Splunk Enterprise Security イベントの取り込み統合でのイベントプロファイルの作成と名前の設定
ServiceNow AI Platform インスタンスにイベントプロファイルを作成し、セキュリティインシデントを作成する Splunk 注目イベントを指定します。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
ServiceNow AI Platform セキュリティインシデントレスポンス(SIR) セキュリティインシデントが取り込まれた注目イベントから作成される前に、アラートのフィールド値が ServiceNow AI Platform セキュリティインシデントのレイアウトに表示されるため、実際のセキュリティインシデントがどのように作成されるかをプレビューできます。
利用可能な API を使用した統合の観点から、Splunk ES 注目イベントは、個別の注目イベントとして個別に手動で転送されるか、定義されたプロファイルタイプに応じて、ServiceNow AI Platform インスタンスの セキュリティオペレーション 環境に自動的に取り込まれます。
統合ワークフローでは、不正なアクセス試行やマルウェアなどのさまざまなタイプの注目イベントを取り込めます。これらの注目イベントは、インスタンスの セキュリティオペレーション 環境で設定したプロファイルに基づいて取り込まれます。
すべての注目は、プロファイル内の設定された相関検索タイプに対して最初に取り込まれます。取り込まれた注目をさらにフィルタリングして、セキュリティインシデントを作成する注目イベントを指定できます。たとえば、高リスクとして識別された注目イベントに対してのみセキュリティインシデントを作成するフィルターを使用できます。プロファイルがアクティブになり、取り込まれた注目イベントからセキュリティインシデントが作成される前に、注目イベントの個々のフィールド値が、プレビュー用にセキュリティインシデントのレイアウトの対応するフィールドにマッピングされます。
手順
スケジュール済み注目イベントの取り込み用プロファイルの設定
定義されたプロファイルに応じて、Splunk ES の注目イベントが ServiceNow AI Platform インスタンスの セキュリティオペレーション 環境に自動的に取り込まれます。
次の表は、注目イベントのスケジュール済み取り込み用プロファイルを設定するために従う必要があるタスクのリストです。
| タスク | セクション |
|---|---|
| イベントプロファイルの作成 | 「スケジュール済み注目イベントの取り込み用プロファイルの作成」を参照してください。 |
| 相関検索名に基づく注目イベントの選択 | 「Splunk ES イベントの取り込み統合でのプロファイルの相関ルール名に基づいた注目イベントの選択」を参照してください。 |
| 注目イベントフィールドのマッピング | 「Splunk Enterprise Security 統合での注目イベントフィールドのマッピング」を参照してください。 |
| カスタムマッピングの作成 | 「Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (スケジュール済みの取り込み)」を参照してください。 |
| セキュリティインシデントのプレビュー | 「Splunk Enterprise Security イベントの取り込み統合のセキュリティインシデントをプレビューする」を参照してください。 |
| 新規および更新された注目イベントのスケジュール設定と取得 | 「Splunk Enterprise Security イベントの取り込み統合での新規および更新された注目イベントのスケジュール設定と取得」を参照してください。 |
| SIR インシデント状況に基づく注目イベントの更新とクローズの自動化 | 「SIR インシデント状況に基づく注目イベントの更新とクローズの自動化」を参照してください。 |
スケジュール済み注目イベントの取り込み用プロファイルの作成
注目イベントが自動的に取り込まれるようにプロファイルを設定できます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
手順
-
フィールドに入力します。
完成したフォームの例が表の後に表示されます。
フィールド 説明 名前 プロファイルの一意の名前。名前が一意でない場合、エラーが表示され、重複するプロファイル名は保存されません。 ServiceNow AI Platform インスタンスのプロファイル名は一意である必要があります。
アクティブ デフォルトでは、このチェックボックスはクリアされ、無効にされています。アクティブにする前に、プロファイルのすべてのセクションを完了する必要があります。 タイプ 選択リストからプロファイルタイプを選択します。 - スケジュール済みイベントの取り込み:このタイプのプロファイルは、構成されたスケジュールで取り込まれる注目イベントをサポートします。フィールドに入力します。
- 手動イベント転送:このタイプのプロファイルは、オンデマンドで Splunk Enterprise Security インシデントレビューコンソールから手動で転送される注目イベントをサポートします。これらのタイプのプロファイルのフォームに入力するには、次のステップを参照してください。
ソース 注目イベントを取り込むために構成した Splunk サーバーまたは検索終了。複数の Splunk サーバーが構成されている場合は、プロファイル用に取り込まれる注目イベントタイプに適したサーバーを選択します。値を入力する必要があります。 順序 デフォルトは 100 です。 複数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルが同じトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明 このプロファイルを他のプロファイルと区別するための追加テキスト。 次の図は、スケジュール済み注目イベントタイプの完成したフォームの例です。
次のタスク
次のステップでは、自動取り込みの対象となる注目イベントを選択します。
Splunk ES イベントの取り込み統合でのプロファイルの相関ルール名に基づいた注目イベントの選択
スケジュール済み注目イベントの取り込み用プロファイルを作成した後、対応する注目イベントを ServiceNow AI Platform セキュリティインシデントレスポンス セキュリティインシデントにマップするために、このプロファイルの Splunk Enterprise Security 相関ルール名を選択します。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
ServiceNow AI Platform インスタンスで利用可能な相関ルールを表示して、セキュリティインシデントを取り込んで作成する注目イベントタイプを確認します。相関ルールを選択します。このフォームのリストから 1 つ以上の注目イベントを選択できます。
手順
-
