Splunk Enterprise Event Ingestion 統合でのイベントプロファイルの作成と名前の設定

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む10読むのに数分

Now Platform インスタンスにイベントプロファイルを作成し、セキュリティインシデントを作成する Splunk アラートを指定します。

始める前に

必要なロール：sn_si.admin

このタスクについて

Now Platform セキュリティインシデントレスポンス(SIR) セキュリティインシデントが取り込まれたアラートから作成される前に、アラートのフィールド値が Now Platform セキュリティインシデントのレイアウトに表示されるため、実際のセキュリティインシデントがどのように表示されるかをプレビューできます。

利用可能な API を使用する統合の観点から、Splunk イベントは個別のイベントとして個別に手動で転送されるか、Now Platform インスタンスの Security Operations 環境に自動的に取り込まれるトリガーされたアラートに結合されます。統合ワークフローでは、不正なアクセス試行やマルウェアなどのさまざまなタイプのアラートを取り込めます。

これらのアラートは、インスタンスの Security Operations 環境で設定したプロファイルに基づいて取り込まれます。すべてのアラートは、最初にプロファイル内の設定されたアラートタイプに対して取り込まれます。取り込まれたアラートをさらにフィルタリングして、セキュリティインシデントを作成するアラートを指定できます。たとえば、高リスクとして識別されたアラートに対してのみセキュリティインシデントを作成するフィルターを使用できます。プロファイルが有効になり、取り込まれたアラートからセキュリティインシデントが作成される前に、フィルタリングされたアラートの個々のフィールド値が、プレビュー用のセキュリティインシデントのレイアウトの対応するフィールドにマッピングされます。

Now Platform インスタンス内のイベントプロファイルのアラート名は一意である必要があり、常に 1 つのアクティブなイベントプロファイルにのみマッピングできます。これらは、統合のセットアップの一部として Splunk サービスで構成したトリガーアラート名です。Splunk Enterprise 環境でアラートを設定する方法の詳細については、「Splunk Enterprise Event Ingestion 統合での Splunk Enterprise コンソールへの検索の保存」を参照してください。

Now Platform は、統合のワークフローを使用して特定のアラートを取り込みます。Splunk Enterprise コンソールの選択基準を満たすすべてのアラートが、最初に Now Platform インスタンスに取り込まれます。

Now Platform のプロファイルは、Splunk Enterprise コンソールの Splunk アラートをカプセル化したものです。プロファイルとともに取り込まれたアラートと Splunk Enterprise コンソールへの接続は 1 対 1 の関係 (1 つの接続に対して 1 つのアラート) です。Splunk Enterprise コンソールにはサーチヘッドへの単一の https 接続があります。単一のサーチヘッドから複数のアラートを取得できます。Splunk Enterprise コンソールで複数のサーチヘッドに接続する場合は、これらのアラートを取り込むために Now Platform インスタンスに複数のプロファイルを作成する必要があります。

スケジュール済みアラートの取り込みのためにプロファイルを作成するステップ

手順

アラートのイベントプロファイルを作成するには、インスタンスで Now Platform 次の場所に移動します Splunk Integration > Splunk イベントプロファイル.
[Splunk イベントプロファイル] フォームが表示されない場合は、進捗状況バーの [名前] をクリックします。
[新規] をクリックします。

フィールドに入力します。

完成したフォームの例が表の後に表示されます。

フィールド	説明
名前	プロファイルの一意の名前。名前が一意でない場合、重複するプロファイル名は保存されません。 Now Platform インスタンスのプロファイル名は一意である必要があります。
アクティブ	デフォルトでは、このチェックボックスはクリアされます。 [アクティブ] オプションは無効になり、すべてのプロファイル設定ステップを完了して [完了] をクリックするまで選択できません。
タイプ	選択リストからプロファイルタイプを選択します。スケジュール済みアラートの取り込み - このタイプのプロファイルは、設定したスケジュールで取り込まれるトリガーアラートをサポートします。フィールドに入力し、[続行] をクリックして、プロファイルのアラート選択ステップに進みます。手動イベント転送 - このタイプのプロファイルは、オンデマンドで Splunk Enterprise コンソールから手動で転送される個々のイベントをサポートします。これらのタイプのプロファイルのフォームに入力するには、次のステップを参照してください。
ソースタイプ	アラートを取り込むために構成された Splunk サーバーまたは検索終了。複数の Splunk サーバーが構成されている場合は、プロファイルに取り込む予定のアラートタイプに適したサーバーを選択します。値を入力する必要があります。
順序	デフォルトは 100 です。この設定はデフォルトのままにします。複数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルが同じトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明	このプロファイルを他のプロファイルと区別するためのテキスト。

スケジュール済みアラートがあるプロファイルの場合は、プロファイル構成を続行するオプションを 1 つ選択します。

オプション	説明
続行	プロファイルを保存し、アラート選択ステップに進みます。
更新	更新をこのプロファイルに保存し、Splunk イベントプロファイルリストに戻ります。
保存	このプロファイルを保存してページに留まります。
削除	このプロファイルレコードを削除して、Splunk イベントプロファイルリストに戻ります。

