Self Assessment
External Threat Landscape Management

CYFIRMA App for Splunk

Download

本ユーザーマニュアルにてDeCYFIR Add-on & App for Splunk の概要をご紹介します。

クラウドベースの脅威ディスカバリー&サイバーインテリジェンスプラットフォーム”DeCYFIR”は、外部攻撃対象領域を検知、デジタルリスクプロファイルを構築、パーソナライズされたインテリジェンスにより差し迫った脅威を予測し、実際の攻撃の被害を被る前にサイバー攻撃を発見し組織をサイバー攻撃から防衛することを目的として設計されています。

Splunkアドオンは、events APIを用いてDeCYFIRアラートイベントデータを収集しSplunk eventsに送信することができます。またSplunk Enterprise にルックアップデータとして DeCYFIR IOC データを取り込むことができます。

SplunkアプリではアラートとIOCデータに基づき検索を行います。DashboardはSplunkの検索結果に基づき作成されます。

splunk enterpriseをインストール方法については、Splunk Installation Manualに従い実行ください。

  1. Splunk Enterpriseにログインします。
  2. “アプリ”→”アプリを検索”をクリックします。
    • CYFIRMA DeCYFIR Add-on for SPLUNK”で検索してください。
    • “CYFIRMA DeCYFIR App for SPLUNK”で検索してみてください。
  3. アプリを検索して、検索するアプリ名を入力します。
  4. 必要事項と詳細をご確認してください。
  5. “Install”をクリックします。

“DeCYFIRAdd-on”をインストールした後、下記の手順でアカウント設定を行います。

  1. Splunk Enterprise の左側にあるパネル上で”TA-CIP “をクリックします。
  2. “Configurationタブ”をクリックします。
  3. “サブアカウント”タブ上で”Add”をクリックします。
  4. “Configuration”に固有な名前を設定し、製品URLと製品から生成されたAPIキーを追加します。
  5. “Add”をクリックします。

API データのデータ収集に向けプロキシを設定する方法について、下記の “DeCYFIR Add-on”手順に従い実行ください。

  1. 左側のバーから”DeCYFIR”をクリックして”Add-on”に移動します。
  2. “Configurationタブ”をクリックします。
  3. “Configurationタブ”の下にある”Proxyタブ”をクリックします。
  4. 必要な情報を全て入力します。
  5. “Save”をクリックします。

API データのデータ収集にむけロギングを設定する方法について、下記の “DeCYFIR Add-on” 手順に従い実行ください。

  1. 左側のバーから”DeCYFIR”をクリックして”Add-on”に移動します。
  2. “Configurationタブ”をクリックします。
  3. “Configurationタブ”の下にある”Logging”をクリックします。
  4. ログレベルを選択します。選択なログレベルは、Debug、Info、Warning、Error、Criticalです。
  5. “Save”をクリックします。

APIコール用の追加パラメータとリトライに関する設定は、下記の “DeCYFIR Add-on”の手順に従い実行ください。

  1. 左側のバーから”DeCYFIR Add-on”をクリックし”アドオン”に移動します。
  2. “Configuration”タブをクリックします。
  3. “Configuration”タブの下にある”Add-OnSetting”タブをクリックします。
  4. “Number of Retries”
  5. “Sleep Time”
  6. “Page Size”
  7. “Save”をクリックします。

API データの入力・データ収集を作成方法については、下記の “DeCYFIR Add-on”の手順に従い実行ください。

  1. 左側のバーから”DeCYFIR Add-on For Splunk”をクリックし”Add-on”に移動します。
  2. “Inputs”タブをクリックします。
  3. “Create New Input”をクリック>”Select DeCYFIR Alerts…”をクリックします。
  4. 必要な情報を全て入力します。
  5. “Save”をクリックします。

API データの入力・データ収集を作成方法については、下記の “DeCYFIR Add-on” 手順に従い実行ください。

  1. 左側のバーから”DeCYFIR Add-on For Splunk”をクリックし”Add-on”に移動します。
  2. “入力”タブをクリックします。
  3. “Create New Input”をクリック>”Select DeCYFIR IOC.”をクリックします。
  4. 必要な情報を全て入力します。
  5. “Save”をクリックします。