Splunk への警告のエクスポート

警告を受信するように Splunk クラウドインスタンスを設定する方法

センサーからイベントを受信するために、以下の手順に従って Splunk インスタンスで HTTP Event Collector を設定します。

1. Splunk インスタンスにログインし、「Add Data」をクリックします。

   

2. 「Monitor」をクリックします。

   

3. 「HTTP Event Collector」をクリックします。

4. コネクタの任意の名前を入力し、「Next」をクリックします。

   

5. ソースの種類として「_json」を設定し、「Review」をクリックします。

   

6. 詳細を確認して、「Submit」をクリックします。

   

7. この手順では、イベントコレクタのトークン値が表示されます。トークン値をコピーして /etc/sophos/runtimedetections-rules.yaml に貼り付けます。

   

8. Event Collector の詳細は、「Settings > Data Input」に表示されます。

   

9. 「HTTP Event Collector」をクリックします。

   

10. 新しいトークンを追加したり、既に作成済みのトークンの詳細を表示したりできます。

    

Splunk の一部のバージョンでは、HTTP Event Collector のトークンがデフォルトで有効になっていません。「Status」列に「Disabled」と表示されている場合は、「Global Settings > All Tokens: Enabled」をクリックします。

トークンの「Enable Indexer Acknowledgement」のチェックはオフになっているはずです。これは、トークンの詳細の「Actions > Edit」で確認できます。チェックがオンになっていると、「Data channel is missing」という エラーが発生します。

Sophos Linux Sensor を設定して、Splunk クラウドインスタンスに警告を送信する方法

1. 以下のようにして、/etc/sophos/runtimedetections-rules.yaml を更新し、出力の種類 webhook を追加します。

   次に例を示します。

   alert_output:
   outputs:
       -   type: webhook
       enabled: true
       url: https://<splunk-cloud-instance>:8088/services/collector/event
       template: '{**event**: {{AlertJSON .}}}'
       headers:
           "Authorization": "Splunk <token>"
           "Content-Type": "application/json"
   

   url: Splunk インスタンスの URL の後に :8088/services/collector/event を追加します。

   token: Splunk トークンは、HTTP Event Collector の設定中に取得できます。

2. /etc/sophos/runtimedetections-rules.yaml を更新後、センサーを再起動します。

   sudo systemctl restart sophoslinuxsensor

3. これで、Splunk クラウドインスタンスに警告を送信するようにセンサーが設定されました。

詳細情報

• Splunk ダッシュボードの作成