Skip to main content

SplunkとContrast Security ADRのインテグレーション

Contrast Security ADRとSplunkのインテグレーションにより、 ADRからインシデントの詳細がSIEM(セキュリティ情報/イベント管理)、SOAR(キュリティのオーケストレーションと自動化による対応)、XDR(拡張型の検知と対応)などの環境に送信され、インシデントを他の脅威検知・対応ソリューションと関連付けることができます。

仕組み

Contrast Security ADR for Splunkアプリを設定すると、検知された攻撃イベントと観測データが Contrast Securityのプラットフォームから SplunkのHTTPイベントコレクターに送信されます。

Contrast Security ADR for Splunkアプリはsplunkbase.comにあり、次のことがSplunkで可能になります。

  • HTTPイベントコレクター経由で受け取ったデータの解析・正規化

  • SplunkでのContrast Security ADRのダッシュボード、レポート、検索の表示

  • SOCアナリストがアプリケーションセキュリティ関連のインシデントを解決するのを支援するための運用ガイドの提供

開始する前に

設定を開始する前に、以下が必要です。

  • Splunk Enterprise 9.2、詳細はicon-external-link.svgインストールガイドを参照して下さい。

  • Splunk CIM(情報共通化標準) 5.x以降

  • Contrastエージェントが組み込まれたアプリケーション

手順1:SplunkにContrast ADRアプリをインストール

マーケットプレイスからインストール

  1. Splunk Enterpriseで、Appを選択し、他のAppのサーチを選択します。

  2. Contrast Security ADR for Splunk 1.0を検索します。

  3. 要件を確認します。

  4. インストールを選択します。

  5. 手順2に進みます。

インストール後、AppのドロップダウンにContrast Security ADR for Splunkが表示されます。

ファイルからインストール

  1. Splunk Enterpriseで、Appを選択し、他のAppのサーチを選択します。

  2. Contrast Security ADR for Splunk 1.0を検索します。

  3. ダウンロードを選択し、ファイルを便利な場所に保存します。

  4. Appの管理を選択します。

  5. ファイルからAppをインストールを選択します。

  6. ダウンロードしたファイルを選択します。

    また、以前にContrast Security ADRをインストールしている場合は、 Appをアップグレードを選択します。

  7. アップロードを選択します。

  8. 手順2に進みます。

インストール後、AppのドロップダウンにContrast Security ADR for Splunkが表示されます。

手順 2:Splunk CIMを設定

  1. Splunk Enterpriseで、Appを選択し、他のAppのサーチを選択します。

  2. Splunk Common Information Model (CIM)を検索します。

  3. インストールを選択します。

  4. Splunk.comのメールとパスワードを入力します。

  5. 同意ボタンとログインボタンを選択します。

  6. 手順3に進みます。

インストール後、Appのドロップダウンにアプリが表示されているはずです。

手順3:SplunkでHTTPイベントコレクタの入力を設定

Splunkで攻撃イベント用のHTTPイベントコレクターの入力を設定する

ContrastおよびNorthstarの場合:

  1. Splunk Enterpriseで、Settings > Data Input > HTTP Event Collectorを開きます。

  2. HTTP 経由でデータを受信するトークンを識別するための名前を入力します。この名前は覚えておいて下さい。

  3. ページ上部の新規トークンボタンを選択します。

  4. フィールドに入力し、次へを選択します。

  5. ソースタイプの選択を選び、ソースタイプにcontrast:adrを指定します。

  6. データを格納するのに優先するインデックス(contrastなど)を選択します。インデックスが存在しない場合、こちらに記載されている手順に従ってインデックスを作成して下さい。

  7. 確認ボタンを選択します。

  8. 実行ボタンを選択します。

  9. 「正常に作成されました」のページでトークン値をコピーします。これは、手順4のインテグレーションで必要になります。

  10. 手順4に進みます。

Splunkでインシデントと観測データ用のHTTPイベントコレクターの入力を設定する

Northstarのみ:

  1. 上記のSplunkで攻撃イベント用のHTTPイベントコレクターの入力を設定するセクションのステップ1から4を繰り返します。

  2. ステップ5では、ソースタイプにcontrast:adr:incidentsを指定します。

  3. 上記のSplunkで攻撃イベント用のHTTPイベントコレクターの入力を設定するセクションのステップ6から9を繰り返します。

  4. 手順4に進みます。

手順4:Contrast Security ADRを設定

Contrastで設定する

攻撃イベントを Splunkアプリに送信するようにContrastでインテグレーションを設定します。

  1. Contrastで、ユーザメニューにアクセスし、組織の設定 > インテグレーションを選択します。

  2. 「ADR連携」セクションでSplunkオプションを選択します。

    ADRSplunk_EN.png
  3. Splunkフィールドに、攻撃イベント用のイベントコレクターの設定で構成した送信先となるHTTPイベントコレクターのURLとトークン情報を入力します。画面のURLは説明のためのサンプルです。詳細はSplunk公式ドキュメントを参照して下さい。