手動イベント転送用のプロファイルの作成ステップ

手動イベント転送をサポートするプロファイルを作成するには、次のステップを実行します。

Splunk Enterprise コンソールからオンデマンドで転送するイベントの場合、既存のプロファイルに基づいて個々のフィールドマッピングを行うことができます。または、エクスポートされた添付ファイルデータの新しいマッピンググリッドを作成することもできます。手動で転送するイベントは、イベントプロファイルでスケジュールされません。

まだ選択されていない場合は、[タイプ] フィールドの選択リストで [手動イベント転送] を選択します。

表示される [マッピングオプション] フィールドで、選択リストからマッピングオプションを 1 つ選択して続行します。

[マッピングオプション] 選択リストで利用可能なマッピングオプションの詳細については、次の図とテーブルを参照してください。

ハイライト表示された [マッピングオプション] フィールド。 — 図 : 1. 新しいフィールドマッピングオプションの作成

表 : 1. 新しいフィールドマッピングオプションの作成
オプションまたはフィールド	説明
新しいフィールドマッピングオプションの作成	イベントの新しいフィールドマッピング。作成しているプロファイルに類似した既存のフィールドマッピングがない場合は、このオプションを選択して新しいマップを作成します。
デフォルトプロファイル	すべての Splunk イベントのデフォルトのイベント転送プロファイル。デフォルトはクリア (無効化) されています。このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。このプロファイルはアクティブで、SIR セキュリティインシデントへのすべての Splunk イベントフィールドマッピングで使用される唯一のプロファイルです。1 つのプロファイルがすべての転送イベントに適合します。デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
ソースタイプ	Splunk サーバー。デフォルトのプロファイルオプションが有効になっている場合、このフィールドは使用できません。利用可能な場合、 [ソースタイプ] オプションでは、Splunk ソースタイプに基づいてセキュリティインシデントフィールドに一意のイベントフィールドをマッピングできます。エンドポイント検出イベントとは異なる方法でファイアウォールログイベントを管理する必要があり、それらのイベントの Splunk ソースタイプが異なる場合は、ソースタイプに基づいて異なるイベントプロファイルを作成して、この要件を満たすことができます。
順序	デフォルトは 100 です。この設定はデフォルトのままにします。多数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明	このプロファイルを他のプロファイルと区別するためのテキスト。

新しいフィールドマッピングがあるプロファイルの場合は、[ソースタイプ] フィールドに値を入力したことを確認してから、[続行] をクリックして構成のマッピングステップに進みます。

既存のフィールドマッピングがあるプロファイルの詳細については、次の図とテーブルを参照してください。

ハイライト表示された、既存のマッピングをコピーするオプションの検索アイコン。 — 図 : 2. フィールドマッピングオプションの既存のプロファイルの選択

表 : 2. フィールドマッピングオプションの既存のプロファイルの選択
オプションまたはフィールド	説明
フィールドマッピングの既存のプロファイルを選択	イベントの既存のフィールドマッピング。 [プロファイルからコピー] フィールドが表示されます。このプロファイルの既存のフィールドマッピングをコピーするには、次のステップを実行します。表示される [プロファイルからコピー] フィールドの左側にある検索アイコンをクリックします。表示される [Splunk イベントプロファイル] リストで、コピーするマップが含まれるプロファイル名をクリックします。プロファイル名が [プロファイルからコピー] フィールドに表示されます。
デフォルトプロファイル	すべての Splunk イベントのデフォルトのイベント転送プロファイル。デフォルトはクリア (無効化) されています。このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。このプロファイルはアクティブな唯一のプロファイルです。SIR セキュリティインシデントへの Splunk イベントフィールドのマッピングごとに使用されます。1 つのプロファイルがすべての転送イベントに適合します。デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
ソースタイプ	Splunk サーバー。デフォルトのプロファイルオプションが選択されている場合、このフィールドは使用できません。利用可能な場合、 [ソースタイプ] オプションでは、Splunk ソースタイプに基づいてセキュリティインシデントフィールドに一意のイベントフィールドをマッピングできます。エンドポイント検出イベントとは異なる方法でファイアウォールログイベントを管理する必要があり、それらのイベントの Splunk ソースタイプが異なる場合は、ソースタイプに基づいて異なるイベントプロファイルを作成して、この要件を満たすことができます。
順序	デフォルトは 100 です。この設定はデフォルトのままにします。複数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
(オプション) 説明	このプロファイルを他のプロファイルと区別するためのテキスト。

プロファイルの既存のマッピングを選択するフォームの下部で、[完了] をクリックしてプロファイルの構成を完了します。

次のタスク

スケジュール済みアラートと手動イベント転送の両方のプロファイルを作成するステップを正常に完了しました。手動イベント転送のプロファイルの場合は、プロファイルの構成が完了しました。次のステップでは、マッピングステップで添付ファイルデータをロードします。

スケジュール済みアラートのプロファイルの場合、次のステップでは自動取り込みのアラートを選択します。