Splunk EnterpriseとSplunk SOARの連携

本記事の概要

Splunk SOARはSplunk Enterpriseと連携してセキュリティインシデントの検知から調査、対応までのワークフローを自動化することができる。
本記事では、Splunk SOARとSplunk Enterpriseを連携するための手順を記載する。

Splunk EnterpriseとSplunk SOARをインストールしていない場合は、「Splunk Enterpriseの評価版を使ってみた」と「Splunk SOARの評価版を使ってみた」を参考にして事前にインストールしてください。

本記事は以下のSplunkの公式サイトの手順を参考にして記載している。

Splunk Docs

help.splunk.com

Connect Splunk App for SOAR Export and the Splunk Platform to Splunk SOAR - Splunk Documentation

docs.splunk.com

Splunk Appsのダウンロード

(1) ブラウザを用いて「https://login.splunk.com/」にアクセスして、ユーザー名とパスワードを入力してログインする。


(2) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスして、「Splunk App for SOAR Export」を検索する。


(3) 「Splunk App for SOAR Export」の画面にて「Download」をクリックする。


(4) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（splunk-app-for-soar-export_4326.tgz）をダウンロードされる。


(5) 「OK」をクリックする。


(6) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスして、「Splunk App for SOAR」を検索する。


(7) 「Splunk App for SOAR」の画面にて「Download」をクリックする。


(8) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（splunk-app-for-soar_1072.tgz）をダウンロードされる。


(9) 「OK」をクリックする。

Splunk EnterpriseへSplunk Appsをインストール（Splunk App for SOAR等）

(1) Splunk EnterpriseのHTTP検証を無効にする。

$ curl -ku '<username>:<password>' https://<splunkaddress>:8089/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs\?output_mode\=json -d value=0


　【コマンドの例】
　　$ curl -ku 'admin:password' https://192.168.11.5:8089/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs\?output_mode\=json -d value=0
　　【出力結果】
　　{"links":{"create":"/servicesNS/nobody/phantom/configs/conf-phantom/_new","_reload":"/servicesNS/nobody/phantom/configs/conf-phantom/_reload","_acl":"/servicesNS/nobody/phantom/configs/conf-phantom/_acl"},"origin":"https://192.168.11.5:8089/servicesNS/nobody/phantom/configs/conf-phantom","updated":"2026-01-18T06:20:05+09:00","generator":{"build":"e2d18b4767e9","version":"10.0.2"},"entry":[{"name":"verify_certs","id":"https://192.168.11.5:8089/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs","updated":"2026-01-18T06:20:05+09:00","links":{"alternate":"/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs","list":"/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs","_reload":"/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs/_reload","edit":"/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs","disable":"/servicesNS/nobody/phantom/configs/conf-phantom/verify_certs/disable"},"author":"nobody","acl":{"app":"phantom","can_change_perms":true,"can_list":true,"can_share_app":true,"can_share_global":true,"can_share_user":false,"can_write":true,"modifiable":true,"owner":"nobody","perms":{"read":["phantom"],"write":["admin","sc_admin"]},"removable":false,"sharing":"global"},"content":{"disabled":false,"eai:acl":null,"eai:appName":"phantom","eai:userName":"nobody","value":"0"}}],"paging":{"total":1,"perPage":30,"offset":0},"messages":[]}

(2) ブラウザを用いてSplunk Enterpriseの管理画面（http://[Splunk EnterpriseのIPアドレス]:8000/）にログインし、App画面の「管理」をクリックする。


(3) 「ファイルからAppをインストール」をクリックする。


(4) 「Splunk App for SOAR Export」のファイル（splunk-app-for-soar-export_4326.tgz）を選択し、「アップロード」をクリックする。


(5) 正常にインストールされた旨のメッセージが表示されていることを確認し、「閉じる」をクリックする。


(6) 「ファイルからAppをインストール」をクリックする。


(7) 「Splunk App for SOAR」のファイル（splunk-app-for-soar_1072.tgz）を選択し、「アップロード」をクリックする。


(8) 「閉じる」をクリックする。


(9) Splunk EnterpriseのApp一覧に「Splunk App for SOAR Export」と「Splunk App for SOAR」があることを確認する。

Splunk SOARのユーザー設定（automationユーザーの設定変更）

※Splunk SOAR上にautomationユーザーの設定を変更してAPIトークンを取得するか、API連携用のユーザーを作成することでSplunk Enterpriseと連携できる。本章では、Splunk SOAR上にautomationユーザーの設定を変更する手順書を記載する。

(1) ブラウザを用いてSplunk SOARの管理画面（http://[Splunk SOARのIPアドレス]:8443/）にログインし、メニュー欄から「Administrator」をクリックする。


(2) [User Management] > [Users]をクリックする。


(3) automationユーザーの「…」をクリックして、「Edit」をクリックする。


(4) 「Show Token」をクリックする。


(5) 「Authorization Configuration for REST API」の文字列をコピーする。Splunk Enterpriseの「Splunk App for SOAR Export」に文字列を張り付けるため、メモ帳などに保存してください。その後、以下の内容を設定し「Save」をクリックする。

