External Threat Landscape Management

CYFIRMA App for Splunk

Introduction

本ユーザーマニュアルにてDeCYFIR Add-on & App for Splunk の概要をご紹介します。

クラウドベースの脅威ディスカバリー&サイバーインテリジェンスプラットフォーム"DeCYFIR"は、外部攻撃対象領域を検知、デジタルリスクプロファイルを構築、パーソナライズされたインテリジェンスにより差し迫った脅威を予測し、実際の攻撃の被害を被る前にサイバー攻撃を発見し組織をサイバー攻撃から防衛することを目的として設計されています。

Splunkアドオンは、events APIを用いてDeCYFIRアラートイベントデータを収集しSplunk eventsに送信することができます。またSplunk Enterprise にルックアップデータとして DeCYFIR IOC データを取り込むことができます。

SplunkアプリではアラートとIOCデータに基づき検索を行います。DashboardはSplunkの検索結果に基づき作成されます。

Splunk Enterpriseのインストール

splunk enterpriseをインストール方法については、Splunk Installation Manualに従い実行ください。


AppとAdd-onのインストール

  1. Splunk Enterpriseにログインします。
  2. "アプリ"→"アプリを検索"をクリックします。
    • CYFIRMA DeCYFIR Add-on for SPLUNK"で検索してください。
    • "CYFIRMA DeCYFIR App for SPLUNK"で検索してみてください。
  3. アプリを検索して、検索するアプリ名を入力します。
  4. 必要事項と詳細をご確認してください。
  5. "Install"をクリックします。

Account

Splunk Add-on > Configuration

"DeCYFIRAdd-on"をインストールした後、下記の手順でアカウント設定を行います。
  1. Splunk Enterprise の左側にあるパネル上で"TA-CIP "をクリックします。
  2. "Configurationタブ"をクリックします。
  3. "サブアカウント"タブ上で"Add"をクリックします。
  4. "Configuration"に固有な名前を設定し、製品URLと製品から生成されたAPIキーを追加します。
  5. "Add"をクリックします。

Proxy

Splunk Add-on > Configuration

API データのデータ収集に向けプロキシを設定する方法について、下記の "DeCYFIR Add-on"手順に従い実行ください。
  1. 左側のバーから"DeCYFIR"をクリックして"Add-on"に移動します。
  2. "Configurationタブ"をクリックします。
  3. "Configurationタブ"の下にある"Proxyタブ"をクリックします。
  4. 必要な情報を全て入力します。
  5. "Save"をクリックします。
パラメータ 必須 備考
Enable いいえ プロキシ有効化です。
Proxy Type いいえ プロキシのタイプです。使用可能なオプションはHTTTPSです。
Host はい プロキシホストのサーバアドレスです。
Port はい プロキシサーバへのポートです。
User Name いいえ プロキシサーバのユーザー名です。
Password いいえ 上記ユーザ名のパスワードです。
DNS Resolution いいえ DNS Resolutionのオン/オフを設定します。

Logging

Splunk Add-on > Configuration

API データのデータ収集にむけロギングを設定する方法について、下記の "DeCYFIR Add-on" 手順に従い実行ください。
  1. 左側のバーから"DeCYFIR"をクリックして"Add-on"に移動します。
  2. "Configurationタブ"をクリックします。
  3. "Configurationタブ"の下にある"Logging"をクリックします。
  4. ログレベルを選択します。選択なログレベルは、Debug、Info、Warning、Error、Criticalです。
  5. "Save"をクリックします。
パラメータ 必須 備考
ログレベル いいえ ロギングのログレベル、デフォルトは INFOです。

Additional Parameters

Splunk Add-on > Configuration

APIコール用の追加パラメータとリトライに関する設定は、下記の "DeCYFIR Add-on"の手順に従い実行ください。
  1. 左側のバーから"DeCYFIR Add-on"をクリックし"アドオン"に移動します。
  2. "Configuration"タブをクリックします。
  3. "Configuration"タブの下にある"Add-OnSetting"タブをクリックします。
  4. "Number of Retries"
  5. "Sleep Time"
  6. "Page Size"
  7. "Save"をクリックします。
パラメータ 必須 備考
Number of Retries はい リトライを実行する回数です。 デフォルトは3です。
Sleep Time はい 連続のリトライ間の待機時間を秒単位で設定します。デフォルトは100です。
Page Size はい データを1回のレストAPIコールで取得可能なデータです。[Text Wrapping Break] デフォルトは100です。

