Splunk にアラートを送信する
Guard Detect Add-on for Splunk は、Splunk のアラートをインデックス化できる強力なサードパーティ統合です。アドオンを使用することで、作業している場所にかかわらず、Atlassian Cloud 環境での潜在的な脅威に対するアラートを確認できます。
Guard Detect Add-on for Splunk を入手する
この操作を実行できるユーザー |
ステップ 1: アプリをインストールする
アプリのインストール方法は、Splunk のデプロイによって異なります。
アプリのインストール後、Splunk インスタンスを再起動して、正しく機能するかどうかをご確認ください。
ステップ 2: API トークンを追加する
Splunk アプリを接続するには、Atlassian アカウントで API トークンを作成する必要があります。Atlassian アカウントで API トークンを作成する方法
API トークンを作成して追加するには、次の手順に従います。
https://id.atlassian.com/manage-profile/security/api-tokens にログインします。
[API トークンの作成] をクリックします。
トークンの名前を入力します。後ほど必要になるので、名前を書き留めておきます。
API トークンをコピーします。これも後ほど必要となります。
Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。
追加 を選択します 。
API トークン設定の名前を入力します。
メールアドレスを入力します (トークンの作成に使用した Atlassian アカウント用のメール)。
先ほど作成した API トークンを入力します。
[追加] を選択して設定を保存します。
ステップ 3: 新しい入力を追加する
次に、 Guard Detect を入力として追加する必要があります。
入力を追加するには、次の手順に従います。
Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。
[入力] タブを選択します。
[新しい入力を作成] を選択します。
前のステップで作成した API トークンを選択します。
ワークスペース URL を
https://detect-domain/w/your-workspace/alertsの形式で入力します。入力の [名前] を決めます。
スクリプト入力を実行する [間隔] を秒単位で設定します。
アラート データの送信先となるインデックスを選択します。
アラート データ用のカスタム ソース タグを指定します (オプション)。
ステップ 4: 入力を確認する
統合が正常に機能しているかを確認するには、次の手順に従います。
Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。
[入力ヘルス] タブを選択します。
エラーをチェックします。統合が機能している場合は、
input ran successfullyメッセージが表示されます。
これで、アプリがほぼリアルタイムで新しいアラートを継続的に監視し、インデックス化を実行するようになりました。実行される頻度は、入力の設定で指定した間隔によって異なります。
ステップ 5: テスト アラートを送信する
テスト アラートを送信するには、次の手順に従います。
Guard Detect で、[統合] > [SIEM Webhook] に移動します。
この統合用の Webhook の横にある [テスト] を選択します。
統合が機能していれば、テスト アラートを検索できます。
ツールに送信されるデータ
統合を設定すると、選択したサードパーティ ツールにアラート データが送信されるようになります。 アラートのタイトル、説明、コンテキストが送信され、以下が含まれる場合があります。
アクターの名前とそのプロフィール写真
対象の名前 (個人、またはスペース、プロジェクト、ポリシーなどのエンティティ)
アクティビティが発生したサイト URL またはページ URL
アクターの Atlassian アカウント プロフィールの表示設定が優先されます。 アクターが自分のプロフィール写真をアトラシアン組織と共有しないことを選択している場合にはその設定が優先されます。
統合を設定する前に、このデータをサードパーティ ツールと共有することが適切であることを確認する必要があります。
この内容はお役に立ちましたか?