最近のSplunk製品は
さまざまな機能が短い間隔でUpdateされたり新機能が実装されたり、ちょっと見ない間に使い勝手がだいぶ異なることになっていることがあります。(もちろん良い意味でw)
Splunk SOARも例外ではなく、ひっそりと新しい機能が追加されていて普段利用しないと気が付かないものがあったりします。今回は、実はSOARのバージョン6.3(2025/12時点の最新バージョンは7.1)から実装された ”Guided Automation” 機能について紹介したいと思います。
早速ですが、"Guided Automation" (ガイド付き自動化機能)
とは、自動化のために作成するPlaybookをより作りやすくするためのサポート機能になります。どんな機能かというと、簡単にいえばPlaybook作成時に利用するDebuger機能をより作成者に使いやすくしたものがその正体です。
Playbookを作成するときに
こんなことで困ったり、不便だなぁと感じたりしていませんか?
- アクションボックスの引数に渡すデータパスの中身がよくわからない
- アクションボックスで実行した結果の値がどのように入っているのかわからない
- デバッガーでPlaybookを動作させるときのコンテナIDがわからない
などなどPlaybookを組み上げてゆくときに幾つかのストレスになっていることがあると思います。
6.3以降のVPE(Visual Playbook Editor)ではこの辺を比較的簡便にすることができる機能を追加しています。では実際に画面を見てみましょう。
今回は、単純にVirusTotalのアクションを使ってどのようにできるのかをやってみましょう。
まず、
いつものようにSOARのVPEでPlaybookを作成しましょう。
今回は簡単にWhoisを呼び出すものにします。
Whoisブロックの引数に渡す値あるいはデータパスが右側のペインに表示されます。
という感じで通常通りのPlaybook作成でPlaybookが一個できました。Whoisを実行して、その結果をフォーマットしてNoteに書き込むというものです。
ここで、右側のData previewペインに注目しましょう。
VPEにおいたActionBoxが並んでいますね。その一つ、「whois_domain_1」をクリックしてみましょう。
どうでしょうか?Inputだけではなく、Output、つまり返却値のそれぞれのフィールドにどのような値が入っているのかというサンプルが表示されます。なかなか便利ですね。
前からあったよね、という声が聞こえてきそうですが、その通り、このサンプルデータ表示の機能は6.3以前に実装されている機能です。今回はさらに便利になっています。
それはDebugerを利用するとわかります。
Debuggerで使用するPlaybookを実行するイベントIDを入力するフィールドをクリックすると、以前はIDを入力しなければなりませんでしたが、IDではなくイベント名で選択することができるドロップダウンリストが開きます。もちろんここにIDを直接入力しても良いのですが、ドロップダウンリストから対象のイベントを選択することもできるようになりました。細かいですが、ここも改良点です。
では、Debuggerを実行しましょう。
どうやらうまく行ったみたいですね。
ではここで、Block resultsのタブをクリックし、さらに「whois_domain_1」のブロックをクリックしてみましょう。すると、サンプルデータではなく実際に実行した時に格納されているデータが表示されるようになります。これはかなり便利です。以前は、Utility BoxのDebugなどをPlaybookに追加して実際に入力・出力されたデータを確認していましたが、Debuggerでの確認ができるようになったためデバッグの効率が良くなります。
さて、ここまでお話しして「どこがGuided Automation?」と思われたかと思います。実はここから本番です。現在、Action BoxのWhois Domainのデータを表示していますが、InputあるいはResultsのフィールド表示部分をよーく見てみてください。そうそう、ちょっと右側です。
この3点リーダーが何をするものなのか?それはクリックしてみるとわかります。クリックすると、、、
Run Actionメニューが表示されます。これは、SOARのコンテナ上でのアクションメニューと同じくフィールドの情報に対応したアクションを一覧で表示してくれるものです。つまり、上記の場合Action Resultのsummary配下にあるdomain内のデータで行うことができるアクションをガイドしてくれるものです。今回はドメインのフィールドですからドメインに対して実施できるアクションがメニューに表示されます。
このPlaybookではWhoisを実施してその結果をノートに記入するというアクションを行いますが、ここでさらにそのドメインのスクリーンショットがあるとより良いと感じますよね?なので、ここでは「get screenshot」というアクションを選択してみましょう。
このメニューに表示されるアクションは当然ながらApp(Connector)がインストールされているものだけが表示されます。インストールされていないAppのアクションは選択できませんので、ご注意ください。
「Get Screenshot」を選択すると、なんとPlaubookのキャンバスにアクションメニューが追加されます!どうです?なかなかすごいと思いませんか?
このような操作で、返却値などのフィールドから自動的にキャンバスに必要なActionを追加することができるのです。これが、「Guided Automation機能」となります。
もちろん、この追加したアクションの返却値などからさらに別のアクションを付加していってPlaybookの作成をサポートしてくれます。
もちろん、ロジックなどを考える必要は依然としてあるのですが、データから必要なアクションが選択可能であることからPlaybookの作成がより便利になるものではないかと思います。現在(2025年12月)の最新バージョンは7.1ですので、みなさんのSOARにはこれらの機能が搭載されています。ぜひ体験してみてください。
また、定例で行っているSplunkのハンズオンワークショップのSOAR回でもこれらの機能を使ったPlaybook作成を体験できるようになっているようです。
おっと、実際上記のPlaybookを実行するとどうなるかを書いていなかったですね。では、実行してみましょう。
実際に実行されると、対象のEventにNoteが書き込まれて、スクリーンショットが追加されます。結果の画面をご覧ください。
今回使用したScreenshotmachineのAppでは、取得したスクリーンショットはSOARのVault(画面上の「File」)に格納されています。Get screenshotアクションの返却値としてそのVaultIDを得ることができますので、もしNoteにスクリーンショットを貼り付けたいということであればそこからさらにPlaybookを修正して行くことができます。
今回はそこまでの手をかけていませんが、もしご興味があれば、ぜひ「guided Automation」機能を利用してアップデートしてみてください。
[EOD]
ヒント
