コンテンツにスキップ

Splunk

Last reviewed: over 1 year ago

Email Securityがフィッシングメールを検出すると、その検出のメタデータを直接Splunkに送信できます。この文書では、Splunk Cloudとの統合に必要な手順を説明します。

Email Securityがフィッシングメールを検出し、Splunkに送信する際の流れを示す図。

1. Splunk HTTPイベントコレクタの設定

  1. 管理者アカウントでSplunkにログインします。

  2. 設定 > データ入力に移動します。

    設定を構成するためにデータ入力に移動します。

  3. ローカル入力 > タイプで、HTTPイベントコレクタを選択してこの設定にアクセスし、新しいコレクタを作成します。

    コレクタのタイプとしてHTTPイベントコレクタを選択します。

  4. 新しいトークンボタンを選択して設定を開始します。

  5. Email Security(以前のArea 1)トークンの説明的な名前を提供します(例:Email Security (formerly Area 1) Email Detections)し、インデクサー確認を有効にするのチェックを外します。

    新しいトークンの説明的な名前を入力しますが、インデクサー確認を有効にするチェックボックスは外します。

  6. 次へを選択して続行します。

  7. 環境に基づいてHTTPイベントコレクタの入力設定を構成します。

    環境に基づいて入力設定を構成します。

  8. 新しいインデックスを作成を選択して、Email Securityイベントの新しい設定を作成できます。インデックス全体の最大サイズと**保持(日数)**は、環境に合ったものを設定します。

    オプションでEmail Securityイベントの新しいインデックスを作成します。

  9. この例では、新しいarea1_indexインデックスを作成し、設定に追加しました。

    設定に追加された新しいインデックスの例。

  10. レビュー > 送信を選択して設定を確認し、コレクタを作成します。

  11. 次の画面でトークン値に注意してください。この値は次のステップでのEmail Security設定に必要です。トークンは、設定 > データ入力 > HTTPイベントコレクタのHTTPイベントコレクタ設定パネルからも取得できます。

    設定に追加された新しいインデックスの例。

2. HTTPイベントコレクタのテスト

HTTPイベントコレクタをテストするには、次のcURLコマンドを使用して手動でイベントをSplunkに注入できます。

Terminal window
curl https://{host}:8088/services/collector/event \
--header "Authorization: Splunk <YOUR_TOKEN>" \
--data '{
    "sourcetype": "<YOUR_SOURCE_TYPE>",
    "event": "Hello, World!"
    }'

リクエスト形式

Splunkにリクエストを作成する際、URLとポート番号はSplunkのセットアップの種類によって異なります:

  • Splunk Cloud Platform無料トライアル: <protocol>://http-inputs-<host>.splunkcloud.com:8088/<endpoint>
  • Splunk Cloud Platform: <protocol>://http-inputs-<host>.splunkcloud.com:443/<endpoint>
  • Splunk Enterprise: <protocol>://<host>:8088/<endpoint>

詳細については、Splunkのドキュメントを参照してください。

インスタンスがオンプレミスの場合は、適切なホスト名を指定し、ファイアウォールが設定されたポートをインスタンスに通過させることを確認してください。接続は、アクセス制御リスト(ACL)に必要な場合、以下の出口IPアドレスから行われます:

  • 52.11.209.211
  • 52.89.255.11
  • 52.0.67.109
  • 54.173.50.115

すべての要件が満たされている場合、cURLコマンドに対して次の応答が返されます:

{"text":"Success","code":0}

さらに、indexや他の検索条件(例:index="area1_index")を使用して、Splunkのインスタンスでテストイベントを検索できます。

設定に追加された新しいインデックスの例。

3. Email Securityの設定

次のステップは、Email Securityを設定してEmail Detection EventをSplunk HTTPイベントコレクタにプッシュすることです。

  1. Email Securityダッシュボードにログインします。
  2. Email設定 > アラートWebhookに移動し、新しいWebhookを選択します。
  3. Webhookの追加ページで、次の設定を入力します:
    • アプリタイプSIEM > Splunkを選択し、前のステップでメモした認証コードを入力します。
    • ターゲット:SplunkインスタンスのターゲットURIを入力します。通常、https://<host>:8088/services/collector形式になります。URIに対するSplunkのサブスクリプションがどのように影響するかについては、リクエスト形式を参照してください。
    • 処理MALICIOUSSUSPICIOUSSPOOFSPAMBULK)の中から、Webhookに送信したいものを選択します。SPAMBULKの処理を送信すると、多くのイベントが生成されます。
  4. Webhookを公開を選択します。

これで、あなたのSplunk統合がすべてのWebhookパネルに表示されるようになります。

すべてのWebhookセクションにあなたのSplunk Webhookが表示されます。

設定がEmail Security(以前のArea 1)のインフラストラクチャ全体に完全に伝播するまでに約10分ほどかかり、イベントが検索に表示され始めます。設定が伝播した後、イベントはあなたのSplunkインスタンスに表示され始めます。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings