Splunk にアラートを送信する

Splunk 向け Beacon アドオンは、Splunk のアラートをインデックス化できる強力なサードパーティ統合です。アドオンを使用することで、作業している場所にかかわらず、Atlassian Cloud 環境での潜在的な脅威に対するアラートを確認できます。

Splunk 向け Beacon アドオンを入手する

ステップ 1: アプリをインストールする

アプリのインストール方法は、Splunk のデプロイによって異なります。

• 単一インスタンスの Splunk Enterprise デプロイでアドオンをインストールする

• 分散型の Splunk Enterprise デプロイでアドオンをインストールする

• Splunk Cloud プラットフォームでアドオンをインストールする

アプリのインストール後、Splunk インスタンスを再起動して、正しく機能するかどうかをご確認ください。

ステップ 2: API トークンを追加する

Splunk アプリを接続するには、Atlassian アカウントで API トークンを作成する必要があります。Atlassian アカウントで API トークンを作成する方法

API トークンを作成して追加するには、次の手順に従います。

1. https://id.atlassian.com/manage-profile/security/api-tokens にログインします。

2. [API トークンの作成] をクリックします。

3. トークンの名前を入力します。後ほど必要になるので、名前を書き留めておきます。

4. API トークンをコピーします。これも後ほど必要となります。

5. Splunk で、[アプリ] > [Splunk 向け Beacon アドオン] を選択します。

6. 追加 を選択します 。

7. API トークン設定の名前を入力します。

8. メールアドレスを入力します (トークンの作成に使用した Atlassian アカウント用のメール)。

9. 先ほど作成した API トークンを入力します。

10. [追加] を選択して設定を保存します。

ステップ 3: 新しい入力を追加する

Next you need to add Beacon beta (soon to be Guard Detect) as an input.

入力を追加するには、次の手順に従います。

1. Splunk で、[アプリ] > [Splunk 向け Beacon アドオン] を選択します。

2. [入力] タブを選択します。

3. [新しい入力を作成] を選択します。

4. 前のステップで作成した API トークンを選択します。

5. ワークスペース URL を https://beacon-domain/w/your-workspace/alerts の形式で入力します。

6. 入力の [名前] を決めます。

7. スクリプト入力を実行する [間隔] を秒単位で設定します。

8. アラート データの送信先となるインデックスを選択します。

9. アラート データ用のカスタム ソース タグを指定します (オプション)。

ステップ 4: 入力を確認する

統合が正常に機能しているかを確認するには、次の手順に従います。

1. Splunk で、[アプリ] > [Splunk 向け Beacon アドオン] を選択します。

2. [入力ヘルス] タブを選択します。

3. エラーをチェックします。統合が機能している場合は、input ran successfully メッセージが表示されます。

これで、アプリがほぼリアルタイムで新しいアラートを継続的に監視し、インデックス化を実行するようになりました。実行される頻度は、入力の設定で指定した間隔によって異なります。

ステップ 5: テスト アラートを送信する

テスト アラートを送信するには、次の手順に従います。

1. Beacon で、[統合] > [SIEM 転送] の順に移動します。

2. [テスト アラートを送信] を選択します。

統合が機能していれば、テスト アラートを検索できます。