[相関ルール] リストから、次のいずれかのオプションを選択して単一の相関ルールまたは複数の相関ルールを選択し、それを [利用可能] 列から [選択済み] 列に移動します。
このフォームの相関ルールのリストは、Splunk ES インシデントレビューコンソールの相関ルールのリストと一致します。このフォームには最大 500 件の相関ルールが表示されます。Splunk ES に 500 件を超える相関ルールがリストされている場合、ServiceNow AI Platform インスタンスのこのフォームには最初の 500 件の注目イベントのみが表示されます。
オプション 説明 [相関ルールリスト] 検索フィールドにテキストを入力します。 検索フィールドの下の列は、入力したテキストに基づいて利用可能なオプションでフィルタリングされます。相関ルールを選択し、矢印キーを使用して、選択したアラームを [利用可能] から [選択済み] に移動します。 [相関ルール] リストで、[相関ルール] をダブルクリックします。 [選択済み] 列に選択内容が入力されます。 [相関ルール] リストで、[相関ルール] をシングルクリックします。 相関ルールが選択されます。矢印キーを使用して、選択した相関ルールを [利用可能] から [選択済み] に移動します。
次のタスク
スケジュール済み Splunk Enterprise Security プロファイルの相関ルールが正常に選択されました。次のステップでは、注目イベント値を セキュリティインシデントのフィールドにマップします。
Splunk Enterprise Security 統合での注目イベントフィールドのマッピング
プロファイルの特定の相関ルールと注目イベントタイプを特定したら、次のステップでは、個々の注目イベントフィールドを ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントのフィールドにマップします。
マッピングの概要
マッピングステップでは、選択した相関ルールのサンプルの注目イベントを取り込むことも、手動で転送された注目イベントの注目イベントデータをエクスポートすることもできます。イベントマッピングプロセスは、作成するプロファイルタイプに関係なく同じです。
次の図は、イベントプロファイルのタイプごとに提供されるデフォルトのマッピング構成の例です。セキュリティインシデントを入力するフィールドをカスタマイズできます。このマッピングフェーズで、関連するすべての注目イベントフィールドデータが、SIR インシデントフォームの適切な場所にマッピングされていることを確認して、SIR インシデントをプレビューセクションで可視化できます。
複数の相関が使用されている場合は、必要なイベントを選択することで注目イベントをフェッチできます。取り込み用に複数のアラートを構成した場合は、[アラート名] を使用してアラートを選択します。
クリックしてデータをフェッチすると、Splunk 注目イベントフィールドの名前と対応する値がフォームの左側に入力されます。これらは、SIR セキュリティインシデントフィールドにマップ可能な Splunk 注目イベントフィールドです。一部のフィールドは、SIR セキュリティインシデントフィールドに複数回マッピングできます。
Splunk コンソールでいくつかのサンプル注目イベントを確認して、フィールドマッピング構成ステップに取り込むこともできます。このステップは、進捗状況バーで [マッピング] とラベル付けされます。このページが表示されない場合は、進捗状況バーの [マッピング] をクリックします。Splunk Enterprise Security から最大 5 つのサンプル注目イベントを取り込んで、注目イベントフィールドのマッピングプロセスを支援できます。選択した相関ルールの最新の 5 つの注目イベントを取り込むか、注目イベント ID に基づいて最大 5 つの特定の注目イベントを取り込むオプションがあります。
- スケジュール済み注目イベントのサンプルデータの取り込み:自動的に取り込まれた注目イベントプロファイルに使用されるサンプルデータの場合、サンプルデータが取得されると、使用可能な注目イベントフィールドとそれに対応する値が、マッピングフォームの左側のデフォルトのマッピングレイアウトに表示されます。プルした特定の注目イベント ID の値を表示するタブが表示されます。フォームの左側にある [注目イベントサンプルの取り込み] セクションのすべての重要なフィールドが、フォームの右側の ServiceNow セキュリティインシデントフィールドにマッピングされていることを確認します。
- フィールドマッピング:左側から注目イベントフィールドをドラッグして、右側の [ServiceNow SIR インシデントマッピング] セクションにドロップし、マッピング構成を編集します。右側のマッピングで、[受信注目イベント] フィールドを [送信セキュリティインシデント] フィールドに関連付けることができます。
- マッピングエクスペリエンス:[SIR インシデントフィールドマッピング] セクションの下部にある [+] アイコンを使用してフィールドを追加または削除し、マッピンググリッドをカスタマイズします。提供されている色分け (マップ済みのフィールドはグレー表示、マップされていないフィールドは青) を使用して、見落とされているフィールドや重複フィールドを追跡します。
- インシデント生成条件:マッピングセクションが完了したら、フィルター条件を設定して、どの注目イベントがセキュリティインシデントを作成し、どの注目イベントがフィルタリングで除外されるか (低優先度の違反など) を指定できます。これは、[注目イベントのマッピング (Notable Event Mapping)] セクションの下にある [インシデント生成条件] セクションで行います。
- イベント集計基準:類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信注目イベントを集計する追加のイベント集計基準を定義します。この追加の集計機能では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのセキュリティ注目イベントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。
- フォーマットフィールド変換:場合によっては、Splunk Enterprise 注目イベントのイベントフィールド値は、SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターを使用すると、 [マルウェアアラート] と [ウイルス感染]のカテゴリ値でソースカテゴリのフィールド値が異なる可能性がありますが、フォーマットフィールド変換機能を使用して、SIR セキュリティインシデントの [カテゴリ] フィールドで両方の値を一般的な悪意のあるコードアクティビティに変換することができます。
次のステップでは、注目イベントを取り込み、値を SIRセキュリティインシデントフィールドにマップします。
Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (スケジュール済みの取り込み)
