラグは、観測事象をアーカイブから除外するために使用されます。
      ID TISC システムによって観測事象にアサインされた一意の識別子。
      is_defanged 観測事象値が無力化されているかどうかを示すフラグ。
      is_false_positive 観測事象が誤検出として識別されたかどうかを示すブールフラグ。
      言語 このオブジェクトのテキストコンテンツの言語を示します。
      last_observed データが最後に観測された時刻。
      last_seen このオブジェクトが悪意のあるアクティビティを実行していることが最後に確認された時間。
      メモ 観測事象レコードに関するメモを追加します。
      番号 TISC によって観測事象にアサインされたシステム生成番号。
      security_type 観測事象が許可リストまたは拒否リストに属するかどうかを指定します。
      no_of_sources 観測事象に寄与した一意のソースの数を表します。
      ソース このレコードの作成元である脅威のソースを指定します。
      ステータス 観測事象のステータス (アクティブまたは非アクティブ) を入力します。
      tisc_tags 観測事象に関連付けられている TISC タグを選択します。
      taxonomies 観測事象に関連付けられている分類を選択します。
      tlp TLP に基づくデータの機密性の設定を示す一意の値。
      更新完了 観測事象レコードが最後に更新された日時を示します
      usage_categories ボットネットやフィッシングなど、観測事象が該当するカテゴリ。
      watch_list 観測事象をウォッチリストに含めるかどうかを指定するフラグ。

      これらのフィールドは、条件で定義された他のフィールドとともに Splunk で利用可能になり、[検索] タブを使用して表示、検索、および分析できます。