>

トラブルシューティング

Recorded Future App for Splunkに関する問題の種類は、3つのカテゴリに分類できます。 Recorded Future App には、トラブルシューティングに役立つ 3 つのレポート (カテゴリごとに 1 つ) が含まれています。

カテゴリ レポート名 目的
クレデンシャル/ネットワーク アプリのデプロイを検証する このレポートには、レポートの実行時に実行される多数のテストとルックアップの結果が表示されます。
リスクリストのダウンロード/頻度 すべてのリスクリストの最新情報 このレポートには、直近の 5 つのリスク リストの更新が表示されます。
その他 アプリからのすべてのログ このレポートには、アプリによって生成されたすべてのログが 1 つのビューに表示されます。

レポートの使用方法

構成/ネットワーク接続を確認する

Recorded Future App for Splunkがデプロイおよび構成されたとき、またはトラブルシューティングの最初のステップとして、レポート「 Validate App Deployment 」を実行します。 組み込みのバリデーターは、多数のテストを実行し、有用なトラブルシューティング情報を収集します。 「OK」と「NA」は、アプリの接続/セットアップが機能していることを示すため、それ以外、つまり「警告」または「エラー」を調査する必要があります。

アプリの展開レポートを検証する

リスクリストが正しくダウンロードされていることを確認する

記録された将来のリスクリストは、記録された将来の API から入手できます。 レポート「 すべてのリスクリストの最新更新」には、正常にダウンロードされたすべてのリスクリストが表示されます。 最後に成功した 5 つのダウンロードのタイムスタンプを保存します。 レポートに表示されていないリスクリストは、正常にダウンロードされていません。

記録された将来のリスクリストの推奨される更新頻度は、更新の頻度によって異なります。 現在のスケジュールは、 Recorded Future Supportのサイトで確認できます。

リスクリストのダウンロードに影響を与える可能性のあるいくつかの問題があります。 次のガイドに従って、期待どおりに更新されないリスクリストのトラブルシューティングを行います。

  1. すべてのリスクリストの更新に失敗した場合は、ネットワーク接続または使用されているAPIトークンに問題がある可能性があります。 上記のレポート「 アプリの展開の検証 」を実行します。
  2. 構成ページで、更新の正しい間隔が構成で指定されていることを確認します。
  3. フュージョンパスが存在しないか、スペルが間違っている可能性があります。 これは、次の検索を実行することで確認できます: index=_* sourcetype="tarecordedfuture:cyber:log" ERROR 404 "ファイルまたはディレクトリ" path=*
    1. パス フィールドが Fusion ファイルに対応していることを確認します。 これはURLエンコードされているため、Fusionファイルパス /home/custom.csv%2Fhome%2Fcustom.csvと読み取られます。
    2. アプリで使用される Recorded Future API トークンが、Recorded Future のシステム内の正しい企業に属していることを確認します。 パブリックFusionファイル(/public/で始まるパス)を除き、Fusionファイルを所有するEnterpriseの外部ではFusionファイルを使用できません。
    3. Fusionファイルの生成を担当するFusion Flowが正常に実行されたことを確認します。
  4. Recorded Future Appは、前回のダウンロード以降に変更されていないリスクリストを更新しません。 フュージョンファイルが最後に変更されたのはいつかを確認するには、HEADメソッドを使用してタイムスタンプを確認します。 *助けが必要です!

その他の問題

レポート「アプリからのすべてのログ」には、アプリによって作成されたすべてのイベントが一覧表示されます。 ログレベルは「構成」ページで調整できます。 デフォルトはINFOですが、トラブルシューティングを行う場合は、レベルをDEBUGに上げるのが適切な場合があります。

良い出発点は、エラーを探すことです (loglevel ERROR)。 レポートは検索ビューで開くことができます: [編集] ボタンから [検索で開く] を選択します。

Recorded Futureで問題を提起する

Recorded Futureに問題を報告する場合、次の手順により、詳細な分析に適した一連の情報が生成されます。

  1. 問題の簡単な要約:何が起こっているのか、何が起こっていないのか? それは常に発生していますか、それとも断続的ですか、またはエンティティのサブセットに限定されていますか?
  2. 「アプリの展開の検証」と「すべてのリスクリストの最新更新」レポートの結果を示すスクリーンショットを撮ります。
  3. ログ・レベルを DEBUG に上げます
  4. 問題をトリガーします。
  5. 問題がトリガーされた日時をメモします。
  6. 「アプリからのすべてのログ」レポートを実行し、結果をCSVファイルとしてエクスポートします。

さらにヘルプ

「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。

詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com