ادغام اسپلانک فانتوم

درباره اسپلانک فانتوم

اسپلانک فانتوم در حقیقت راهکار اسپلانک برای SOAR هست. SOAR، تلاش دارد فعالیتهای داخل مرکز عملیات امنیت را هرچه بیشتر به سمت خودکارسازی[1] ببرد، همکاریها را افزایش داده ، مدیریت رویدادها را

سریعتر انجام دهد و گزارشات را به موقع به دست ذینفعان برساند. هدف از این ادغام این است که دادههای اطلاعات تهدید از طریق Recorded Future درPlayBookهای فانتوم، در دسترس قرار گیرد.

الزامات

این یکپارچهسازی در قالب Splunk Phantom تهیه و به عنوان یک فایل tarball تحویل داده میشود و از طریق فروشگاه Phantom APP در دسترس قرار میگیرد. این ادغام با استفاده از Splunk Phantom V2 تهیه و تست شده و انتظار میرود که با Phantom V1 سازگار باشد. برای استفاده از این برنامه، دسترسی API به Recorded Future نیاز است.

نصب و پیکربندی این ادغام

پس از دریافت برنامه tarball (فایل tgz) و یک API Token از Recorded Future، برنامه به شرح موارد زیر نصب و پیکربندی میگردد:

برنامه tarball را در یک پوشه با دسترسی محلی (مثل پوشه دانلودها) قرار دهید.
به عنوان مدیر[1] وارد Phantom Cyber شوید.
به مسیر Administration > Apps بروید.
روی دکمه + APP کلیک کنید.
محل فایل tarball را پیدا کرده و روی دکمه install کلیک کنید.
به مسیر Administration > Assets بروید.
روی دکمه + ASSET کلیک کنید.
Asset جدید را با Recorded Future API و یا یک اسم مشابه نامگذاری کنید.

Recorded Future را به عنوان شرکت تولید کننده[1] و به عنوان محصول انتخاب کنید.
به مسیر Asset Settings tab بروید.
Recorded Future API Token خود را وارد کنید.
Asset را ذخیره کنید.
تست اتصال را اجرا کنید.

نصب و پیکربندی به صورت کامل انجام شد. Asset شما باید به صورت شکل زیر باشد:

یک تست اتصال موفق به صورت شکل زیر است:

اسناد نیز به همراه برنامه وجود دارند. برای یافتن این اسناد، به مسیر Administration > Apps بروید و روی Recorde Future App کلیک کنید.

نکته

با توجه به محدودیتهای استفاده از اسپلانک در ایران و ارتباط با شرکت Recorde Future، پیشنهاد میشود که از این خبر به عنوان ایده استفاده شده و از اتصال مستقیم اسپلانک به اینترنت جلوگیری شود.