での TISC アドオンの構成 Splunk

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • 以下の手順に従って、アプリケーションを構成します。

    始める前に

    必要なロール:Splunk アドミン

    このタスクについて

    次の手順では、 Splunk での TISC アドオンの構成について説明します。

    手順

    1. 左側のナビゲーションから Splunk 向け脅威インテリジェンスセキュリティセンター アプリを検索します。
    2. [アクション] 列の [設定] をクリックします。
      [構成] ページが表示され、ServiceNow TISC アカウントを設定できます。
    3. [Add] を選択します。
    4. フォームのフィールドに入力します。
      フィールド 説明
      口座の追加
      名前 アカウントの一意の名前。
      ユーザー名 ServiceNow アカウントのユーザー名を入力します。上記の手順でロールの作成時に作成された sn_sec_tisc.api_obs_read_access と同じユーザー名を使用できます。
      Password (パスワード) アカウントのパスワード ServiceNow 入力します。
      インスタンス URL ServiceNowインスタンスの URL アドレスを入力します。
    5. [追加] をクリックします。
      ServiceNowインスタンスアカウントがSplunkに追加されます。
    6. [入力] ページに移動してコレクションを作成し、ServiceNowアカウントのデータ入力を管理します。
    7. [ 新規入力を作成] をクリックします。
      ServiceNowアカウントに入力を追加するための [入力を追加] ダイアログボックスが表示されます。

      入力セットが定義されると、アプリケーションはその情報を TISC インスタンスに送信して、基準を満たす特定の数の観測事象を取得します。

    8. 必要に応じて入力の詳細を入力します。
      フィールド 説明
      名前 入力の一意の名前。例:悪意のある IP リスト。
      アカウント ServiceNow アカウントのユーザー名を入力します。上記の手順で sn_sec_tisc.api_obs_read_access ロールで作成されたユーザーに使用されるのと同じユーザー名を使用できます。
      間隔 TISC からデータを取得する時間間隔を秒単位で設定します。
      有効期限 (日数) 有効期限を日数で設定するオプション。
      注:
      サンプルの有効期限は 30 日に設定されています。たとえば、特定の日付にデータをプルすると、10,000 件のレコードセットが取得される場合があります。これらのレコードは、 Splunk 内の KV (キー値) ストアに格納されます。取り込み日から、レコードは 30 日間保持されます。31日目になると、KVストアから自動的に削除されます。
      無期限 取り込まれたレコードを期限切れにしない場合は、このオプションを選択します。
      フィルター インポートするデータをフィルタリングする条件を定義します。

      フィルター条件を設定するには、脅威スコア、信頼性レベル、タイプなどのフィールドに基づいて基準を定義します。

      単純なフィルター条件の場合は、このフィルタリングオプションを使用できます。ただし、フィルター条件がより複雑で、高度なフィルタリングの場合は、JSON フィルターを追加することを選択できます。
      • 使用できる整数演算子は次のとおりです。

        "=", "!=", ">", "<", ">=", "<="

      • 使用できる文字列演算子は次のとおりです。

        "="、"!="、"IN"

      以下は、単純なフィルターの例です

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON ベースのフィルターを使用すると、より複雑な条件を定義できます。JSON オブジェクトのステータスがアクティブである必要があります。

      [ JSON フィルター] チェックボックスをオンにすると、JSON を使用してフィルター条件を適用できる詳細フィルターに切り替わります。

      詳細フィルターの例:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      注:
      アカウントはデフォルトでアクティブになっていますが、入力はデフォルトでは非アクティブになっているため、データのインポートを開始するにはアカウントを有効にする必要があります。可能なフィルターについては、「脅威 インテリジェンスセキュリティセンター (TISC) アプリケーションに観測事象ソースレコードを追加する 」のObservable_filtersセクションを参照してください。
    9. [追加] をクリックして入力を追加します。
    10. [クローンまたはコピー] をクリックして、既存のアカウントに基づいて新しいアカウントをコピーして作成します。
      同じ基準を使用してデータをインポートするときに重複エントリが作成されないように、クローンを作成する前に入力が非アクティブ化されていることを確認してください。
    11. データがプルされると、次の情報が取得され、TISC からプルされたレコードとともに Splunk 内の KV ストアに保存されます。
      フィールド 説明
      脅威スコア レコードに関連付けられた脅威のレベルを示すスコア。
      信頼性 脅威スコアの精度に関連付けられた信頼性レベルを示します。
      有効期限 有効期限が切れる前にアプリケーションでレコードが有効な期間。
      脅威レベル 脅威の重大度レベルを示します。
      評判 関連するエンティティの評判を示します。
      更新者 レコードを最後に更新したユーザーに関する情報を提供します。
      更新時間 レコードが最後に更新されたタイムスタンプを示します。
      作成時刻 レコードの作成時刻を示します。
      Days_till_expiry レコードが KV ストアから削除されるまでの日数を示します。
      Source_reported_score TISC から報告されたソーススコア。
      Sys_id TISC を介して受信されるレコードの Sys ID。
      脅威の重大度 観測事象の脅威の重大度を示します。
      レコードの値。たとえば、IP、ハッシュなどです。

      これらのフィールドは、条件で定義された他のフィールドとともに Splunk で利用可能になり、[検索] タブを使用して表示、検索、および分析できます。