Splunk SOARの設定（App／Add-Onインストール）

本記事の概要
Splunkbaseへのログイン
Splunk SOARへAppインストール（VirusTotal v3）
Splunk SOARへAppインストール（WHOIS）
Splunk SOARへAppインストール（Maxmind）
Splunk SOARへAppインストール（Splunk Attack Analyzer Connector for Splunk SOAR）
Splunk SOARへAppインストール（Zscaler）
Splunk関連記事
Splunk関連の書籍

本記事の概要

Splunk SOARを用いてセキュリティインシデントの検知から調査、対応までのワークフローを自動化／調査する際におすすめのApp／Add-Onインストールする手順を記載する。
以下の5個のApp／Add-Onインストールする。

App／Add-Onの名前	概要／用途
VirusTotal v3	Googleが提供するウイルス対策エンジンであるVirusTotalを使用するためのアプリ。不審なファイル、URL、IPアドレスを調査することができる。
WHOIS	ドメイン名やIPアドレスの登録者・所有者情報、管理団体、有効期限などを検索・照会するためのアプリ。
Maxmind	IPアドレスの国や都市などの情報を調査するためのアプリ。
Splunk Attack Analyzer Connector for Splunk SOAR	Splunk Attack Analyzerプラットフォームと統合され、脅威の調査に関連する一般的な反復的手動タスクを実行するアプリ。
Zscaler	Zscaler製品と連携して通信の封じ込めと調査するアプリ。

Splunkbaseへのログイン

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。

(2) ユーザー名とパスワードを入力して、「Log In」をクリックする。

Splunk SOARへAppインストール（VirusTotal v3）

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「VirusTotal v3」を検索し、「VirusTotal v3」をクリックする。

(2) 「Download」をクリックする。

(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（virustotal-v3_205.tgz）をダウンロードされる。

(4) 「OK」をクリックする。

(5) ブラウザを用いて「https://127.0.0.1:8443/」にアクセスして、ログインする。デフォルトでは「ID： soar_local_admin」と「パスワード： password」である。

(6) ドロップダウンリストの「Apps」をクリックする。

(7) 「Install App」をクリックする。

(8) Appファイル（virustotal-v3_205.tgz）をアップロードして、「Install」をクリックする。

(9) 「Unconfigured Apps」タブをクリックして、VirusTotal v3の横にある「Configure New Asset」をクリックする。

(10) 「Asset Name」と「VirusTotal API key」を入力して、「Save」をクリックする。もしVirusTotalのAPIキーを取得していない場合は、「VirusTotalのAPIを使ってみた」を参考にしてAPIキーを取得してください。

(11) 「Test Connectivity」をクリックする。

(12) 「Test Connectivity Passed」というメッセージが表示されていることを確認して、「Close」をクリックする。

(13) 「Configured Apps」タブをクリックして、VirusTotal v3が表示されていることを確認する。

Splunk SOARへAppインストール（WHOIS）

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「WHOIS」を検索し、「WHOIS」をクリックする。

(2) 「Download」をクリックする。

(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（whois_2211.tgz）をダウンロードされる。

(4) 「OK」をクリックする。

(5) ブラウザを用いて「https://127.0.0.1:8443/」にアクセスして、ログインする。デフォルトでは「ID： soar_local_admin」と「パスワード： password」である。

(6) ドロップダウンリストの「Apps」をクリックする。

(7) 「Install App」をクリックする。

(8) Appファイル（whois_2211.tgz）をアップロードして、「Install」をクリックする。

(9) 「Unconfigured Apps」タブをクリックして、WHOISの横にある「Configure New Asset」をクリックする。

(10) 「Asset Name」を入力して、「Save」をクリックする。

(11) 「Test Connectivity」をクリックする。

(12) 「Test Connectivity Passed」というメッセージが表示されていることを確認して、「Close」をクリックする。

(13) 「Configured Apps」タブをクリックして、WHOISが表示されていることを確認する。

Splunk SOARへAppインストール（Maxmind）

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Maxmind」を検索し、「Maxmind」をクリックする。

(2) 「Download」をクリックする。

(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（maxmind_231.tgz）をダウンロードされる。