注目イベントフィールドマッピングのステップでは、注目イベントから個々のイベントフィールドを (ServiceNow AI Platform セキュリティインシデントレスポンスSIR) セキュリティインシデントのフィールドにマップします。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
マッピンググリッドは、相関ルールの選択で選択した注目イベントタイプに合わせてカスタマイズできます。マップされていない残りのフィールドはすべて青で表示されるのに対し、すでにマップされたフィールドはグレー表示されるため、イベントフィールドの色分けは、マップされたイベント値の追跡に役立ちます。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なイベント情報を視覚的に把握できます。
フォームの左側にある [注目イベントサンプルの取り込み] 列から、右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドに最大 5 つの注目イベントをマッピングします。
フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。セキュリティインシデントレスポンスフォームに入力する通常重要なフィールドであるデフォルトのフィールドが表示されます。ただし、[+] および [-] ボタンを使用して、これらのフィールドを削除し、追加のフィールドを表示することができます。フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、SIR セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない Splunk フィールドをマッピングできます。
手順
-
取り込みがスケジュールされているプロファイルの場合は、 [注目イベントサンプルの取り込み] の下にある [サンプルデータをフェッチ] をクリックして、Splunk Enterprise コンソールから選択した相関ルールに対応する最新のサンプル注目イベントをプルします。
注:最新のサンプル注目イベントをプルするか、注目イベントマッピングエクスペリエンスに使用する特定の注目イベントの一意の注目イベント ID を指定できます。
注目イベントのフィールドと値の結果は、個別のタブとして表示されます。最大 5 つの注目イベントを取り込むことができます。
サンプル注目イベントのプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。
次の図では、取り込みプルの完了後に、取り込まれた注目イベントまたはインポートされたサンプルイベントのフィールド名値のペアがこのフォームの左側に表示されます。これらの値は、フォームの [SIR インシデントフィールドマッピング] 側のセキュリティインシデントフィールドにマッピングする値です。
-
フィールド名 ( rule_name など) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。
フィールド値が [入力式] 列に表示されます。次の画像では、 rule_name セキュリティインシデントの [簡単な説明 ] フィールドにマッピングされています。ただし、左側から右側のフィールドまでの任意の値を一致させることができます。プレビューステップで、セキュリティインシデントの値が正しくマッピングされていることを確認します。
マッピングプロセスでイベントフィールドが見落とされたり重複したりしないように、フィールドは色分けされています。左側のライトブルーのフィールドは、注目イベントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信注目フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。
灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、マッピングを追跡するのに役立ちます。
-
フォームの右側のセキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のステップを実行します。
-
[セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
新しいフィールドの展開されたリストでは、一部のフィールドが網掛けされています。次の図では、セキュリティインシデントにマッピングされているため、 rule_name の背景がグレーになっています。フォームの左側の注目イベントフィールドの色分け同様、セキュリティインシデントフィールドのこの色分けも、すでにマップされた SIR インシデントフィールドを追跡するのに役立ちます。
注:同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
-
[セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
-
フィールドの値をマッピングに追加するか、削除して、マッピングを続行します。
次の図は、編集されたマッピングの例です。右側の下部のフィールドに [作業メモ] フィールドが追加され、複数の値が表示されます。長いテキスト文字列フィールドの場合は、マッピングフィールドを展開して文字列全体を表示し、下のスクリーンショットに示すように、追加された [作業メモ] フィールドを使用してフィールドの右下隅をプルすることで、必要に応じてサイズを変更できます。警告:[SIR インシデントフィールドマッピング] セクションの [入力式] フィールドに記載されている URL とポート番号は単なる例であり、初期設定の URL またはポート番号ではないことに注意してください。
プレビューでは、これらの値はセキュリティインシデントの [作業メモ] に表示されます。値は [マッピング] セクションに追加したフィールドの値であり、[作業メモ] フィールドに複数の値がマッピングされているため、値は入力されたとおりに表示されます。この例では、フィールドに入力したスペースと句読点が、セキュリティインシデントのプレビューの作業メモとして [関連アイテム] セクションに表示されます。
次の画像は、前の画像の値がセキュリティインシデントにどのように表示されるかを示した例です。
-
SIR でマッピングされたフィールドの更新を受信するには、入力式の [ 更新を有効にする ] チェックボックスをオンにします。
- オプション:
先行するフィールドマッピングのステップを完了したら、インシデント生成条件ビルダーで同じフィールド値を使用して、SIR セキュリティインシデントを作成するために受信注目イベントが満たす必要がある追加の条件を定義することができます。
インシデント生成条件を設定するには、次のステップを実行します。
-
フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。
フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。
フィルター条件ビルダーの最初のフィールドのリストにあるオプションは、取り込まれたイベントの [注目イベントサンプルの取り組み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込む Splunk 注目イベントまたは手動で転送された注目イベントサンプルに選択するイベントに応じて変化します。入力する条件は大文字と小文字が区別され、Splunk Enterprise Security 注目イベントの値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、Splunk Enterprise Security コンソールに戻り、注目イベントをレビューしてキーワードを確認することができます。
- オプション:
2 行目で、2 番目のフィルター条件を設定します。
次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。
入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、インシデント生成条件を設定しました。
この種のインシデント生成条件フィルタリングで、Splunk で基となる相関検索またはフィルターを変更することなく、セキュリティイベントを絞り込み、作成する不要なセキュリティインシデントの数を制限することができます。追加のフィルター条件を設定する場合、すべての条件に一致する注目イベントのみがインシデントにマップされます。
注:イベントフィールド名に引用符 (")、ハイフン (')、アンダースコア (-)、アットマーク (@)、またはアンパサンド (@) などの特殊文字が含まれている場合、これらの文字はマッピング変換のために置き換える必要があり、重複イベント名が作成される可能性があります。マッピングは適切に実行できますが、重複するイベント名を持つフィールドを区別するために数値のサフィックスが追加されます。たとえば、最初のイベントフィールドがalerts.alertで、2 番目のイベントフィールドがalerts@alertsの場合、残りの標準的なテキスト文字は同じであるため、これらのフィールドは一意に識別されません。この場合、サフィックスが 2 番目のイベントフィールドに追加され、フィールド名が「alerts@alert(1)」に変更されます。
類似の注目を処理して重複インシデントを防止するイベント集計基準
-
フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。
- オプション:
重複セキュリティイベントが作成されないように、追加のイベント集計条件を定義して、受信注目イベントをオープンセキュリティインシデント別に集計することができます。
条件を設定するには、以下のステップを実行します。
-
[新しい基準を追加] を使用して複数のフィールド一致条件を選択します。
複数選択入力フィールドで選択したすべてのフィールド値は、AND 条件を使用して集計基準と照合されます。[新しい基準を追加] をクリックし、OR 条件を使用して、定義された複数選択フィールド条件のいずれかを満たしている場合に集計が行われるように複数のフィールド一致条件を選択します。
新しい注目イベントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しい注目イベントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計注目イベントを表示できます。セキュリティインシデントの集計された注目イベントはすべて、[タスクに対する Splunk イベント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、これらの注目イベントが既存のセキュリティインシデントに集計される理由を理解するのに役立ちます。このタブが表示されない場合は、 [関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。
Splunk注目イベントから SIR セキュリティインシデントのフィールドに値を正常にマッピングしました。また、インシデント生成フィルタリング基準を使用してセキュリティインシデントの作成を制限する追加条件も構成しました。イベントフィールド値が設定された集計基準に一致する場合は、注目イベントを既存の SIR セキュリティインシデントに追加しました。 -
[新しい基準を追加] を使用して複数のフィールド一致条件を選択します。
次のタスク
次のステップでは、 セキュリティインシデントにマッピングした値をプレビューします。
Splunk Enterprise Security イベントの取り込み統合のセキュリティインシデントをプレビューする
マッピングステップを完了したら、ServiceNow AI Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントでマッピングした値をプレビューします。このプレビューステップでは、セキュリティインシデントに表示するすべての注目フィールドがマッピングされていることを確認できます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
セキュリティインシデントをプレビューし、必要に応じてマッピングを再編集して、エラーのあるフィールドを修正するか、欠落しているデータを入力します。プレビューが正常に完了しない場合、スケジュール設定ステップに進むことはできません。SIR セキュリティインシデントのプレビューは、SIR 製品の実際のインシデントとして保存されません。
手順
-
[サンプル注目イベント ID] 選択リストから、アイテムを選択します。
セキュリティインシデントが表示されます。フィールドの情報は変更しないでください。このビューは読み取り専用であり、このセキュリティインシデントのレコードは保存されません。
-
セキュリティインシデントの注目イベント値のフィールドマッピングを確認します。
前の画像は、マッピングエラーのあるプレビューの例です。この例では、注目イベントのフィールド値に、SIR インシデントフォームの参照フィールドの許容値がありません。ServiceNow® 顧客管理データベース (CMDB) の [構成アイテム] フィールドの入力値が見つからなかったことを示すエラーメッセージが表示されます。その結果、このマップされたフィールド値は、さらに変更しないと SIR セキュリティインシデントフォームに表示されません。
-
マッピングを再度プレビューし、エラーメッセージに記載されているエラーの修正を続行します。
次の図は、すべてのエラーメッセージが解決された後の SIR セキュリティインシデントの下半分にある [インシデントの詳細] タブの例です。この例では、 [説明] および [作業メモ] フィールドがマッピングされ、これらのフィールドには Splunk Enterprise Security 注目イベントサンプルからプルされた値のペアの値が入力されます。最初の [作業メモ] フィールドには値がありません。マッピングステップで、このフィールドはマッピンググリッドで空のままになっていました。値を含む追加の [作業メモ] フィールドが、マッピングセクションに追加されました。
