Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@SOARING-MAN(SOAR SOAR)

【Splunk SOAR】Automation Brokerについてあれこれ

Posted at

はじめに

Automation Broker(以下AB)は、Splunk SOARで利用するFirewallやrouterで区切られたセグメント内にあるデバイスに対してのアクションを実行するために用意された機能です。
もちろんSOARのライセンスがあれば無償で利用でき、複数台構築することも可能です。元々はSplunk SOARのSaaSサービス版がリリースされた時に、CloudのSOARからオンプレ側にあるデバイスに対して安全にアクションを実行できるようにするために生まれたものですが、現在(2025年)ではCMP(Customer Managed Products:オンプレ)版でも利用可能となっています。
このABの導入に当たっての備忘録としてこの記事を公開しておきます。

インストール

ABはコンテナ(dockerまたはpodman)で動作するので、OSはこれらが稼働するものであれば動くはず、ですが個人的にはABのサポート対象のOSを選ぶ方が良いかと。具体的には、ubuntuかAmazon Linuxを選んだ方が無難だと思います。
また、dockerとpodmanどちらも対応しています、とありますがpodmanを選ぶとABのアップデートは手動で行わなければなりません。dockerであればwatchtowerプロセスが、ABの新バージョンがリリースされているかどうかを確認して自動的にアップグレードしてくれます。ユーザーが更新を行う必要がないのでオススメです。
https://help.splunk.com/en/splunk-soar/splunk-automation-broker/administer-the-splunk-soar-automation-broker/upgrade-or-update-the-splunk-soar-automation-broker

インストール時に気をつけなければならない点としては、Dockerを動作させるホストがDocker HUBへのアクセス(docker.io)ができるかを確認します。
ホスト側にログや設定、キーなどを保存するためのディレクトリをあらかじめ作ります。例えば /opt/splunk などというディレクトリをmkdirしておきます。
また、設定はdocker-compose.ymlを編集して行います。docker-compose.ymlファイルはSOARのAB設定画面からダウンロードすることができます。
image.png
image.png
docker-compose.ymlで編集すべきところは、マニュアルにもあるとおり「environment」セクションにある環境変数と、「volumes」セクションのsourceディレクトリ設定です。
環境変数、「PHANTOM_BASE_URL」は必ず設定しなければなりません。SOAR画面からダウンロードしたymlファイルは親切なことにすでにPHANTOM_BASE_URLが設定されています。間違いがなければそのまま、間違っていたら正しいURLに変更しておきます。
また、PROXYの設定が必要な場合には、http_proxyとhttps_proxyも設定しておきます。
次に、先ほど作成しておいたディレクトリをvolumesセクションの「source:」に記載します。
これだけ設定できればあとは

docker compose up -d

で行けるはず!失敗したらマニュアルを見直そう・・・
うまくいったら、今度は「docker logs <container ID>」コマンドを使ってEncryptionコードとAuthorizationコードを入手します。あ、コンテナIDはちゃんとdocker psコマンドで見れますのでそこから取ってください。

********************************************
Automation Broker Encryption Key:
ENCRYPTIONKEYISVISIBLEHERE
********************************************

****************************************************************************************
Splunk SOAR Authorization Code:
     AUTOGENERATEDCODEISVISIBLEHERE
Please provide this code to your Splunk SOAR administrator to continue setup.
****************************************************************************************

Encryption KeyとAuthorization CodeをSOARのAB設定画面「Add New Automation Broker」画面に入力します。
image.png

!注意!
このEncryption KeyとAuthorization Codeは15分しか持ちません。
(賞味期限短いです)
もし15分経過してしまった場合には、一度コンテナを止めてから再起動したあとに、「docker logs <container ID>」コマンドを使って新しいEncryption KeyとAuthorization Codeを表示させてキーとコードを入手する必要があります。詳しくはマニュアルを参照してください。

ここまでくればほとんど終了

さあ、ここまでくればほぼ完了。うまくいったかどうかを確認してみましょう。

docker logs <container ID>

もちろん「docker ps」でcontainer IDを取得してから実行してくださいね。うまくいっていたら下記のような情報を確認できるはずです。

Waiting for Splunk SOAR registration......................Successfully paired broker.
Automation Broker pairing succeeded.

ヤッター!うまくいっています。SOARの画面でも確認できるはず。
image.png
ここまでくれば、あとはアセット設定でABを指定すれば対象のAB経由でアクションを実行できます。
image.png

ABのインストールはそれほどハードル高くありませんが、いくつか注意点があります。この記事はメモ書き程度ではありますが、何かの役に立つと思いますので参考にしていただけると幸いです。

---EOD---

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?