セキュリティインシデントは、Splunk Enterprise Security 統合を使用して双方向インターフェイスで作成した後に作成および更新できます。
始める前に
Splunk Enterprise Security 統合には、セキュリティインシデントを作成し、セキュリティインシデントが作成および/またはクローズされた後に注目イベントを更新できるようにする、双方向のインターフェイスがあります。
関連するインシデントの詳細には、SIR インシデント番号、アサイン先グループ、 SIR インシデント URL が含まれます。このセクションは、Splunk Enterprise Security 注目イベントを更新するオプションの機能を提供するプロファイル構成セットアップの最後の部分です。
必要なロール:sn_si.ingestion_profile_admin
注: sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。
手順
-
進捗状況バーに [その他のオプション] ページが表示されない場合は、[その他のオプション] を選択します。
-
以下の手順に従って、セキュリティインシデントの更新に基づいて、注目イベントを更新するための構成を完了します。
| オプションまたはフィールド | 説明 |
|---|
| SIR インシデントの作成時に注目イベントを更新する |
セキュリティインシデントが注目イベントから作成されたときに注目イベントステータスを更新し、コメントを追加する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガー注目イベントと集計されたイベントの両方で発生します。 |
| 最初の注目イベントの状況の更新 |
Splunk Enterprise Security サーバーから取得した利用可能なすべてのステータス値を表示するメニューからステージオプションを選択する必要があります。これには、以下のスクリーンショットに示す [ServiceNow - アサイン済み (ServiceNow - Assigned)] などのカスタム作成ステータスが含まれる場合があります。取り込まれた注目イベントに対してセキュリティインシデントが作成されたときに、すべての注目イベントに設定するステータス値を選択します。これには、新しいインシデントを作成する注目イベントと、取り込まれて既存のオープンインシデントに集計される注目イベントが含まれます。 |
| 最初のコメントを注目イベントに投稿 |
注目ステータス値の更新に加えて、注目イベントのインシデントレビュー履歴にコメントを投稿することもできます。説明したとおり、セキュリティインシデントレスポンス インシデントフォームの任意のフィールドでのフォーマット ${field name}$ を使用した置換変数の追加または変更など、[コメント] セクションに表示されるデフォルトテキストの編集を行うことができます。 |
| SIR インシデントのクローズ時に注目イベントをクローズする |
セキュリティインシデントが注目イベントからクローズされたときに注目イベントステータスを更新し、コメントを追加する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。 |
| クローズ注目イベントの状況の更新 |
Splunk Enterprise Security サーバーから取得した利用可能なすべてのステータス値を表示するリストメニューからステータスオプションを選択する必要があります。これには、以下のスクリーンショットに示す [ServiceNow - アサイン済み (ServiceNow - Assigned)] などのカスタム作成ステータスが含まれる場合があります。取り込まれた注目イベントに対してセキュリティインシデントが作成されたときに、すべての注目イベントに設定するステータス値を選択します。これには、新しいインシデントを作成する注目イベントと、取り込まれて既存のオープンインシデントに集計される注目イベントが含まれます。 |
| クローズコメントを注目イベントに投稿 |
注目ステータス値の更新に加えて、注目イベントのインシデントレビュー履歴にクローズコメントを投稿することもできます。説明したとおり、セキュリティインシデントレスポンス インシデントフォームの任意のフィールドでのフォーマット ${field name}$ を使用した置換変数の追加または変更など、[コメント] セクションに表示されるデフォルトテキストの編集を行うことができます。 |
| Splunk イベントコメントで SIR 自動化アクティビティを更新 |
SIR 自動化アクティビティで Splunk イベントのコメントを更新するオプション。SIR 自動化アクティビティのコメントには、「Splunk からのコメント」というプリフィックスが付いて表示されます。注:
バージョン 8.0.x 以降 Splunk Enterprise Security コメントフィールドは廃止されたため、アプリケーションは Splunk Enterprise Securityからコメントを取得できなくなりました。
|
| SIR 作業メモで Splunk コメントを更新 |
Splunk イベントコメントで SIR 作業メモを更新するオプション。Splunk イベントのコメントには、「 ServiceNow からのコメント」というプリフィックスが付けられて表示されます。 |
-
[完了] をクリックして、構成を完了します。
確認ダイアログが表示されます。これで統合のセットアップと構成が正常に完了しました。このプロファイルをアクティブ化して、スケジュールに基づいて
Splunk Enterprise Security コンソールから注目イベントをプルします。24 時間内に作成できるセキュリティインシデント数は 1,000 件に制限されます。発生したアラートごとに最大 100 件の注目イベントに制限されます。制限に達すると、後続の注目イベントは無視されます。
次の画像は、デフォルト値が入力された [その他のオプション] タブを示しています (
)。
[その他のオプション] の構成を有効にすると、注目イベントインシデントレビューでステータスの変更と履歴コメントの更新が表示されます (
)