ادغام اسپلانک فانتوم

درباره اسپلانک فانتوم

اسپلانک فانتوم در حقیقت راهکار اسپلانک برای SOAR هست. SOAR، تلاش دارد فعالیت­های داخل مرکز عملیات امنیت را هرچه بیشتر به سمت خودکارسازی[1] ببرد، همکاری­ها را افزایش داده ، مدیریت رویدادها را

سریع­تر انجام دهد و گزارشات را به موقع به دست ذی­نفعان برساند. هدف از این ادغام این است که داده­های اطلاعات تهدید از طریق Recorded Future درPlayBookهای فانتوم، در دسترس قرار گیرد.

الزامات

این یکپارچه­سازی در قالب Splunk Phantom تهیه و به عنوان یک فایل tarball تحویل داده می­شود و از طریق فروشگاه Phantom APP در دسترس قرار می­گیرد. این ادغام با استفاده از Splunk Phantom V2 تهیه و تست شده و انتظار می­رود که با Phantom V1 سازگار باشد. برای استفاده از این برنامه، دسترسی API به Recorded Future نیاز است.

نصب و پیکربندی این ادغام

پس از دریافت برنامه tarball (فایل tgz) و یک API Token از Recorded Future، برنامه به شرح موارد زیر نصب و پیکربندی می­گردد:

• برنامه tarball را در یک پوشه با دسترسی محلی (مثل پوشه دانلودها) قرار دهید.
• به عنوان مدیر[1] وارد Phantom Cyber شوید.
• به مسیر Administration > Apps بروید.
• روی دکمه + APP کلیک کنید.
• محل فایل tarball را پیدا کرده و روی دکمه install کلیک کنید.
• به مسیر Administration > Assets بروید.
• روی دکمه + ASSET کلیک کنید.
• Asset جدید را با Recorded Future API و یا یک اسم مشابه نام­گذاری کنید.

• Recorded Future را به عنوان شرکت تولید کننده[1] و به عنوان محصول انتخاب کنید.
• به مسیر Asset Settings tab بروید.
• Recorded Future API Token خود را وارد کنید.
• Asset را ذخیره کنید.
• تست اتصال را اجرا کنید.

نصب و پیکربندی به صورت کامل انجام شد. Asset شما باید به صورت شکل زیر باشد:

یک تست اتصال موفق به صورت شکل زیر است:

اسناد  نیز به همراه برنامه وجود دارند. برای یافتن این اسناد، به مسیر Administration > Apps بروید و روی Recorde Future App کلیک کنید.

• نکته

با توجه به محدودیت­های استفاده از اسپلانک در ایران و ارتباط با شرکت Recorde Future، پیشنهاد می­شود که از این خبر به عنوان ایده استفاده شده و از اتصال مستقیم اسپلانک به اینترنت جلوگیری شود.