0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@SOARING-MAN(SOAR SOAR)

Splunk ESとSplunk SOAR連携での覚書(TIPS)

0
Last updated at Posted at 2026-01-28

Enterprise Securityのバージョンが8以降になって、

TDIRをシングルコンソールで実現できるようになったのですが、基本IR部分における自動化などはSOARの機能を利用しています。SOARは、現状でも別のインスタンスとして提供(あるいは構成)されており、Enterprise Security(以降ES)のTokenを定義してペアリングを行う方式です。
以前と大きく変わった所については以前のBlogで少し書きましたが、今回はESとSOARの連携や実際にちょっと引っかかったり手間取ったところをTIPSとして残しておこうと思います。

ペアリング問題あれこれ

ES-SOARペアリング設定がうまくいかない・・・

ESでの設定で、一番最初にSOARを連携する場合に行うことが、「ペアリング」設定です。この設定がうまくいかない、エラーが出てしまうという時、多くの場合には接続のためのポートが開いていないことや、証明書の問題がほとんどです。Splunk Cloud上のESとSOARを利用している場合には証明書の問題はほとんどないと思いますので、まずはポート設定を見直してみることが必要です。
デフォルトの場合、ESがインストールされたサーチヘッドのTCP8089が開いていないと接続に失敗します。あまりマニュアルを読まない場合もあるかもしれませんが、こちらが参考になりますので一読しておいて損はないと思います。あ、Cloud環境の場合にはSOARインスタンスがSplunk Cloud PlatformのIP許可リストに入っていることの確認も忘れずに。
また、オンプレ環境でのペアリングの場合には証明書の問題があります。こちらもマニュアルのここここに記載がありますのでこちらもご注意を・・・

待って、その前にそもそもペアリングページが開かない!

これも実はよくあったりします。ペアリングページが開かない場合には、アカウントに紐づいているcapabilityが足りないことが考えられます。
ペアリングのページを開くためにはESのロール設定にて以下がついていることを確認しましょう。

必要なcapability
 admin_all_objects
 es_soar_setting_admin
 soar_user

これらの3つが全て必要となります。

ESとSOARのロールマッピングってどうすればいいの?

ESとSOARはそもそも別の製品であったため、それぞれが異なるアカウント管理とロール管理を持っていました。ペアリングを行う上で、ESとSOARの持っているロールを関連付けてESのアカウントでログインしても適切な権限でSOARにアクセスできるようにする必要があるためこの設定を行います。
基本的にはマニュアルにあるESのロールとSOARのロールを紐づけておけば良いでしょう。あとはSplunkのAdminロールはSOARのAdministratorロールとペアリングしておく感じです。
ロールのマッピングやcapabilityについてはかなり複雑なので注意する必要がありますね。

ペアリング以外の問題

FindingやInvestigationの Severity や Status ってどうやって変えるの?

急にActionの問題になりましたが、これも初めは戸惑う所になっています。以前のSOAR Playbookでは、UTILITY のBOXからSOAR APIを選べば選択できましたが、ESとの連携になるとこれは使えません。ES連携の場合には、新しく追加されたES BOXのStatusフィールドに値を設定してあげる必要があります。
image.png
以前と違って、直接値を入力(OpenやClosed、またはIn Progressなど)する必要があるので注意してください。実はStatus ID(1->New, 2->Closedのようにステータス毎に定義されているID)などを設定しても良いのですが、この値を参照するためにはESのKVStoreを見なければならないため、簡易的には値を直接設定した方が良いでしょう。

finding_idを設定したのにステータス変更とかエラーが出ちゃうぞ!?

ここも実は落とし穴があります。実は、ESのAnalyst QueueでFindingをInvestigationにして調査を開始すると、Finding単体へのアクセスではなく、investigation_idでアクセスする必要があります。どうもInvestigationになった場合にはfinding_idではダメで、Investigationのステータスを明示的に変更してあげなければならないようです。したがって、最初にInvestigationになっているのかどうかを判別するロジックを追加してあげる方が汎用的になりそうです。具体的には、データパスのinvestigation_idにIDが入っているかどうかで判断できそうです。
スクリーンショット 2026-01-28 18.57.03.png
スクリーンショット 2026-01-28 18.53.41.png

まだまだTIPSがありそうです

とりあえず、現状で引っかかりそうなところを挙げてみました。引き続き何か見つけたらこちらのBlogを更新または新しい記事を書くようにします。皆様も何か見つけたらぜひ教えてください〜

[EOD]

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?