はじめに
- Splunk Phantomを使って代表的なインシデント調査のワークフローをどれだけ簡単に?自動化できるか検証してみました
- まだまだ英語ドキュメントばかりなので日本語のメモ的な役割として残しておきます
本記事のスコープ
- Phantomの理解とインストール ←ここ
- 実現したいPlaybookのサンプルを選択
- 必要となる連携Appを設定
- Playbookを編集
- Playbookを実行
Phantomって
SOAR(Security Orchestration, Automation and Response)のためのツールです
よくセキュリティ版RPAなんてキャッチーな表現を聞いたりしますが、巷のRPAのようなマウス操作を覚えさせるようなことはできません。
セキュリティ製品やIT機器とのAPI連携を中心として自動連携が得意なツールです
連携先の3rd Party製品をつなぐAppが充実しているのがウリ(2020.02.04時点で300近くある)
API連携なら自分でpython組んでメンテナンスもできるという方は自作できる領域だと思いますが、そんなハンドメイドする時間も割くのが惜しい方向けのツールがSOAR製品のPhantomです
-
Phantomでは自動化する処理をPlaybookと表現します。
- 例:マルウェア調査Playbookや、フィッシングメール対応playbookなど
- 例:マルウェア調査Playbookや、フィッシングメール対応playbookなど
何を自動化しようか
phantomがでよく利用される代表的なPlaybookベスト5!
というわけでまずは1位のフィッシングメール対応Playbookを作成して自動化してみたいと思います。
まずはCommunity版の環境準備
- Phantomは無償で試せます
- Community版の制約:1日100アクションまで利用可能です。ざっくりとplaybookが100回実行できると考えてよいです。しっかり使いたい場合はSplunk営業からTrial(期限付き機能制限なし)をもらいましょう
(a) No-Charge Community Edition. If you acquire a license to a free “Community Edition” version of Phantom software, it will contain limited functionality after reaching the permitted number of daily Actions, such limit being one hundred (100) Actions per day unless otherwise specified by us.
- まずはPhantom Communityサイトで登録してログイン
- PhantomはOVAイメージと、rpmパッケージと、AWSのAMIイメージで提供しています。おすすめはOVAかAMIですね。楽ちんです。
- インストール方法は以下のマニュアルがまとまっていますのでこちらを元にOVAかAMIで準備をします
- 参考:OVAイメージのEvaluation用のシステム要件はこちら
- Storageがちょっと大きいですね。。
ネットワーク要件はクラスタとか組まなければこれくらいです
インストール完了して、phantomのログイン画面がでてくればこんな感じ
初期設定
- Administrationを中心にシステム設定を済ませます
- company settingsの設定(Info)
- company settingsの設定(Dashboard) ※必須ではないです
- company settingsの設定(Info)
Next
- 次回はPlaybookに関連するアクションを利用できるようにするためにAppsをいくつか設定していきたいと思います。