Splunk データ・ソースへの接続

オンライン編集

Splunk データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが Splunk セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

始める前に

本ソフトウェアをインストールして、データ・ソースのユーザー名とパスワード、IP アドレス、その他の必要な情報を取得することができる管理者と連携して作業してください。

クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 IBM® Security Edge Gateway を使用してコンテナーをホストします。 Edge Gateway は V1.6 以降でなければなりません。 詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

Splunk Cloud を使用している場合は、REST API と通信してアクセスできることを確認する必要があります。 REST API について詳しくは、 REST API の資料 (https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud) を参照してください。
注: 正しいポートを使用していることを確認し (Splunk Cloud が Splunk Enterprise と同じポートを使用していない可能性があります)、接続デバイスの IP アドレスを Splunk Clouds の許可リストに追加してください。

このタスクについて

Splunk コネクターは、 search/jobs API エンドポイントを使用して Splunk Enterprise 9.0.0 - 9.2.0 と連携するように設計されています。 検索/ジョブ API エンドポイントについて詳しくは、 検索/ジョブ API の資料 (https://docs.splunk.com/Documentation/Splunk/9.2.0/RESTTUT/RESTsearches) を参照してください。

Structured Threat Information eXpression (STIX) は、組織がサイバー脅威インテリジェンスを交換するために使用する言語およびシリアライゼーション・フォーマットです。 Splunk コネクターは、 STIX パターンを使用して Splunk データを照会し、結果を STIX オブジェクトとして返します。 Splunk データ・スキーマを STIXにマップする方法について詳しくは、 Splunk STIX マッピング (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/splunk_supported_stix.md) を参照してください。

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
  3. Splunkをクリックして、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
    2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
    3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
    4. 「管理 IP アドレスまたはホスト名」 フィールドで、データ・ソースのホスト名または IP アドレスを設定して、プラットフォームが通信できるようにします。
    5. 「ホスト・ポート」 フィールドで、データ・ソース・ホストに関連付けられているポート番号を設定します。
  5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
    1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
    2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
    3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
    4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
    重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
  6. オプション: Splunk が自己署名 Security Sockets Layer (SSL) 証明書を使用して構成されている場合は、接続証明書を追加します。

    デフォルトでは、 Splunk 証明書は <splunk_home_directory>/splunk/etc/auth/server.pemにあります。ここで、 < splunk_home_directory> は、 Splunk がインストールされている場所へのパスです。

    1. Server Name Indication (SNI) SplunkServerDefaultCertを指定します。 SNI によって、リソース接続の Transport Layer Security (TLS) ハンドシェークに別個のホスト名を提供できるようになります。
    2. 証明書の詳細をコピーして、提供されているスペースに貼り付け、 「完了」をクリックします。
  7. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
  8. ID およびアクセス権限を構成します。
    1. 「構成の追加」をクリックします。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    5. 「ユーザー名」 フィールドに、検索 API へのアクセス権限を持つユーザー名を入力します。
    6. 「パスワード」 フィールドに、そのユーザー名のパスワードを入力します。
    7. 「追加」をクリックします。
    8. 構成を保存して接続を確立するには、 「完了」をクリックします。
    追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。
    データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
    ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

    このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

  9. 構成を編集するには、以下の手順を実行します。
    1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

次に実行するタスク

IBM Security Data Explorer を使用して照会を実行し、接続をテストします。 Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。