次のタスク
エラーメッセージが表示されず、セキュリティインシデントのフィールドマッピングに問題がない場合は、次のステップでは Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得 を行います。
Splunk Enterprise Security イベントの取り込み統合での新規および更新された注目イベントのスケジュール設定と取得
自動注目イベントの取り込み用プロファイルの場合、このステップはイベントプロファイル構成で必要です。このステップでは、必要に応じて、注目イベント取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲を使用して履歴注目イベントを取得することもできます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
自動注目イベント取り込み用プロファイルの場合、[スケジュール] ステップで履歴注目イベントを取り込むかどうかを選択できます。また、アラートプロファイル構成に一致する将来の新しい注目イベントと更新された注目イベントをポーリングする頻度も選択します。
自動注目イベント取り込み用プロファイルの場合は、プロファイルをアクティブ化する前に、スケジュールとアラートの取得を確認して変更します。スケジュール済みアラート用プロファイルの場合、このステップはすべてのイベントプロファイル構成プロセスで必要なステップです。
これらのポーリング間隔をプロファイルごとに設定します。Splunk イベントの取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受けます。スケジューリングでは、Splunk Enterprise Security サーバーのポーリングのオーバーヘッドを減らすことと、注目イベントが作成または更新されたときにできるだけ早く通知することのバランスを取ることをお勧めします。どのプロファイルにも 5 分のデフォルト値が設定されていますが、必要に応じてこの設定を 1 分に変更することもできます。
新規および更新された注目イベントのプル
ポーリングスケジュールが設定されると、スケジュール済みジョブは、以前にプルされたが、インシデントのフィルター条件を満たしていなかった新規の注目イベントと更新された注目イベントの両方をプルします。これにより、注目イベントが最初に作成されたときに存在しなくても、たとえば調査フェーズ中に更新が発生した後に存在する可能性がある条件に基づいて、インシデントを作成できます。特定の注目イベントに対してインシデントが作成されると、その後の更新は無視されます。これは、注目がアクティブな ServiceNow® セキュリティインシデントとして扱われていることが想定されるためです。ただし、以前に取り込まれたが、インシデント生成条件を満たしていない他のすべての注目は引き続きプルされ、アクティブなインシデントの一部になるまでインシデント生成条件と照合されます。
手順
-
Splunk Enterprise Security コンソールから注目イベントをプルする方法とタイミングをスケジュールするものを選択します。
オプション 説明 - [進行中のイベントの取り込み] フィールドを選択
- [1 回限りの取得] フィールドをクリア
進行中のイベント デフォルト設定に基づいて、ServiceNow AI Platform インスタンスは Splunk Enterprise Security サーバーから新しい注目イベントと更新された注目イベントを 5 分ごとにプルします。注目イベントが検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。最新のデータを取得するための取り込みポーリングのオーバーヘッドのバランスを取るため、デフォルト設定は 5 分です。ただし、この値は必要に応じて 1 分程度に変更できます。
- [進行中の注目イベント] フィールドをクリア
- [1 回限りの取得] フィールドを選択
1 回限りの取得 1 回限りのプルで履歴注目イベントを取り込む場合は、この構成を使用します。
この設定を構成すると、日付範囲に基づく履歴イベントから注目イベントを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までの注目イベントが取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、アーカイブ上の理由により Splunk Enterprise Security から大量の履歴イベントを取得することを意図したものではなく、プロファイルをアクティブ化する時にアクティブに作業されている最小限の実行中のイベントを取得します。
注目イベントがプルされた後、この設定では、現在の日付以降はこのプロファイルの注目イベントは取得されません。この設定により、入力した範囲で検出されたすべての注目イベントがセキュリティインシデントに入力されます。初期注目イベントの取り込み時刻をスケジュールする例として、現地時間の午前 4 時に 1 日 1 回実行される日次 Splunk セキュリティチェックがある場合、ServiceNow AI Platform インスタンスで対応する注目イベントプロファイルを現地時間午前 4 時 5 分に実行するように設定して、セキュリティ障害イベントをすぐにキャプチャし、セキュリティインシデントを作成できます。[初期イベントの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、最初のイベントの取り込みから 24 時間後に次のイベントの取り込みをスケジュールします。初期イベントの取り込み時刻と次のイベントの取り込み時刻の両方がフィールドに表示されます。
SIR インシデント状況に基づく注目イベントの更新とクローズの自動化
セキュリティインシデントは、Splunk Enterprise Security 統合を使用して双方向インターフェイスで作成した後に作成および更新できます。
始める前に
Splunk Enterprise Security 統合には、セキュリティインシデントを作成し、セキュリティインシデントが作成および/またはクローズされた後に注目イベントを更新できるようにする、双方向のインターフェイスがあります。
関連するインシデントの詳細には、SIR インシデント番号、アサイン先グループ、 SIR インシデント URL が含まれます。このセクションは、Splunk Enterprise Security 注目イベントを更新するオプションの機能を提供するプロファイル構成セットアップの最後の部分です。
必要なロール:sn_si.ingestion_profile_admin
手順
-
[完了] をクリックして、構成を完了します。
