>

適応と調整: ダッシュボードの適応

ダッシュボードの変更

相関ダッシュボードなど、Recorded Futureダッシュボードの一部は簡単に変更できます。 既存のダッシュボードのクローンに変更を加え、デフォルトのダッシュボードは変更しないことをお勧めします。

変更の最も一般的な理由は、相関検索に異なるデータを使用することですので、以下で詳しく説明します。

ダッシュボードの複製

右上隅の [...] をクリックし、[ 複製 ] を選択して現在のダッシュボードを複製します。

クローンメニュー

ダッシュボードの新しいタイトルと名前を入力します。

ダッシュボードの複製

[ プライベート ] オプションを選択した場合、新しいダッシュボードには現在のユーザーのみがアクセスできます。 [ Clone Dashboard ] をクリックしてから [ View ] をクリックして、新しいダッシュボードを表示します。 [ 編集 ] をクリックして、変更を追加します。

カスタマイズ

[ ソース ]ボタンをクリックしてソースを表示します
ダッシュボードの XML 。 次の図で強調表示されている sourcetypeNamerisklist の 3 つのフィールドに注目してください。

ソースの種類と参照テーブル
  • sourcetype は、Splunk サーバーに保存されるログのソースの種類を選択します。
  • [名前 ] は、データの関連付けに使用するフィールドの名前を指定します。 スクリーンショットは、「dst」フィールドを使用したダッシュボードを示しており、通常はログに宛先IPアドレスが含まれています。
  • inputlookup は、データを関連付けるルックアップテーブルの名前(通常は、Recorded Future App for Splunkのinputsセクションで構成されたリスクリスト)を指定します。

この例では「ip_risklist.csv」に設定されています。

Splunk Explorerダッシュボード。 は、Splunkのイベントデータをリスクリストと関連付けるためのさまざまな選択肢を簡単にテストする方法です。

データ構造
IPリスクリストの形式は、以下のとおりです


Name,Risk,RiskString,EvidenceDetails (名前,リスク,リスク文字列,証拠詳細)
46.18.32.101,66.0,2/47,"{""EvidenceDetails"":[{""Timestamp":""2016-11-02T16:26:00.000Z"",""重要度"":1,""ルール"":"""履歴マルチカテゴリ ブラックリスト"","""重要度ラベル"":"
"Unusual"",""EvidenceString"":""1 source: hpHosts Latest Additions. 最も
最近のリンク(2016年11月2日):hxxp://hosts-file.net/?s=doggytalk.be"",""MitigationString"":""""},{""timestamp"":""2018-04-15T12:34:28.869Z"",""重要度"":3,""ルール"":""フィッシング ホスト"",
""CriticalityLabel"":""悪意のある"",""EvidenceString"":""1 目撃情報 1 ソース: PhishTank:
フィッシング レポート (確認済みのフィッシング)。 1 つのアクティブなフィッシングのホストとして報告された IP アドレス
URL: hxxp://letiz.be/uploads/bnz.html."",""MitigationString"":"""""}]}"

形式は標準の CSV で、相関に使用されるフィールドは「名前」と呼ばれ、すべてのデフォルトの記録された将来のリスクリストで同じです。

イベントソースタイプの名前がIPアドレスを含むフィールドに対して「dst」ではなく「dest」であると仮定すると、これを反映するには、「eval Name=dst」の行を「eval Name=dest」に更新する必要があります。 カスタム・リスク・リストが相関に使用されるフィールドに別の名前を使用している場合、さらに変更が必要になる可能性があるため、ダッシュボード内のすべてのサブサーチも新しいフィールド名を使用するように変更する必要があります。

変更されたダッシュボードの検索

ダッシュボードは [ その他の→ダッシュボード(Other Dashboards )] の下に表示されます。 このビューには、Splunkのすべてのアドオンのすべてのダッシュボードが表示されますが、[ このアプリ]をクリックすると、Recorded Future Appに関連するダッシュボードのみを表示するように制限できます。

さらにヘルプ

「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。

詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com