コンテンツにスキップ

Splunk への警告のエクスポート

警告を受信するように Splunk クラウドインスタンスを設定する方法

センサーからイベントを受信するために、以下の手順に従って Splunk インスタンスで HTTP Event Collector を設定します。

  1. Splunk インスタンスにログインし、「Add Data」をクリックします。

    「データの追加」の選択。

  2. Monitor」をクリックします。

    「Monitor」をクリックします。

  3. HTTP Event Collector」をクリックします。

  4. コネクタの任意の名前を入力し、「Next」をクリックします。

    HTTP Event Collector の名前を入力します。

  5. ソースの種類として「_json」を設定し、「Review」をクリックします。

    ソースの種類として _json を設定します。

  6. 詳細を確認して、「Submit」をクリックします。

    詳細を確認して、「Submit」をクリックします。

  7. この手順では、イベントコレクタのトークン値が表示されます。トークン値をコピーして /etc/sophos/runtimedetections-rules.yaml に貼り付けます。

    トークン値をコピーします。

  8. Event Collector の詳細は、「Settings > Data Input」に表示されます。

    Event Collector の詳細の表示。

  9. HTTP Event Collector」をクリックします。

    「HTTP Event Collector」をクリックします。

  10. 新しいトークンを追加したり、既に作成済みのトークンの詳細を表示したりできます。

    トークンの詳細の表示。

Splunk の一部のバージョンでは、HTTP Event Collector のトークンがデフォルトで有効になっていません。「Status」列に「Disabled」と表示されている場合は、「Global Settings > All Tokens: Enabled」をクリックします。

トークンの「Enable Indexer Acknowledgement」のチェックはオフになっているはずです。これは、トークンの詳細の「Actions > Edit」で確認できます。チェックがオンになっていると、「Data channel is missing」という エラーが発生します

Sophos Linux Sensor を設定して、Splunk クラウドインスタンスに警告を送信する方法

  1. 以下のようにして、/etc/sophos/runtimedetections-rules.yaml を更新し、出力の種類 webhook を追加します。

    次に例を示します。

    alert_output:
    outputs:
        -   type: webhook
        enabled: true
        url: https://<splunk-cloud-instance>:8088/services/collector/event
        template: '{**event**: {{AlertJSON .}}}'
        headers:
            "Authorization": "Splunk <token>"
            "Content-Type": "application/json"
    

    url: Splunk インスタンスの URL の後に :8088/services/collector/event を追加します。

    token: Splunk トークンは、HTTP Event Collector の設定中に取得できます。

  2. /etc/sophos/runtimedetections-rules.yaml を更新後、センサーを再起動します。

    sudo systemctl restart sophoslinuxsensor

  3. これで、Splunk クラウドインスタンスに警告を送信するようにセンサーが設定されました。

詳細情報