確認ダイアログが表示されます。これで統合のセットアップと構成が正常に完了しました。このプロファイルをアクティブ化して、スケジュールに基づいて Splunk Enterprise Security コンソールから注目イベントをプルします。24 時間内に作成できるセキュリティインシデント数は 1,000 件に制限されます。発生したアラートごとに最大 100 件の注目イベントに制限されます。制限に達すると、後続の注目イベントは無視されます。次の画像は、デフォルト値が入力された [その他のオプション] タブを示しています (
)。[その他のオプション] の構成を有効にすると、注目イベントインシデントレビューでステータスの変更と履歴コメントの更新が表示されます (
)
手動イベント転送用のプロファイルの設定
定義されたプロファイルに応じて、Splunk ES の注目イベントが個別の注目イベントとして ServiceNow AI Platform インスタンスの セキュリティオペレーション 環境に転送されます。
注目イベントの手動転送用のプロファイルを設定するには次のタスクを実行してください。
| タスク | セクション |
|---|---|
| イベントプロファイルの作成 | 「手動で転送されるイベントのプロファイルの作成」を参照してください。 |
| 注目イベントフィールドのマッピング | 「Splunk Enterprise Security 統合での注目イベントフィールドのマッピング」を参照してください。 |
| カスタムマッピングの作成 | 「Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (手動転送)」を参照してください。 |
| セキュリティインシデントのプレビュー | 「Splunk Enterprise Security イベントの取り込み統合のセキュリティインシデントをプレビューする」を参照してください。 |
手動取り込み用に Splunk 環境を設定 |
「Splunk Enterprise Security 注目イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」を参照してください。 |
| SIR インシデント状況に基づく注目イベントの更新とクローズの自動化 | 「SIR インシデント状況に基づく注目イベントの更新とクローズの自動化」を参照してください。 |
手動で転送されるイベントのプロファイルの作成
手動イベント転送用のプロファイルを設定できます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
手順
Splunk Enterprise Security コンソールからオンデマンドで転送するイベントの場合、既存のプロファイルに基づいて個々のフィールドマッピングを行うことができます。または、エクスポートされた添付ファイルデータの新しいマッピンググリッドを作成することもできます。手動で転送するイベントは、イベントプロファイルでスケジュールされません。
-
表示される [マッピングオプション] フィールドで、選択リストからマッピングオプションを 1 つ選択して続行します。
[マッピングオプション] 選択リストで利用可能なマッピングオプションの詳細については、次の図とテーブルを参照してください。
表 : 2. 新しいフィールドマッピングオプションの作成 オプションまたはフィールド 説明 新しいフィールドマッピングオプションの作成 イベントの新しいフィールドマッピング。 作成しているプロファイルに類似した既存のフィールドマッピングがない場合は、このオプションを選択して新しいマップを作成します。
デフォルトプロファイル すべての Splunk イベントのデフォルトのイベント転送プロファイル。デフォルトはクリア (非アクティブ化) されています。
このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。このプロファイルは、手動で転送されたイベントのソースと一致しない場合に使用されます。これは、不明なソースを持つすべてのイベントのデフォルトプロファイルになります。
デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
ソース (注目イベントフィールド) これは通常、 総当たり攻撃などの注目をトリガーした相関ルールを定義するフィールドです。 デフォルトのプロファイルオプションが有効になっている場合、このフィールドは使用できません。
利用可能な場合、このフィールドは、通常はイベントタイプごとに異なる Splunk 相関ルールに基づいて、セキュリティインシデントフィールドへの一意のイベントフィールドマッピングを許可します。
さまざまな相関ルールを個別に管理する場合は、相関ルールに基づいてさまざまなプロファイルイベントプロファイルを作成して、この要件を満たすことができます。
注目イベントの更新を自動化 SIR インシデントが注目イベントから作成されたとき、および/または SIR インシデントがクローズされたときに、注目イベントステータスを更新してコメントを追加する場合は、このチェックボックスをオンにします。これは、SIR インシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。 ソース (Splunk サーバー)
注目イベントのソースとして構成した Splunk サーバー。複数の Splunk サーバーが構成されている場合は、プロファイル用に更新される注目イベントタイプに適したサーバーを選択します。値を入力する必要があります。
順序 デフォルトは 100 です。この設定はデフォルトのままにします。 多数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明 このプロファイルを他のプロファイルと区別するためのテキスト。 新しいフィールドマッピングがあるプロファイルの場合は、[ソースタイプ] フィールドに値を入力したことを確認してから、[続行] をクリックして構成のマッピングステップに進みます。
既存のフィールドマッピングがあるプロファイルの詳細については、次の図とテーブルを参照してください。表 : 3. フィールドマッピングオプションの既存のプロファイルの選択 オプションまたはフィールド 説明 フィールドマッピングの既存のプロファイルを選択 新しい注目イベントプロファイルの既存のフィールドマッピングを再利用します。[プロファイルからコピー] フィールドが表示されます。 このプロファイルの既存のフィールドマッピングをコピーするには、次のステップを実行します。
- 表示される [プロファイルからコピー] フィールドの左側にある検索アイコンをクリックします。
- 表示される Splunk ES イベントプロファイルリストで、コピーするマップが含まれるプロファイル名をクリックします。
プロファイル名が [プロファイルからコピー] フィールドに表示されます。
デフォルトプロファイル 一致しないソースのある、すべての Splunk 注目イベントのデフォルトイベント転送プロファイル。デフォルトはクリア (無効化) されています。
このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。
デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
ソース (注目イベントフィールド) これは通常、 総当たり攻撃などの注目をトリガーした相関ルールを定義するフィールドです。 デフォルトのプロファイルオプションが有効になっている場合、このフィールドは使用できません。
利用可能な場合、このフィールドは、通常はイベントタイプごとに異なる Splunk 相関ルールに基づいて、セキュリティインシデントフィールドへの一意のイベントフィールドマッピングを許可します。
さまざまな相関ルールを個別に管理する場合は、相関ルールに基づいてさまざまなプロファイルイベントプロファイルを作成して、この要件を満たすことができます。
注目イベントを自動化 セキュリティインシデントが注目イベントから作成されたとき、またはセキュリティインシデントがクローズされたときに、注目イベントステータスを更新してコメントを追加する場合は、このチェックボックスをオンにします。これは、セキュリティインシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。 ソース (Splunk サーバー)
注目イベントのソースとして構成した Splunk サーバーまたは検索終了。複数の Splunk サーバーが構成されている場合は、プロファイル用に更新される注目イベントタイプに適したサーバーを選択します。値を入力する必要があります。
順序 デフォルトは 100 です。この設定はデフォルトのままにします。 複数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明 このプロファイルを他のプロファイルと区別するためのテキスト。 プロファイルの既存のマッピングを選択するフォームの下部で、[完了] をクリックしてプロファイルの構成を完了します。
Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (手動転送)
注目イベントフィールドマッピングのステップでは、注目イベントから個々のイベントフィールドを (ServiceNow AI Platform セキュリティインシデントレスポンスSIR) セキュリティインシデントのフィールドにマップします。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
フォームの左側にある [注目イベントサンプルの取り込み] 列から、右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドに最大 5 つの注目イベントをマッピングします。
フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。SIR インシデントフォームに入力する通常重要なフィールドであるデフォルトフィールドが表示されます。ただし、[+] および [-] ボタンを使用して、これらのフィールドを削除し、追加のフィールドを表示することができます。フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、SIR セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない Splunk フィールドをマッピングできます。
手順
- このマッピングフォームが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
-
ServiceNow AI Platform® インスタンスに添付ファイルデータをアップロードするには、これらのステップを実行します。
-
注目イベントを展開し、[フィールド] 列でインポートするフィールドを選択します。
これらのフィールドは、ServiceNow AI Platform® インスタンスの [マッピング] ページにエクスポートされて表示されるフィールドと値のペアです。
-
[エクスポート] をクリックします。
エクスポートされた Splunk 注目イベントの XML ファイルを ServiceNow AI Platform® インスタンスにアップロードする必要があります。 -
[注目イベントサンプルの取り込み] 列で、[添付ファイルデータをロード] をクリックします。
-
注目イベントを展開し、[フィールド] 列でインポートするフィールドを選択します。
- Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (スケジュール済みの取り込み) セクションのステップ 5 〜 10 に従います。
Splunk Enterprise Security 注目イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定
この統合用に Splunk Enterprise Security コンソールから手動でオンデマンドでイベントをエクスポートする場合は、Splunk Enterprise コンソールまたは Splunk クラウンドインスタンスに ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security アプリケーションをインストールして設定します。
始める前に
Splunk Enterprise コンソールまたは Splunk クラウンドインスタンスへの ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security アプリケーションのインストールと設定はオプションです。
手動イベントの取り込みに必要な splunkbase からのアドオンプラグインをインストールする前に、ServiceNow Store からこの統合用のアプリケーションがインストールされていることを確認してください。ServiceNow Store から統合用のアプリケーションをインストールしていない場合は、「Splunk Enterprise Security 注目イベントの取り込み統合のインストールと構成」を参照し、手順に従ってインストールします。
必要なロール:Splunk Enterprise Security アドミニストレーター
このタスクについて
統合用に Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合は、ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security を Splunk Enterprise Security コンソールにインストールして設定します。この ServiceNow 拡張アドオンは、ServiceNow AI Platform インスタンスにある手動でエクスポートされたイベントからセキュリティインシデントを作成するために必要です。ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security アプリケーションは splunkbase で入手できます。
