Splunk Enterpriseの設定(セキュリティ監視用App:InfoSec)

※本サイトはアフィリエイト広告を利用しています。
広告

本記事の概要


SplunkのInfoSecはSplunk上で動作する無料のセキュリティ監視・分析用アプリである。
モニタリングやセキュリティ調査などセキュリティ監視の支援ツールとして使用できる。
本記事Splunk Enterprise上にInfoSecを設定するための手順を記載する。


参考までに、本記事は以下のSplunkの公式サイトの手順を参考にして作成している。

Prerequisites to install the InfoSec app for Splunk | Splunk Cloud Platform, Splunk Enterprise (last updated 2025-07-15T17:24:09.962Z)
help.splunk.com


Splunkbaseへのログイン


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。

(2) ユーザー名とパスワードを入力して、「Log In」をクリックする。


Splunk EnterpriseへAppインストール(Splunk Common Information Model)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk Common Information Model」を検索し、「Splunk Common Information Model (CIM)」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-common-information-model-cim_640.tgz)をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Home]をクリックする。


(7) 「管理」をクリックする。


(8) 「ファイルからAppをインストール」をクリックする。


(9) Appファイルをアップロードして、「アップロード」をクリックする。


(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。



Splunk EnterpriseへAppインストール(Punchcard)


(1) ブラウザを用いて「https://classic.splunkbase.splunk.com/app/3129/」にアクセスして、「Download」をクリックする。


(2) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(punchcard-custom-visualization_150.tgz)をダウンロードされる。


(3) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(4) [App] > [Home]をクリックする。


(5) 「管理」をクリックする。


(6) 「ファイルからAppをインストール」をクリックする。


(7) Appファイルをアップロードして、「アップロード」をクリックする。

(8) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


Splunk EnterpriseへAppインストール(Force Directed App For Splunk)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Force Directed App For Splunk」を検索し、「Force Directed App For Splunk」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(force-directed-app-for-splunk_311.tgz)をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Home]をクリックする。


(7) 「管理」をクリックする。


(8) 「ファイルからAppをインストール」をクリックする。


(9) Appファイルをアップロードして、「アップロード」をクリックする。

(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。




Splunk EnterpriseへAppインストール(Splunk App for Lookup File Editing)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk App for Lookup File Editing」を検索し、「Splunk App for Lookup File Editing」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル()をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Home]をクリックする。


(7) 「管理」をクリックする。


(8) 「ファイルからAppをインストール」をクリックする。


(9) Appファイルをアップロードして、「アップロード」をクリックする。


(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


Splunk EnterpriseへAppインストール(Splunk Sankey Diagram)


(1) ブラウザを用いて「https://classic.splunkbase.splunk.com/app/3112/」にアクセスして、「Download」をクリックする。


(2) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-sankey-diagram-custom-visualization_160.tgz)をダウンロードされる。


(3) 「OK」をクリックする。


(4) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(5) [App] > [Home]をクリックする。


(6) 「管理」をクリックする。


(7) 「ファイルからAppをインストール」をクリックする。


(8) Appファイルをアップロードして、「アップロード」をクリックする。

(9) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


Splunk EnterpriseへAppインストール(Splunk Security Essentials)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk Security Essentials」を検索し、「Splunk Security Essentials」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-security-essentials_383.tgz)をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Home]をクリックする。


(7) 「管理」をクリックする。


(8) 「ファイルからAppをインストール」をクリックする。


(9) Appファイルをアップロードして、「アップロード」をクリックする。

(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。



Splunk EnterpriseへAppインストール(Alert Manager Add-on)


(1) ブラウザを用いて「https://splunkbase.splunk.com/app/3365」にアクセスして、「Download」をクリックする。


(2) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-add-on-for-amazon-web-services-aws_810.tgz)をダウンロードされる。


(3) 「OK」をクリックする。


(4) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(5) [App] > [Home]をクリックする。


(6) 「管理」をクリックする。


(7) 「ファイルからAppをインストール」をクリックする。


(8) Appファイルをアップロードして、「アップロード」をクリックする。

(9) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


Splunk EnterpriseへAppインストール(Alert Manager)


