トラブルシューティング

Recorded Future App for Splunkに関する問題の種類は、3つのカテゴリに分類できます。 Recorded Future App には、トラブルシューティングに役立つ 3 つのレポート (カテゴリごとに 1 つ) が含まれています。

カテゴリ レポート名 目的
クレデンシャル/ネットワーク アプリのデプロイを検証する このレポートには、レポートの実行時に実行される多数のテストとルックアップの結果が表示されます。
リスクリストのダウンロード/頻度 すべてのリスクリストの最新情報 このレポートには、直近の 5 つのリスク リストの更新が表示されます。
その他 アプリからのすべてのログ このレポートには、アプリによって生成されたすべてのログが 1 つのビューに表示されます。

レポートの使用方法

構成/ネットワーク接続を確認する

Recorded Future App for Splunkがデプロイおよび構成されたとき、またはトラブルシューティングの最初のステップとして、レポート「 Validate App Deployment 」を実行します。 組み込みのバリデーターは、多数のテストを実行し、有用なトラブルシューティング情報を収集します。 「OK」と「NA」は、アプリの接続/セットアップが機能していることを示すため、それ以外、つまり「警告」または「エラー」を調査する必要があります。

Validate app deployment report

リスクリストが正しくダウンロードされていることを確認する

記録された将来のリスクリストは、記録された将来の API から入手できます。 レポート「 すべてのリスクリストの最新更新」には、正常にダウンロードされたすべてのリスクリストが表示されます。 最後に成功した 5 つのダウンロードのタイムスタンプを保存します。 レポートに表示されていないリスクリストは、正常にダウンロードされていません。

記録された将来のリスクリストの推奨される更新頻度は、更新の頻度によって異なります。 現在のスケジュールは、 Recorded Future Supportのサイトで確認できます。

リスクリストのダウンロードに影響を与える可能性のあるいくつかの問題があります。 次のガイドに従って、期待どおりに更新されないリスクリストのトラブルシューティングを行います。

  1. すべてのリスクリストの更新に失敗した場合は、ネットワーク接続または使用されているAPIトークンに問題がある可能性があります。 上記のレポート「 アプリの展開の検証 」を実行します。
  2. 構成ページで、更新の正しい間隔が構成で指定されていることを確認します。
  3. フュージョンパスが存在しないか、スペルが間違っている可能性があります。 これは、次の検索を実行することで確認できます: index=_* sourcetype="tarecordedfuture:cyber:log" ERROR 404 "ファイルまたはディレクトリ" path=*
    1. Check that the path field corresponds to a Fusion file. Note that it is URL encoded which means that the Fusion file path /home/custom.csv will read %2Fhome%2Fcustom.csv.
    2. Ensure that the Recorded Future API Token used by the app belongs to the correct enterprise in Recorded Future’s system. With the exception of public Fusion files (paths starting with /public/), no Fusion files are available outside of the Enterprise that owns them.
    3. Ensure that the Fusion Flow responsible for generating the Fusion file was successfully executed.
  4. Recorded Future Appは、前回のダウンロード以降に変更されていないリスクリストを更新しません。 フュージョンファイルが最後に変更されたのはいつかを確認するには、HEADメソッドを使用してタイムスタンプを確認します。 *助けが必要です!

その他の問題

レポート「アプリからのすべてのログ」には、アプリによって作成されたすべてのイベントが一覧表示されます。 ログレベルは「構成」ページで調整できます。 デフォルトはINFOですが、トラブルシューティングを行う場合は、レベルをDEBUGに上げるのが適切な場合があります。

良い出発点は、エラーを探すことです (loglevel ERROR)。 レポートは検索ビューで開くことができます: [編集] ボタンから [検索で開く] を選択します。

Recorded Futureで問題を提起する

Recorded Futureに問題を報告する場合、次の手順により、詳細な分析に適した一連の情報が生成されます。

  1. 問題の簡単な要約:何が起こっているのか、何が起こっていないのか? それは常に発生していますか、それとも断続的ですか、またはエンティティのサブセットに限定されていますか?
  2. 「アプリの展開の検証」と「すべてのリスクリストの最新更新」レポートの結果を示すスクリーンショットを撮ります。
  3. ログ・レベルを DEBUG に上げます
  4. 問題をトリガーします。
  5. 問題がトリガーされた日時をメモします。
  6. 「アプリからのすべてのログ」レポートを実行し、結果をCSVファイルとしてエクスポートします。

さらにヘルプ

「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。

詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com