DeCYFIR Alerts

Inputs

API データの入力・データ収集を作成方法については、下記の "DeCYFIR Add-on"の手順に従い実行ください。
  1. 左側のバーから"DeCYFIR Add-on For Splunk"をクリックし"Add-on"に移動します。
  2. "Inputs"タブをクリックします。
  3. "Create New Input"をクリック>"Select DeCYFIR Alerts..."をクリックします。
  4. 必要な情報を全て入力します。
  5. "Save"をクリックします。
パラメータ 必須 備考
Name はい DeCYFIR Alerts データ入力の固有の名前です。
Interval はい 入力の間隔時間を秒単位で設定します。 最小値は0です。
Index はい Splunk でデータがインデックス化される際のインデックス名です。分散環境の場合、このインデックスはインデクサー上に存在する必要があります。
Global Account はい ドロップダウンからDeCYFIR アカウントを選択します。設定->アカウントタブで設定されたすべてのアカウントが表示されます。

DeCYFIR IOCs

Inputs

API データの入力・データ収集を作成方法については、下記の "DeCYFIR Add-on" 手順に従い実行ください。
  1. 左側のバーから"DeCYFIR Add-on For Splunk"をクリックし"Add-on"に移動します。
  2. "入力"タブをクリックします。
  3. "Create New Input"をクリック>"Select DeCYFIR IOC."をクリックします。
  4. 必要な情報を全て入力します。
  5. "Save"をクリックします。
パラメータ 必須 備考
Name はい DeCYFIR Alerts データ入力の固有の名前です。
Interval はい 入力の間隔時間を秒単位で設定します。 最小値は0です。
Lookup Name はい Splunk にデータ保存されるルックアップファイル名です。
Global Account はい ドロップダウンからDeCYFIR アカウントを選択します。設定->アカウントタブで設定されたすべてのアカウントが表示されます。

Splunk App

アプリをインストール後にセットアップが必要になります。下記の手順に従い設定を行ってください。
  1. "DeCYFIR App For Splunk"にアクセスします。
  2. "Continue to app setup page "をクリックしてください。
  3. URLをDeCYFIRに入力してください。例:decyfir.cyfirma.com.
  4. 上記URLの"API Key"を入力してください。
  5. "Save"をクリックします。

DeCYFIR Alert Details

Splunk App > Dashboard

DeCYFIR アラート詳細を表示します。
  1. 全カテゴリーのアラートカウント数を表示します。
  2. 全カテゴリーのカウント数の推移
  3. 全カテゴリーの詳細

Splunk App > Dashboard

任意の値をクリックすると該当パネルが強調表示され下には選択済みカテゴリーのトレンドが表示されます。

Splunk App > Dashboard

Splunk App > Dashboard

アラート詳細テーブルの任意の行の最初の列の矢印をクリックすると、選択したアラートの詳細が表示されます。

DeCYFIR IOCs

Splunk App > Dashboard

"DeCYFIR IOC"詳細を表示します。
  1. 全"indicator type"のIOCカウント数を表示します。
  2. 選択済み"indicator type"カウントのトレンド
  3. IOC詳細テーブル
  4. IOCデータテーブル内の行をクリックすると追加情報が表示ポップアップウィンドウが開きます。

Splunk App > Dashboard

Splunk App > Dashboard

任意の値をクリックすると該当パネルが強調表示され下には選択済み"indicator type"のトレンドが表示されます。

Splunk App > Dashboard

表の任意の行をクリックすると、ポップアップが表示され、クリックした値の詳細が表示されます。

Splunk Alerts

Splunk App > Dashboard

Splunk内に設定されたアラート詳細を表示します。
  1. SplunkのAlerts Configuredで作成されたアラートの総数です。
  2. 選択済みアラートに基づくトレンド
  3. splunkアラートの詳細テーブル
テーブル内の詳細ビューをクリックするとアラートをトリガーした原因イベントが表示されます。

Splunk App > Dashboard