درباره اسپلانک فانتوم
اسپلانک فانتوم در حقیقت راهکار اسپلانک برای SOAR هست. SOAR، تلاش دارد فعالیتهای داخل مرکز عملیات امنیت را هرچه بیشتر به سمت خودکارسازی[1] ببرد، همکاریها را افزایش داده ، مدیریت رویدادها را
سریعتر انجام دهد و گزارشات را به موقع به دست ذینفعان برساند. هدف از این ادغام این است که دادههای اطلاعات تهدید از طریق Recorded Future درPlayBookهای فانتوم، در دسترس قرار گیرد.
الزامات
این یکپارچهسازی در قالب Splunk Phantom تهیه و به عنوان یک فایل tarball تحویل داده میشود و از طریق فروشگاه Phantom APP در دسترس قرار میگیرد. این ادغام با استفاده از Splunk Phantom V2 تهیه و تست شده و انتظار میرود که با Phantom V1 سازگار باشد. برای استفاده از این برنامه، دسترسی API به Recorded Future نیاز است.
نصب و پیکربندی این ادغام
پس از دریافت برنامه tarball (فایل tgz) و یک API Token از Recorded Future، برنامه به شرح موارد زیر نصب و پیکربندی میگردد:
نصب و پیکربندی به صورت کامل انجام شد. Asset شما باید به صورت شکل زیر باشد:
یک تست اتصال موفق به صورت شکل زیر است:
اسناد نیز به همراه برنامه وجود دارند. برای یافتن این اسناد، به مسیر Administration > Apps بروید و روی Recorde Future App کلیک کنید.
با توجه به محدودیتهای استفاده از اسپلانک در ایران و ارتباط با شرکت Recorde Future، پیشنهاد میشود که از این خبر به عنوان ایده استفاده شده و از اتصال مستقیم اسپلانک به اینترنت جلوگیری شود.
تمامی حقوق این وب سایت متعلق به آکادمی آموزش روزبه می باشد.