0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Splunk Enterprise Security 8.0がリリースされたのでインストールを試してみる

Posted at

こんにちは。torippy1024です。
先日(2025/1/23)、Splunk Enterprise Security 8.0.2がリリースされ、splunkbaseからダウンロードできるようになりました。

スクリーンショット 2025-01-28 9.47.01.png

スクリーンショット 2025-01-28 9.47.13.png

というわけで、初期インストール手順(アップグレード手順ではない)を試してみることにしました。
そんなに難しい手順ではなかったです。

公式ドキュメントは以下です。
https://docs.splunk.com/Documentation/ES/8.0.2/Install/Overview

導入環境とハードウェア要件

導入環境は以下です。
以前書いた記事(https://qiita.com/torippy1024/items/0496269c51582ca8708d )に対して、新しくEnterprise Security用のSearch Headを追加し、そこにEnterprise Security 8.0.2をインストールします。
Enterprise Securityを導入する際には、専用のSearch Headを用意する要件があるので、それに従います。
https://docs.splunk.com/Documentation/ES/8.0.2/Install/DeploymentArchitectures

20250128_qiita_ESInstallation.png

ES用Search Headのハードウェア要件は以下を参照してください。
なんだかやたらCPU/メモリを消費するように書かれていますが、これはESの特性上、大量のサーチを実行したりイベント作成などを大量に実行する必要があるためと考えられます。
https://docs.splunk.com/Documentation/ES/latest/Install/Requirements

インストールだけだったら8vCPU/16GBメモリ程度で動作します。
(最初は3vCPU/4GBメモリで試したみたのですが、さすがにスペック不足でインストールエラーが発生してしまっていました)

ES用Search Headのインストール(Linux)

まず、ES用Search HeadインスタンスにSearch Head(Splunk Enterprise)をインストールします。

既存のSearch Headと同じ手順でインストールできます。
(ただし、業務やセキュリティ要件が異なると、既存のSearch Headとロール/ユーザー設定を変える必要性も出てくるので注意してください。既存Seach HeadとES用Seach Headはそれぞれ単体で動作しており、ナレッジオブジェクトやロール/ユーザー設定は同期しないことに注意してください)
https://qiita.com/torippy1024/items/0496269c51582ca8708d#4shsearch-head%E3%81%A8%E3%81%97%E3%81%A6%E3%81%AE%E8%A8%AD%E5%AE%9A

Enterprise Security 8.0.2のインストール

公式ドキュメントのES8.0.2インストール手順は以下の通りです。
https://docs.splunk.com/Documentation/Splunk/8.0.2/Installation/InstallonLinux

(1)Splunk Enterprise Securityファイルのダウンロード

splunkbaseより、ESインストールファイルのダウンロードします。数百MBくらいの容量でそこそこ大きいので注意してください。
splunkアカウントが必要ですが、まあ
https://splunkbase.splunk.com/app/263

(2)事前設定変更

ドキュメントの手順によると、以下でインストーラー容量のWebアップロード制限の拡大設定をやれと記載されていますので設定変更しておきます。
(GUIでなくCLIでインストールする場合は不要かもしれません)
https://docs.splunk.com/Documentation/ES/8.0.2/Install/InstallSplunkES#Install_Splunk_Enterprise_Security

sudo -u splunk vi /opt/splunk/etc/system/local/web.conf
(以下のように記載。[settings]stanzaがすでにある場合はその下に、ない場合はそれも追記)
---
[settings]
max_upload_size = 2048
---

sudo -u splunk cat /opt/splunk/etc/system/local/web.conf
(以下のように表示されることを確認)
---
[settings]
max_upload_size = 2048
---

sudo -u splunk cat /opt/splunk/bin/splunk restart

設定変更後は再起動するようにしてください。

(3)CLIによるインストール

splunkbaseより取得したESインストールファイル(splunk-enterprise-security_802.spl)をSearch Headに転送し、コマンドラインにてESをインストールします。

sudo -u splunk cat /opt/splunk/bin/splunk install app splunk-enterprise-security_802.spl

sudo -u splunk cat /opt/splunk/bin/splunk restart

設定変更後は念の為再起動しておきます。

(4)GUIによる継続インストール

CLIによるインストールが完了したら、ES用Search Headにログインし、「Enterprise Security」Appを起動します。
「Continue to setup page」-「Start Configuration Proccess」と選択していきます。
「setup complete」と表示されたら初期インストールは完了です。

image.png

Home画面にはこれまでのES7.2と比べてあまり変化はありません。

スクリーンショット 2025-01-28 10.55.59.png

これまでのIncident Review画面は、Analyst Queueという名称に変更になっています。

スクリーンショット 2025-01-28 11.07.21.png

それ以外にもES8.0.2では、Open Cyber​​security Schema Framework(OCSF)に準拠するためいくつかの用語に変更が加わったようです。
https://www.splunk.com/ja_jp/blog/conf-splunklive/introducing-the-siem-of-the-future-splunk-enterprise-security-8-0.html

これら用語の変化については、別記事でまとめたいと思います。

以上です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?