【Authorization Configuration for REST APIの例】
{
  "ph-auth-token": "*********",
  "server": "https://10.1.65.229"
}

Splunk SOARのユーザー設定（API連携用の新規ユーザー作成）

※Splunk SOAR上にautomationユーザーの設定を変更してAPIトークンを取得するか、API連携用のユーザーを作成することでSplunk Enterpriseと連携できる。本章では、Splunk SOAR上にAPI連携用のユーザーを新規に作成する手順を記載する。

(1) ブラウザを用いてSplunk SOARの管理画面（http://[Splunk SOARのIPアドレス]:8443/）にログインし、メニュー欄から「Administrator」をクリックする。


(2) [User Management] > [Users]をクリックする。


(3) 右上部の「+ User」をクリックする。


(4) 以下のユーザー情報を設定して、「Create」をクリックする。

(5) 作成したユーザーが表示されていることを確認する。


(6) 作成したユーザーの「…」をクリックして、「Edit」をクリックする。


(7) 「Show Token」をクリックする。


(8) 「Authorization Configuration for REST API」の文字列をコピーする。Splunk Enterpriseの「Splunk App for SOAR Export」に文字列を張り付けるため、メモ帳などに保存してください。その後、「Save」をクリックする。

【Authorization Configuration for REST APIの例】
{
  "ph-auth-token": "*********",
  "server": "https://10.1.65.229"
}

Splunk App for SOAR Exportの設定

(1) ブラウザを用いてSplunk Enterpriseの管理画面（http://[Splunk EnterpriseのIPアドレス]:8000/）にログインし、App画面の「管理」をクリックする。


(2) Splunk EnterpriseのApp一覧が表示されていることを確認する。


(3) Splunk EnterpriseのApp一覧から「Splunk App for SOAR Export」をクリックする。


(4) 「設定」タブを選択し、「Create Server」をクリックする。


(5) 「Splunk App for SOAR Export」の画面にコピーしたREST APIのトークン文字列を張り付ける。その後、任意のサーバー名（例：SOAR_main）を入力して、保存をクリックする。

【Authorization Configuration for REST APIの例】
{
  "ph-auth-token": "*********",
  "server": "https://10.1.65.229"
}

(6) サーバーの設定が追加された旨のメッセージが表示されることを確認する。


(7) 作成したサーバー情報が記載されていることを確認する。

Splunk EnterpriseとSplunk SOARの接続テスト

(1) 作成したサーバー列のAction欄の[Manage] > [Test connectivity]をクリックする。


(2) テスト接続された旨のメッセージが表示されることを確認する。


(3) 作成したサーバー列のAction欄の[Manage] > [Sync playbooks]をクリックする。


(4) SOARからプレイブックを取得した旨のメッセージが表示されることを確認する。


(5) 参考までに、プレイブックの内容を確認する際は以下のOS上でコマンドを実行する。

$ cat <SPLUNK_HOME>/etc/apps/phantom/local/phantom.conf

　　※<SPLUNK_HOME>はSplunk Enterpriseのインストールディレクトリでデフォルトは「/opt/splunk」。

Splunk EnterpriseからSplunk SOARへのデータ送信テスト

Splunk SOARへのデータ送信については以下のSplunkの公式サイトの手順を参考にして記載している。

Splunk Docs

help.splunk.com

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスして、「Splunk Common Information Model (CIM)」を検索する。


(2) 「Splunk Common Information Model (CIM)」の画面にて「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（splunk-common-information-model-cim_630.tgz）をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いてSplunk Enterpriseの管理画面（http://[Splunk EnterpriseのIPアドレス]:8000/）にログインし、App画面の「管理」をクリックする。


(6) 「ファイルからAppをインストール」をクリックする。


(7) 「Splunk Common Information Model (CIM)」のファイル（splunk-common-information-model-cim_630.tgz）を選択し、「アップロード」をクリックする。


(8) 正常にインストールされた旨のメッセージが表示されていることを確認し、「閉じる」をクリックする。


(9) 「セットアップ」をクリックする。


(10) 「Splunk Common Information Model (CIM)」の設定画面が表示される。


(11) 必要に応じて設定を変更して「保存」をクリックする。今回は特に設定変更は必要ない。


(12) [App] > [Search & Reporting]をクリックして、以下の検索文字列を検索する。

【検索文字列】
| makeresults | eval src_ip="123.45.66.77" | sendalert sendtophantom param.phantom_server="SOAR_main" param.sensitivity="amber" param.severity="low" param.label="events"


　　※上記の「SOAR_main」は「Splunk App for SOAR Export」で設定したサーバー名のため、必要に応じて変更してください。

(13) ブラウザを用いてSplunk SOARの管理画面（http://[Splunk SOARのIPアドレス]:8443/）にログインし、ダッシュボード画面の「Ad hoc search result」をクリックする。


(14) イベントの日時とイベント名が表示されるため、イベントを名をクリックする。


(15) イベントの詳細が表示されることを確認する。

Splunk関連記事

【Splunk Cloud関連の記事】

【Splunk Enterprise関連の記事】

Splunk関連の書籍

Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。