(4) 「OK」をクリックする。

(5) ブラウザを用いて「https://127.0.0.1:8443/」にアクセスして、ログインする。デフォルトでは「ID： soar_local_admin」と「パスワード： password」である。

(6) ドロップダウンリストの「Apps」をクリックする。

(7) 「Install App」をクリックする。

(8) Appファイル（maxmind_231.tgz）をアップロードして、「Install」をクリックする。

(9) 「Unconfigured Apps」タブをクリックして、Maxmindの横にある「Configure New Asset」をクリックする。

(10) 「Asset Name」を入力する。

(11) 「IP Address for testing connectivity」と「MaxMind License key to download new databases」を入力する。

(12) 「Label to apply to objects from this source」を入力して、「Save」をクリックする。

(13) 「Test Connectivity」をクリックする。

(14) 「Test Connectivity Passed」というメッセージが表示されていることを確認して、「Close」をクリックする。

(15) 「Configured Apps」タブをクリックして、Maxmindが表示されていることを確認する。

Splunk SOARへAppインストール（Splunk Attack Analyzer Connector for Splunk SOAR）

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk Attack Analyzer」を検索し、「Splunk Attack Analyzer Connector for Splunk SOAR」をクリックする。

(2) 「Download」をクリックする。

(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（splunk-attack-analyzer-connector-for-splunk-soar_220.tgz）をダウンロードされる。

(4) 「OK」をクリックする。

(5) ブラウザを用いて「https://127.0.0.1:8443/」にアクセスして、ログインする。デフォルトでは「ID： soar_local_admin」と「パスワード： password」である。

(6) ドロップダウンリストの「Apps」をクリックする。

(7) 「Install App」をクリックする。

(8) Appファイル（splunk-attack-analyzer-connector-for-splunk-soar_220.tgz）をアップロードして、「Install」をクリックする。

(9) 「Unconfigured Apps」タブをクリックして、Splunk Attack Analyzer Connector for Splunk SOARの横にある「Configure New Asset」をクリックする。

(10) 任意の値を入力して、保存する。

Splunk SOARへAppインストール（Zscaler）

(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Zscaler」を検索し、「Zscaler」をクリックする。

(2) 「Download」をクリックする。

(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル（zscaler_301.tgz）をダウンロードされる。

(4) 「OK」をクリックする。

(5) ブラウザを用いて「https://127.0.0.1:8443/」にアクセスして、ログインする。デフォルトでは「ID： soar_local_admin」と「パスワード： password」である。

(6) ドロップダウンリストの「Apps」をクリックする。

(7) 「Install App」をクリックする。

(8) Appファイル（）をアップロードして、「Install」をクリックする。

(9) 「Unconfigured Apps」タブをクリックして、Zscalerの横にある「Configure New Asset」をクリックする。

(10) 任意の値を入力して、保存する。

Splunk関連記事

【Splunk Cloud関連の記事】

タイトル	URL
Splunk Cloudの評価版を使ってみた	https://security-blog-it.com/44290
WindowsログをSplunk Cloudに送信	https://security-blog-it.com/44597
LinuxのログをSplunk Cloudに送信	https://security-blog-it.com/44481
Splunk Cloudのデータ検索（SPL基本構文）	https://security-blog-it.com/44602
Splunk Cloudのアラート通知設定	https://security-blog-it.com/44595
Splunk Cloudのレポート作成	https://security-blog-it.com/44701

【Splunk Enterprise関連の記事】

タイトル	URL
Splunk Enterpriseの評価版を使ってみた	https://security-blog-it.com/45294
WindowsのログをSplunk Enterpriseに送信	https://security-blog-it.com/45947
LinuxのログをSplunk Enterpriseに送信	https://security-blog-it.com/45912
Splunk Enterpriseの設定（セキュリティ監視用App：InfoSec）	https://security-blog-it.com/45750
簡易EDRツール（sysmon）とSplunk Enterpriseを用いたWindowsのセキュリティ監視	https://security-blog-it.com/45990
Splunk SOARの評価版を使ってみた	https://security-blog-it.com/44747
Splunk EnterpriseとSplunk SOARの連携	https://security-blog-it.com/45342
Splunk SOARの設定（App／Add-Onインストール）	https://security-blog-it.com/45611

Splunk関連の書籍

Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。

リンク