    ADRSplunk1_EN.png
  4. 保存を選択します。

  5. 手順5に進みます。

Northstarで設定する

Northstarでインテグレーションを設定し、観測データとインシデントをSplunkアプリに送信するようにします。

  1. Northstarの場合、左側のナビゲーションでAdministration > インテグレーションを選択します。

  2. 「インテグレーション」セクションでSplunkオプションを選択します。

    SplunkNS1_EN.png
  3. Splunkフィールドの下には:

    1. 攻撃イベント用のイベントコレクターの設定で構成した送信先となるHTTPイベントコレクターのURLを入力します。画面のURLは説明のためのサンプルです。詳細はSplunk公式ドキュメントを参照して下さい。

    2. 攻撃イベント用のHTTPイベントコレクターの設定で構成した、攻撃イベントの観測データ用のHTTPイベントコレクタートークンを入力します。

    3. インシデントと観測データ用のHTTPイベントコレクターの設定をするで構成した、インシデント用のHTTPイベントコレクタのトークンを入力します。

  4. Splunkに送信するデータのモードを選択します。

    • 全ての観測データおよびインシデント情報を選択すると、エージェントによって検知された全ての攻撃イベントの観測データ、およびインシデント情報の両方が送信されます。このモードは、アプリケーションの実行時を詳細に可視化し、カスタムのユースケースを構築したいと考えているSOC(セキュリティオペレーションセンター)向けに推奨されます。

    • インシデント情報とインシデント関連の観測データのみを選択すると、インシデント情報と関連する観測データがSIEMに送信されます。このモードは、SIEMに送信されるデータ量を最小限に抑え、セキュリティインシデントと関連する観測データに対するアラートのみを受信したいと考えているSOC(セキュリティオペレーションセンター)向けに推奨されます。

  5. インテグレーション有効のトグルを選択すると、インテグレーションが有効になります。この設定により、設定した内容を失うことなインテグレーションを一時的に無効にすることができます。

  6. 保存を選択します。

  7. 手順5に進みます。

手順5:イベントを検索するマクロを設定

マクロは、Contrast Security ADRのイベントが保存されているインデックスを追跡するために使用されます。このマクロは、CIMマッピングおよび相関検索に使用されます。

  1. Splunk Enterpriseで、設定>詳細サーチを選択します。

  2. サーチマクロを選択します。

  3. 新規追加を選択します。

  4. contrast_searchマクロを検索します。

  5. マクロ名を選択して編集します。

  6. HTTPイベントコレクターの入力で指定したインデックス名を、攻撃イベント用のHTTPイベントコレクターの設定時に構成したインデックスとして呼び出します。

  7. 保存を選択して、Contrast Webhookデータが保存されているインデックスのマクロを更新します。

マクロを検証するには:

  1. Splunk Enterpriseで、AppメニューからContrast Security ADR for Splunk 1.0を選択します。

  2. 検索を選択します。

  3. 検索ボックスに contrast_searchと入力します。

  4. 時間範囲を全時間に設定します。

  5. 検索を選択します。

    検索が完了すると、Contrast ADRのイベントが表示されるはずです。

  6. 手順6に進みます。

手順6:CIM データモデルを設定

Contrast ADRのイベントを認識するように侵入検知(Intrusion Detection)マクロを設定します。

  1. Splunk Enterpriseで、設定>詳細検索 > マクロに移動します。

  2. Splunk Common Information Model(CIM)アプリケーションを選択します。

  3. cim_Intrusion_Detection_indexesを検索して、選択して編集します。

  4. 定義をeventtype=contrast_adr として編集します。

  5. 保存を選択します。

  6. 手順7に進みます。

手順7:SplunkでContrast ADRのデータを表示

Splunkには、Contrastのデータを表示できる3つのダッシュボードがあります。

  1. SplunkAppで、Contrast ADR for Splunkを選択します。

  2. ダッシュボードを選択します。

  3. 次のダッシュボードを選択できます:

    • Attack Dashboard: このダッシュボードには、指定された期間にContrastがブロックした攻撃の概要、攻撃の標的となったアプリケーション、攻撃の種類と発生日時、最も頻繁に標的にされたURIが表示されます。

    • Attacks by Applications:このダッシュボードには、指定したアプリケーションについて、攻撃の数、検知およびブロックされたさまざまな種類の攻撃、指定された期間内のさまざまな攻撃タイプの分布、および最も攻撃された上位10件のURI が表示されます。

    • Attacks Geographical Distribution:このダッシュボードには、Contrastで検知およびブロックされた攻撃が地理的に表示されます。

関連項目