🐟 Automation Brokerとは?🐟
Splunk SOARでは、Playbook実行中や調査中にアクションを実行できます。
そのアクションの対象がオンプレミス環境にある場合、安全に実行するためにAutomation Brokerの導入が必要です。Brokerを使うことで、SOARからオンプレの機器やサービスにアクションを届けることができます。
ざっくり言うと。。
Automation Brokerは、Splunk SOARからオンプレミス環境にあるシステムへ安全にアクションを実行するための“橋渡し”のような存在です。
🖼 イメージ図
公式ドキュメントにある通り、アーキテクチャはこんな感じ。
🧩 設定してみた
下記公式ドキュメントをベースにDockerでセットアップしました。
https://help.splunk.com/en/splunk-soar/splunk-automation-broker/install-splunk-soar-automation-broker/install-splunk-automation-broker-on-a-docker-host
1. SOAR側の設定
SOARの左側のメニューでAdministration>Product Setting>Automation Brokerを選択
Automation Brokerの画面に遷移したら右上の[+ AUTOMATION BROKER]の青いボタンをクリック。
下記のような画面に遷移。
そこで
①yamlファイルをダウンロード(赤矢印のところクリックでOK)
②ダウンロードしたyamlの下記部分を編集
・ image:
・- PHANTOM_BASE_URL=
③上記をDockerを実行したいディレクトリに移して、dockerを起動
🚒ここからは15分でKeyやCode!が変わってしまうので、急ぎ作業!!🚒
まずはDockerを起動。。
docker compose up -d
④Dockerログの中からKeyとCodeを見つけ出す
起動したら下記でログを出力。
docker logs <container ID>
下記の内容をメモしておく(有効期限は15分)
********************************************
Automation Broker Encryption Key:
ここにKeyが書いてある
********************************************
****************************************************************************************
Splunk SOAR Authorization Code:
ここにコードが書いてある
Please provide this code to your Splunk SOAR administrator to continue setup.
****************************************************************************************
⑤SOAR側の画面にもどって、上記のそれぞれの情報を入力
Key情報とCode情報、あとは追加するAutomation Brokerの情報を入力して、、
最後に[COMPLETE]をクリックして完了!
無事実行されると、AutomationBrokerの一覧に出てきました!
🔗 参考リンク
公式ドキュメント
https://help.splunk.com/en/splunk-soar/splunk-automation-broker