2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

SplunkのアラートをPhantomに連携する方法

Last updated at Posted at 2020-12-08

はじめに

Phantom側のアラート連携設定

  • まずSplunkからのアラートを受け取るためにPhantomのAPIの口をあける設定をしておきます。下記メニューにてautomationユーザをEditします。

スクリーンショット 2020-04-24 14.36.23.png

  • ポイントはPhantomのAPIへのアクセス制御をAllowed IPsでしっかりとかけておくこと。

スクリーンショット 2020-04-24 14.37.15.png

  • 中段のREST APIトークンを後ほどSplunk側で設定しますのでコピー

Splunk側のアラート連携設定

  • アラートを飛ばすSplunkに以下のAppをインストールします。

  • Phantom関連のAppは紛らわしい名前で4つ近くありますが、アラート連携に使うのはこちらです。

スクリーンショット 2020-04-24 14.28.47.png

  • まずPhantomのAPI連携をするのですが、SSL証明書のVerifyを無効にします。(テスト利用のため)

  • ここではSplunkにCLIアクセスしてlocal/phantom.confを修正する必要があります。詳細はこちらご参考ください

スクリーンショット 2020-04-24 14.33.38.png

  • 続いてSplunkとPhantomをAPI連携させます。設定方法詳細はこちら

  • New Server設定時に前にコピーしたtokenを貼り付けて保存。

スクリーンショット 2020-04-24 14.40.42.png

  • 設定がすむとサーバリストが表示されます。
スクリーンショット 2020-04-24 14.31.00.png
  • APIテスト接続とPlaybookの同期をしておきます

スクリーンショット 2020-04-24 14.43.20.png

  • Splunkのアラートを作成しアラートアクションにPhantomを設定します。

  • アラートのサーチ結果の中身にはsrcフィールドが含まれるデータを用意するようにします。

    • src、urlなどphantomのCEFフォーマットに合わせておく必要があります

スクリーンショット 2020-04-24 14.58.24.png

  • アラートアクションにてRun Playbook in Phantomを選択します
  • 設定したPhantom Instanceと利用したいPlaybookを選び、LabelにWebと記入し保存。
    • phantom appの4.0.10でForwarderを経由してアラートを飛ばすRelayモードが実装されたため、設定メニューが以前から変わっています。

スクリーンショット 2020-12-08 13.22.55.png

  • 設定は以上です

連携結果

  • アラートのアクションが実行されるとPhantomにイベントが入ってきます

スクリーンショット 2020-12-08 13.29.00.png

  • 指定したplaybookが自動実行されます

スクリーンショット 2020-12-08 13.26.44.png

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?