本ユーザーマニュアルにてDeCYFIR Add-on & App for Splunk の概要をご紹介します。
クラウドベースの脅威ディスカバリー&サイバーインテリジェンスプラットフォーム”DeCYFIR”は、外部攻撃対象領域を検知、デジタルリスクプロファイルを構築、パーソナライズされたインテリジェンスにより差し迫った脅威を予測し、実際の攻撃の被害を被る前にサイバー攻撃を発見し組織をサイバー攻撃から防衛することを目的として設計されています。
Splunkアドオンは、events APIを用いてDeCYFIRアラートイベントデータを収集しSplunk eventsに送信することができます。またSplunk Enterprise にルックアップデータとして DeCYFIR IOC データを取り込むことができます。
SplunkアプリではアラートとIOCデータに基づき検索を行います。DashboardはSplunkの検索結果に基づき作成されます。
splunk enterpriseをインストール方法については、Splunk Installation Manualに従い実行ください。
“DeCYFIRAdd-on”をインストールした後、下記の手順でアカウント設定を行います。
API データのデータ収集に向けプロキシを設定する方法について、下記の “DeCYFIR Add-on”手順に従い実行ください。
API データのデータ収集にむけロギングを設定する方法について、下記の “DeCYFIR Add-on” 手順に従い実行ください。
APIコール用の追加パラメータとリトライに関する設定は、下記の “DeCYFIR Add-on”の手順に従い実行ください。
API データの入力・データ収集を作成方法については、下記の “DeCYFIR Add-on”の手順に従い実行ください。
API データの入力・データ収集を作成方法については、下記の “DeCYFIR Add-on” 手順に従い実行ください。