LoginSignup
1

More than 1 year has passed since last update.

SplunkのアラートをPhantomに連携する方法

Last updated at Posted at 2020-12-08

はじめに

Phantom側のアラート連携設定

  • まずSplunkからのアラートを受け取るためにPhantomのAPIの口をあける設定をしておきます。下記メニューにてautomationユーザをEditします。

スクリーンショット 2020-04-24 14.36.23.png

  • ポイントはPhantomのAPIへのアクセス制御をAllowed IPsでしっかりとかけておくこと。

スクリーンショット 2020-04-24 14.37.15.png

  • 中段のREST APIトークンを後ほどSplunk側で設定しますのでコピー

Splunk側のアラート連携設定

  • アラートを飛ばすSplunkに以下のAppをインストールします。

  • Phantom関連のAppは紛らわしい名前で4つ近くありますが、アラート連携に使うのはこちらです。

スクリーンショット 2020-04-24 14.28.47.png

  • まずPhantomのAPI連携をするのですが、SSL証明書のVerifyを無効にします。(テスト利用のため)

  • ここではSplunkにCLIアクセスしてlocal/phantom.confを修正する必要があります。詳細はこちらご参考ください

スクリーンショット 2020-04-24 14.33.38.png

  • 続いてSplunkとPhantomをAPI連携させます。設定方法詳細はこちら

  • New Server設定時に前にコピーしたtokenを貼り付けて保存。

スクリーンショット 2020-04-24 14.40.42.png

  • 設定がすむとサーバリストが表示されます。

スクリーンショット 2020-04-24 14.31.00.png

  • APIテスト接続とPlaybookの同期をしておきます

スクリーンショット 2020-04-24 14.43.20.png

  • Splunkのアラートを作成しアラートアクションにPhantomを設定します。

  • アラートのサーチ結果の中身にはsrcフィールドが含まれるデータを用意するようにします。

    • src、urlなどphantomのCEFフォーマットに合わせておく必要があります

スクリーンショット 2020-04-24 14.58.24.png

  • アラートアクションにてRun Playbook in Phantomを選択します
  • 設定したPhantom Instanceと利用したいPlaybookを選び、LabelにWebと記入し保存。
    • phantom appの4.0.10でForwarderを経由してアラートを飛ばすRelayモードが実装されたため、設定メニューが以前から変わっています。

スクリーンショット 2020-12-08 13.22.55.png

  • 設定は以上です

連携結果

  • アラートのアクションが実行されるとPhantomにイベントが入ってきます

スクリーンショット 2020-12-08 13.29.00.png

  • 指定したplaybookが自動実行されます

スクリーンショット 2020-12-08 13.26.44.png

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
1