• 関連ドキュメント

Splunk にアラートを送信する

Guard Detect Add-on for Splunk は、Splunk のアラートをインデックス化できる強力なサードパーティ統合です。アドオンを使用することで、作業している場所にかかわらず、Atlassian Cloud 環境での潜在的な脅威に対するアラートを確認できます。

Guard Detect Add-on for Splunk を入手する

この操作を実行できるユーザー
ロール: 組織管理者, Guard Detect 管理者
Atlassian Cloud: Atlassian Guard Premium
Atlassian Government Cloud: 利用できません

ステップ 1: アプリをインストールする

アプリのインストール方法は、Splunk のデプロイによって異なります。

アプリのインストール後、Splunk インスタンスを再起動して、正しく機能するかどうかをご確認ください。

ステップ 2: API トークンを追加する

You will need to create an API token in your Atlassian Account to connect the Splunk app. How to create an API token in Atlassian Account

You can also use a service account. Understand service accounts and how to create API tokens with scopes

To create your API token:

  1. Log in to https://id.atlassian.com/manage-profile/security/api-tokens.

  2. Click Create API token or Create API token with scopes

  3. トークンの名前を入力します。後ほど必要になるので、名前を書き留めておきます。

  4. For API token with scopes, select read:alert:guard-detect and read:account.

  5. API トークンをコピーします。これも後ほど必要となります。

To create a service account API token credential:

  1. Log in to Atlassian Administration. Select your organization if you have more than one.

  2. [ディレクトリ] > [サービス アカウント] の順に選択します。

  3. 認証情報を作成するサービス アカウントを選択します。

  4. Grant the User and Admin user roles on the Guard Detect app to the service account.

  5. Select Create credentials, API token.

  6. トークンの名前を入力します。後ほど必要になるので、名前を書き留めておきます。

  7. Select the following scopes: read:alert:guard-detect and read:account.

  8. API トークンをコピーします。これも後ほど必要となります。

To add your API token:

  1. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

  2. 追加 を選択します 。

  3. API トークン設定の名前を入力します。

  4. Enter your email address or the service account email address (for the Atlassian Account used to create the token).

  5. 先ほど作成した API トークンを入力します。

  6. [追加] を選択して設定を保存します。

Splunk で API トークンを追加する

Step 3 (optional): Configure a proxy

If your Splunk deployment requires an outbound proxy, configure it in the Guard Detect Add-on:

  1. In Splunk, select Apps > Guard Detect Add-on for Splunk > Configuration > Proxy.

  2. Set Enable proxy to Enabled.

  3. Enter your HTTPS proxy URL (for example, https://proxy.example.com:3128).

  4. If your proxy requires authentication, enter a Proxy username and a Proxy password. Credentials are stored securely.

  5. Save. The add-on will now route outbound requests through this proxy.

Set up a proxy in Splunk configuration

Step 4: Add a new input

次に、 Guard Detect を入力として追加する必要があります。

入力を追加するには、次の手順に従います。

  1. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

  2. [入力] タブを選択します。

  3. [新しい入力を作成] を選択します。

  4. 前のステップで作成した API トークンを選択します。

  5. ワークスペース URLhttps://detect-domain/w/your-workspace/alerts の形式で入力します。

  6. 入力の [名前] を決めます。

  7. スクリプト入力を実行する [間隔] を秒単位で設定します。

  8. アラート データの送信先となるインデックスを選択します。

  9. アラート データ用のカスタム ソース タグを指定します (オプション)。

Splunk で「Beacon 入力」画面を追加する

Step 5: Check the input

統合が正常に機能しているかを確認するには、次の手順に従います。

  1. Splunk で、[ Apps > Guard Detect Add-on for Splunk] を選択します。

  2. [入力ヘルス] タブを選択します。

  3. エラーをチェックします。統合が機能している場合は、input ran successfully メッセージが表示されます。

これで、アプリがほぼリアルタイムで新しいアラートを継続的に監視し、インデックス化を実行するようになりました。実行される頻度は、入力の設定で指定した間隔によって異なります。

「入力が正常に実行されました」というメッセージが表示されている「Splunk 入力ヘルス」画面

If the integration is working, you should be able to see Guard Detect alerts.

ツールに送信されるデータ

統合を設定すると、選択したサードパーティ ツールにアラート データが送信されるようになります。 アラートのタイトル、説明、コンテキストが送信され、以下が含まれる場合があります。

  • アクターの名前とそのプロフィール写真

  • 対象の名前 (個人、またはスペース、プロジェクト、ポリシーなどのエンティティ)

  • アクティビティが発生したサイト URL またはページ URL

アクターの Atlassian アカウント プロフィールの表示設定が優先されます。 アクターが自分のプロフィール写真をアトラシアン組織と共有しないことを選択している場合にはその設定が優先されます。

統合を設定する前に、このデータをサードパーティ ツールと共有することが適切であることを確認する必要があります。

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容ステップ 1: アプリをインストールするステップ 2: API トークンを追加するStep 3 (optional): Configure a proxyStep 4: Add a new inputStep 5: Check the input ツールに送信されるデータ
コミュニティ質問、ディスカッション、記事