Splunk にアラートを送信する

Guard Detect Add-on for Splunk は、Splunkでアラートにインデックスを作成できるようにする強力なサードパーティ統合です。このアドオンは、お客様の現場に対応し、アトラシアン クラウド環境の潜在的な脅威について警告します。

Guard Detect Add-on for Splunk を入手する

ステップ 1: アプリをインストールする

アプリのインストール方法は、Splunk のデプロイによって異なります。

• 単一インスタンスの Splunk Enterprise デプロイでアドオンをインストールする

• 分散型の Splunk Enterprise デプロイでアドオンをインストールする

• Splunk Cloud プラットフォームでアドオンをインストールする

アプリのインストール後、Splunk インスタンスを再起動して、正しく機能するかどうかをご確認ください。

ステップ 2: API トークンを追加する

Splunk アプリを接続するには、Atlassian アカウントで API トークンを作成する必要があります。Atlassian アカウントで API トークンを作成する方法

API トークンを作成して追加するには、次の手順に従います。

1. https://id.atlassian.com/manage-profile/security/api-tokens にログインします。

2. [API トークンの作成] をクリックします。

3. トークンの名前を入力します。後ほど必要になるので、名前を書き留めておきます。

4. API トークンをコピーします。これも後ほど必要となります。

5. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

6. 追加 を選択します 。

7. API トークン設定の名前を入力します。

8. メールアドレスを入力します (トークンの作成に使用した Atlassian アカウント用のメール)。

9. 先ほど作成した API トークンを入力します。

10. [追加] を選択して設定を保存します。

ステップ 3: 新しい入力を追加する

次に、 Guard Detect を入力として追加する必要があります。

入力を追加するには、次の手順に従います。

1. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

2. [入力] タブを選択します。

3. [新しい入力を作成] を選択します。

4. 前のステップで作成した API トークンを選択します。

5. ワークスペース URL を https://detect-domain/w/your-workspace/alerts の形式で入力します。

6. 入力の [名前] を決めます。

7. スクリプト入力を実行する [間隔] を秒単位で設定します。

8. アラート データの送信先となるインデックスを選択します。

9. アラート データ用のカスタム ソース タグを指定します (オプション)。

ステップ 4: 入力を確認する

統合が正常に機能しているかを確認するには、次の手順に従います。

1. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

2. [入力ヘルス] タブを選択します。

3. エラーをチェックします。統合が機能している場合は、input ran successfully メッセージが表示されます。

これで、アプリがほぼリアルタイムで新しいアラートを継続的に監視し、インデックス化を実行するようになりました。実行される頻度は、入力の設定で指定した間隔によって異なります。

ステップ 5: テスト アラートを送信する

テスト アラートを送信するには、次の手順に従います。

1. Guard Detect で、[Integrations (統合)] > SIEM forwarding (SIEM 転送)] に移動します。

2. [テスト アラートを送信] を選択します。

統合が機能していれば、テスト アラートを検索できます。