はじめに
- 以前、投稿したSOARやろうぜ!無償のPhantom Community版使って。~Playbook設定編~から、SplunkのアラートをPhantomに連携させるパートのみ切り出して投稿します
- 環境はpython3対応済みのSplunk 8.0.2とPhantom 4.8.24304で検証しています。
- 前提としてphantom環境のインストールが終わっている想定で書いています。
- 自動実行させたいplaybookも用意しておく(つなげるだけならデフォルトのplaybookを指定すればOK)
Phantom側のアラート連携設定
- まずSplunkからのアラートを受け取るためにPhantomのAPIの口をあける設定をしておきます。下記メニューにてautomationユーザをEditします。
- ポイントはPhantomのAPIへのアクセス制御をAllowed IPsでしっかりとかけておくこと。
- 中段のREST APIトークンを後ほどSplunk側で設定しますのでコピー
Splunk側のアラート連携設定
-
アラートを飛ばすSplunkに以下のAppをインストールします。
-
Phantom関連のAppは紛らわしい名前で4つ近くありますが、アラート連携に使うのはこちらです。
-
まずPhantomのAPI連携をするのですが、SSL証明書のVerifyを無効にします。(テスト利用のため)
-
ここではSplunkにCLIアクセスしてlocal/phantom.confを修正する必要があります。詳細はこちらご参考ください
-
続いてSplunkとPhantomをAPI連携させます。設定方法詳細はこちら
-
New Server設定時に前にコピーしたtokenを貼り付けて保存。
- 設定がすむとサーバリストが表示されます。
- APIテスト接続とPlaybookの同期をしておきます
-
Splunkのアラートを作成しアラートアクションにPhantomを設定します。
-
アラートのサーチ結果の中身にはsrcフィールドが含まれるデータを用意するようにします。
- src、urlなどphantomのCEFフォーマットに合わせておく必要があります
- アラートアクションにてRun Playbook in Phantomを選択します
- 設定したPhantom Instanceと利用したいPlaybookを選び、LabelにWebと記入し保存。
- phantom appの4.0.10でForwarderを経由してアラートを飛ばすRelayモードが実装されたため、設定メニューが以前から変わっています。
- 設定は以上です
連携結果
- アラートのアクションが実行されるとPhantomにイベントが入ってきます
- 指定したplaybookが自動実行されます