手動イベント転送の場合は、Splunk Enterprise Security コンソールで最大 2 つの異なる ServiceNow AI Platform エンドポイント (インスタンス) を特定できます。イベントをエンドポイントに手動で転送して、セキュリティインシデントを作成します。たとえば、ステージング (開発) インスタンスと本番インスタンスの両方を指定できます。個別のインスタンスを指定し、各インスタンスのプライマリおよびセカンダリワークフローに名前を付けることで、さまざまなイベントの転送先を選択できます。
手順
-
アドオンを設定するには、次のステップを実行します。
-
フォームに記入します。
次の図は、Splunk Enterprise Security コンソールの完成したフォームの例です。
[ServiceNow プライマリインスタンスを指定] セクションのフィールド 説明 ワークフローアクションラベル 本番 (プライマリ) インスタンスの ServiceNow AI Platform ワークフローの名前。この名前は、Splunk イベントを監視しているユーザーがプライマリインスタンス (ServiceNow Event Ingestion (本番)) として特定する ServiceNow AI Platform インスタンスの名前です。 このフィールドのデフォルトは [ServiceNow Event Ingestion (本番)] です。
Splunk Enterprise Security コンソールで、このワークフロー名は、検索の展開された [イベントアクション] ドロップダウンリストの本番 (プライマリ) インスタンスに表示されます。この名前は本番インスタンスの名前です。その名前を編集できます。
URL 前のワークフローアクションラベルフィールドに入力した ServiceNow AI Platform インスタンスの URL。 ブラウザーで URL をコピーして、フォームのこのフィールドに貼り付けます。
エンドポイント ベース API パス。詳細については、テーブルの下の図を参照してください。 ServiceNow AI Platform 本番インスタンスのエンドポイントの値がない場合は、次のステップを実行します。
- システムアドミニストレーター (admin) ロールを持つユーザーとして ServiceNow AI Platform 本番インスタンスにログインします。
- ナビゲーションパネルに「スクリプト済み REST API」と入力します。
- ナビゲーションパネルが更新されたら、表示される [スクリプト済み REST API] モジュールを選択します。
- 表示される [スクリプト済み REST API] リストの [名前] 列に Event Ingestion が表示されない場合は、上部の検索フィールドに「Event Ingestion」と入力します。
- 更新されたページの [ベース API パス] 列で、この値をコピーしてフォームの [エンドポイント] フィールドに貼り付けます。ベース API パスの例は、/api/sn_sec_splunk_v2/event_ingestion です。
ユーザー名 ServiceNow AI Platform インスタンスのユーザー名。この名前は、手動イベント転送のために (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーを割り当てた ServiceNow AI Platform インスタンスのユーザー名です。 このロールの割り当ての詳細については、「Splunk Enterprise Event Ingestion 統合での ServiceNow AI Platform インスタンスの設定」を参照してください。
パスワード ServiceNow AI Platform インスタンスのパスワード。 このパスワードは、手動イベント転送のために (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーを割り当てた ServiceNow AI Platform インスタンスのパスワードです。
(オプション) [ServiceNow セカンダリインスタンスを指定] セクションのフィールド 説明 これらのフィールドはオプションです。セカンダリインスタンスを指定する必要はありません。
ワークフローアクションラベル セカンダリ (ステージング) インスタンスの ServiceNow AI Platform ワークフローの名前。この名前は、Splunk イベントを監視しているユーザーがセカンダリインスタンス (ServiceNow Event Ingeston (ステージング)) として特定する ServiceNow AI Platform インスタンスの名前です。 Splunk Enterprise Security コンソールで、このワークフロー名は、検索の展開された [イベントアクション] ドロップダウンリストのステージング (セカンダリ) インスタンスに表示されます。この ServiceNow AI Platform インスタンスはステージングインスタンスです。その名前を編集できます。
URL セカンダリ ServiceNow AI Platform インスタンスの前のワークフローアクションラベルフィールドに入力した ServiceNow AI Platform インスタンスの URL。 ブラウザーで URL をコピーして、フォームのこのフィールドに貼り付けます。
エンドポイント ベース API パス。セカンダリインスタンスのベース API パスのこの値は、プライマリインスタンスのベース API パスと同じ値です。詳細については、フォームの前の図を参照してください。 ユーザー名 ServiceNow AI Platform ステージングインスタンスのユーザー名。ユーザーは (sn_sec_splunk_v2.api_account_access) ロールを持っている必要があります。 パスワード ServiceNow AI Platform ステージングインスタンスのパスワード。ユーザーは (sn_sec_splunkes.api_account_access) ロールを持っている必要があります。 次の図は、ServiceNow AI Platform のスクリプト済み REST API リストの例です。リストには、Splunk Enterprise Security コンソールで ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security 拡張機能の設定の一部としてフォームに入力した ServiceNow AI Platform インスタンスのエンドポイント値の場所が表示されます。 -
フォームに記入します。
次のタスク
Splunk Enterprise Security コンソールに検索をまだ保存していない場合は、次のステップで Splunk Enterprise Security コンソールに検索をアラートとして保存します。