TISCアドオンの構成Splunk

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:8分

    • アプリケーションを構成するには、以下の手順に従います。

    始める前に

    必要なロール:Splunk admin

    このタスクについて

    次の手順で、Splunk での TISC アドオンの構成について説明します。

    手順

    1. 左側のナビゲーションから Splunk の脅威インテリジェンスセキュリティセンターアプリを検索します。
    2. [アクション] 列の下の [設定] をクリックします。
      [ 設定 ] ページが表示され、 ServiceNow TISC アカウントを設定できます。
    3. [追加] を選択します。
    4. フォームで、フィールドに入力します。
      フィールド 説明
      口座の追加
      名前 アカウントの一意の名前。
      ユーザー名 ServiceNow アカウントのユーザー名を入力します。上記の手順の sn_sec_tisc.api_obs_read_access ロール作成時に作成されたユーザーに使用されるものと同じユーザー名を使用できます。
      パスワード ServiceNow アカウントのパスワードを入力します。
      インスタンス URL ServiceNow インスタンスの URL アドレスを指定します。
    5. [追加] をクリックします。
      ServiceNow インスタンスアカウントが Splunk に追加されます。
    6. [入力] ページに移動して、コレクションを作成し、ServiceNow アカウントのデータ入力を管理します。
    7. [新規入力を作成 (Create New Input)] をクリックします。
      [入力を追加] ダイアログボックスが表示され、ServiceNow アカウントに入力を追加できます。

      入力セットが定義されると、アプリケーションは情報を TISC インスタンスに送信して、基準を満たす特定の数の観測事象を取得します。

    8. 必要に応じて入力の詳細を入力します。
      フィールド 説明
      名前 入力の一意の名前。たとえば、「悪意のある IP リスト」などです。
      アカウント ServiceNow アカウントのユーザー名を入力します。上記の手順の sn_sec_tisc.api_obs_read_access ロールで作成されたユーザーに使用されるものと同じユーザー名を使用できます。
      間隔 TISCからデータを取得する時間間隔を秒単位で設定します。
      有効期限(日数) 有効期限を日数で設定するオプション。
      注:
      サンプルの有効期限は 30 日に設定されています。たとえば、特定の日付にデータがプルされると、10,000 件のレコードが取得される場合があります。これらのレコードは、Splunk 内の KV (キー値) ストアに保存されます。レコードは取り込まれた日から 30 日間保持されます。31 日目に、KV ストアから自動的に削除されます。
      有効期限なし 取り込んだレコードを期限切れにしない場合は、このオプションを選択します。
      追加属性 推奨オプションのリストから属性を追加して、KV ストアに含めることができます。属性はカンマで区切る必要があります。

      必須属性テーブルの後に、許可される属性のリストが表示されます。
      フィルター インポートするデータのフィルター条件を定義します。

      フィルター条件を設定するには、脅威スコア、信頼性レベル、タイプなどのフィールドに基づいてクライテリアを定義します。

      単純なフィルター条件の場合は、このフィルターオプションを使用できます。ただし、より複雑なフィルター条件の高度なフィルタリングを行う場合は、JSON フィルターを追加する選択もできます。
      • 使用できる整数演算子は次のとおりです。

        「=」、 「!=」、「>」、「<」、「>=」、「<=」

      • 使用できる文字列演算子は次のとおりです。

        「=」、「!=」、「IN」

      以下は、単純なフィルターの例です

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON ベースのフィルターを使用すると、より複雑な条件を定義できます。

      詳細フィルターの例

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      注:
      アカウントはデフォルトでアクティブですが、入力はデフォルトで非アクティブであるため、データのインポートを開始するにはアクティブ化する必要があります。使用可能なフィルターについては、脅威インテリジェンスセキュリティセンター (TISC) アプリケーションへの観測事象ソースレコードの追加の「Observable_filters」セクションを参照してください。
    9. [追加] をクリックして入力を追加します。
    10. [クローン] または [コピー] をクリックして、既存のアカウントをベースに新しいアカウントをコピーして作成します。
      同じクライテリアを使用してデータをインポートするときに重複するエントリが作成されないように、クローンを作成する前に入力が非アクティブ化されていることを確認してください。
    11. データが取り込まれると、次の情報が取得され、TISC から取得されたレコードとともに Splunk 内の KV ストアに保存されます。
      フィールド 説明
      信頼性 脅威スコアの精度に関連付けられた信頼性レベルを示します。
      kvlookup_created_time キー値ストアでのレコード作成時刻を示します。
      kvlookup_days_till_expiry レコードが KV ストアから削除されるまでの日数を示します。
      instance_url ServiceNowインスタンスの URL アドレスを示します。
      reputation 関連するエンティティの評判を示します。
      source_reported_score TISCから報告されたソーススコア。
      sys_id TISC を通過するレコードの Sys ID。
      threat_level 脅威の重大度を示します。
      threat_score レコードに関連付けられた脅威のレベルを示すスコア。
      threat_severity 観測事象の脅威の重大度を示します。
      タイプ 観測事象タイプを示します。
      updated_by レコードを最後に更新したユーザーに関する情報を提供します。
      kvlookup_updated_time キー値ストアでレコードが最後に更新されたときのタイムスタンプを示します。
      レコードの値。IP やハッシュなどです。
      表 : 1. 追加属性
      フィールド 説明
      additional_context 必要に応じて、追加のコンテキストを指定します。
      attack_phases LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを示します。
      author 作成者名を入力します。
      コメント 必要に応じてコメントを追加します。
      作成完了 観測事象が作成された日時を示します。
      説明 説明を入力します。
      expiration_time 観測事象レコードの有効期限を指定します。
      拡張 観測事象の拡張を示します。
      first_observed データが初めて観測された時刻。
      first_seen このレコードが悪意のあるアクティビティを実行していることが初めて確認された日時。
      historically_significant 観測事象が履歴上重要と見なされるかどうかを示します。この TISC システムフラグは、観測事象をアーカイブから除外するために使用されます。
      ID TISC システムによって観測事象にアサインされた一意の識別子。
      is_defanged 観測事象値が無力化されたかどうかを示すフラグ。
      is_false_positive 観測事象が誤検出として識別されたかどうかを示すブールフラグ。
      language このオブジェクトのテキストコンテンツの言語を示します。
      last_observed データが最後に観測された時刻。
      last_seen このオブジェクトが悪意のあるアクティビティを実行していることが最後に確認された時間。
      メモ 観測事象レコードに関するメモを追加します。
      番号 TISC によって観測事象にアサインされたシステム生成番号。
      security_type 観測事象が許可リストまたは拒否リストのいずれに属しているかを指定します。
      no_of_sources 観測事象に貢献した一意のソースの数を表します。
      ソース このレコードの作成元である脅威のソースを指定します。
      ステータス 観測事象のステータス (アクティブまたは非アクティブ) を入力します。
      tisc_tags 観測事象に関連付けられている TISC タグを選択します。
      taxonomies 観測事象に関連付けられている分類を選択します。
      tlp TLP に基づくデータの機密性の設定を示す一意の値。
      更新日時 観察事項レコードが最後に更新された日時を示します
      usage_categories ボットネットやフィッシングなど、観測事象が該当するカテゴリ。
      watch_list 観測事象がウォッチリストに含まれているかどうかを指定するフラグ。

      これらのフィールドは、クライテリアによって定義された他のフィールドとともに Splunk で利用可能になり、[検索] タブから表示、検索、分析できます。