(1) ブラウザを用いて「https://splunkbase.splunk.com/app/2665」にアクセスして、「Download」をクリックする。


(2) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(alert-manager_3011.tgz)をダウンロードされる。


(3) 「OK」をクリックする。


(4) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(5) [App] > [Home]をクリックする。


(6) 「管理」をクリックする。


(7) 「ファイルからAppをインストール」をクリックする。


(8) Appファイルをアップロードして、「アップロード」をクリックする。


(9) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


(10) Alert Managerを設定するかどうかメッセージが表示されるため、「閉じる」をクリックする。




Splunk Common Information Modelの設定


(1) Appの管理の画面にて「Splunk Common Information Model」を検索して、「Splunk Common Information Model」の横にある「設定」をクリックする。


(2) 「認証」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(3) 「変更」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(4) 「Endpoint」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(5) 「Instrusion Detection」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(6) 「Malware」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(7) 「Network Sessions」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(8) 「ネットワークトラフィック」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


(9) 「Web」画面にて「高速化」にチェックを付けて、「Indexed allowlist」の値を入力する。その後、「保存」をクリックする。


Splunk EnterpriseへAppインストール(InfoSec App for Splunk)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「InfoSec App for Splunk」を検索し、「InfoSec App for Splunk」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(infosec-app-for-splunk_171.tgz)をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Home]をクリックする。


(7) 「管理」をクリックする。


(8) 「ファイルからAppをインストール」をクリックする。


(9) Appファイルをアップロードして、「アップロード」をクリックする。

(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。



InfoSecの画面確認


(1) [App] > [Home]をクリックする。


(2) Appの検索テキストボックスに「InfoSec」を入力して、表示された「InfoSec」をクリックする。


(3) InfoSecのダッシュボード画面が表示されることを確認する。


【補足】Splunk EnterpriseへAppインストール(Splunk Add-on for Microsoft Windows)


Windows上のイベントログを収集する場合は「WindowsのログをSplunk Enterpriseに送信」を実施してください。

【補足】Splunk EnterpriseへAppインストール(Splunk Add-on for Sysmon)


Microsoftが提供するsysmonを用いてプロセスの起動状況などを監視する場合は「簡易EDRツール(sysmon)とSplunk Enterpriseを用いたWindowsのセキュリティ監視」を実施してください。

【補足】Splunk EnterpriseへAppインストール(Splunk Add-on for Unix and Linux)


Linux上のログを収集する場合は「LinuxのログをSplunk Enterpriseに送信」を実施してください。

Splunk関連記事

【Splunk Cloud関連の記事】

タイトルURL
Splunk Cloudの評価版を使ってみたhttps://security-blog-it.com/44290
WindowsログをSplunk Cloudに送信https://security-blog-it.com/44597
LinuxのログをSplunk Cloudに送信https://security-blog-it.com/44481
Splunk Cloudのデータ検索(SPL基本構文)https://security-blog-it.com/44602
Splunk Cloudのアラート通知設定https://security-blog-it.com/44595
Splunk Cloudのレポート作成https://security-blog-it.com/44701


【Splunk Enterprise関連の記事】

タイトルURL
Splunk Enterpriseの評価版を使ってみたhttps://security-blog-it.com/45294
WindowsのログをSplunk Enterpriseに送信https://security-blog-it.com/45947
LinuxのログをSplunk Enterpriseに送信https://security-blog-it.com/45912
Splunk Enterpriseの設定(セキュリティ監視用App:InfoSec)https://security-blog-it.com/45750
簡易EDRツール(sysmon)とSplunk Enterpriseを用いたWindowsのセキュリティ監視https://security-blog-it.com/45990
Splunk SOARの評価版を使ってみたhttps://security-blog-it.com/44747
Splunk EnterpriseとSplunk SOARの連携https://security-blog-it.com/45342
Splunk SOARの設定(App/Add-Onインストール)https://security-blog-it.com/45611


Splunk関連の書籍

Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。



広告