Splunk エンタープライズセキュリティ入門
このガイドは、Splunk Enterprise Securityへの投資を最大限に活用し、構成を改善して最大限の価値を得られるようにすることを目的としています。
Splunk Enterprise Securityが組織のセキュリティ体制を可視化する方法を理解することが重要です。Splunk Enterprise Securityは相関検索を使用してセキュリティ関連の脅威を可視化し、特定された脅威を追跡するための注目すべきイベントを生成します。環境内のデバイス、システム、アプリケーションからデータを収集、監視、レポートできます。
Splunk エンタープライズセキュリティをインストール
この記事の情報は Splunk エンタープライズセキュリティ (ES) バージョン 7.x に適用されます。お持ちの場合 Splunk エンタープライズセキュリティバージョン 8.x にアップグレードしました 、一部の用語や手順が当てはまらない場合があります。ES 8.x のサポートについては、 Splunk プロフェッショナルサービス お手伝いできます。
- Splunk Enterpriseユーザーの場合は、次の指示に従ってください Splunk ドキュメント 。
- Splunk Cloud Platformユーザー向けに、SplunkのサポートチームがSplunkエンタープライズセキュリティへのアクセス情報を提供します。
Splunk エンタープライズセキュリティは高度な設定が可能です。そのため、インストールと初期設定は以下が行うことを強くお勧めします。 プロフェッショナルサービス 。Splunk Cloud Platform のお客様向けにはインストールが自動化されていますが、データのオンボーディングなどの設定を支援するには、やはりプロフェッショナルサービスの利用が推奨されます。
Splunk エンタープライズセキュリティをインストールしたら、次の手順に従う必要があります。
- 該当するものを特定してください。 ユースケース セキュリティ監視用。
-
データソースを特定する
ユースケースを実装する必要があります。
- Splunk Enterpriseユーザーの場合は、適切なものを特定してください アドオン から スプランクベース 。Splunkbase のほとんどのアドオンは以下に準拠しています。 共通情報モデル (CIM)。データがカスタムの場合は、手動で CIM にマッピングする必要があります。
- Splunk クラウドプラットフォームユーザーの場合は、ぜひご相談ください プロフェッショナルサービス アドオンをセットアップするため。
- アドオンを使用して、セキュリティ関連データを Splunk プラットフォームに送信し始めてください。
- を使用してデータを検証します。 Splunk 共通情報モデル (CIM) アプリ 。
- Splunk Enterprise Securityの全機能にアクセスできるように資産とIDを設定します。
- ダッシュボードとレポートを設定して、セキュリティの調査と監視を可能にします。