重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
このプラグインを使用すると、Security Copilotユーザーは Splunk REST API を呼び出すことができます。 現在、次の機能がサポートされています。
- 通常のアドホック SPL クエリとワンショット SPL クエリの実行。
- Splunk での保存済み検索の作成、取得、ディスパッチ。
- Splunk で保存された検索からのアラートに関する情報の取得と表示。
前提条件
- Splunk のインストールへのアクセス
- Security Copilotのエグレス IP が Splunk インスタンスに接続できることを確認します。 詳細については、「SECURITY COPILOT IP アドレス範囲」を参照してください。 使用している Splunk インスタンスの種類に基づいて、以下の IP を許可する手順に従います。 たとえば、Splunk Cloud の場合は、「Splunk Cloud Platform 管理 Manual」のガイダンスを使用します。
- Splunk の次のいずれかの認証方法:
- Splunk 認証トークン (推奨)
- 基本認証用の Splunk ユーザー名とパスワード
Splunk 認証トークンを設定するためのドキュメントについては、 こちらを参照してください。 さらに、Splunk Cloud を実行している場合は、他にも考慮する必要がある考慮事項があります。 これらの考慮事項については、 こちらを参照してください。
注:
この記事には、Microsoft 以外のプラグインに関する情報が含まれています。 この記事は、統合シナリオの完了に役立ちます。 ただし、Microsoft 以外のプラグインのトラブルシューティング サポートは提供されていません。 サポートについては、ベンダーにお問い合わせください。
はじめに
Security Copilotとの統合は、API キーまたは基本認証で機能します。 プラグインを使用する前に、次の手順を実行する必要があります。
API キー認証
API キー認証は、認証の推奨される方法です。 API キーを使用して認証を設定するには、次の情報が必要です。
- REST API にアクセスするための URL
- API へのアクセスに使用する Splunk ユーザー アカウントの Splunk 認証トークン。 Splunk 認証トークンを設定するためのドキュメントについては、 こちらを参照してください。 さらに、Splunk Cloud を実行している場合は、他にも考慮する必要がある考慮事項があります。 これらの考慮事項については、 こちらを参照してください。
認証を設定するように求められたら、[API キー] オプションを選択します。
"Splunk API インスタンス URL" のフィールドに Splunk API URL を追加します。 [値] フィールドに Splunk 認証トークンを追加します。
[ 保存] を 選択してセットアップを完了します。
基本認証
基本認証を使用して認証を設定するには、次の情報が必要です。
- REST API にアクセスするための URL
- API へのアクセスに使用する Splunk ユーザー アカウントのユーザー名とパスワード。
認証を設定するように求められたら、[API キー] オプションを選択します。
"Splunk API インスタンス URL" のフィールドに Splunk API URL を追加します。 [ユーザー名] フィールドに Splunk ユーザー名を追加します。 [パスワード] フィールドに Splunk パスワードを追加します。
[ 保存] を 選択してセットアップを完了します。
Splunk プロンプトのサンプル
| スキル | プロンプト |
|---|---|
| 検索ジョブを作成する | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| 検索ジョブの結果を取得する | Get the search job results for SID 1740764708.5591 from Splunk |
| ワンショット検索を実行する | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| 保存した検索を作成する | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| 保存された検索を取得する | Get all of the saved searches for the copilot user from Splunk |
| 保存した検索をディスパッチする | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| 発生したアラートを取得する | Get the list of fired alerts from Splunk |
| 発生したアラートの詳細を取得する | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilotは、多くの場合、返される回答からコンテキストを理解し、取得します。 その結果、一連のプロンプトで自然な会話を使用できます。 たとえば、 Dispatch the saved search "Top Mitre Techniques" in Splunkなどのプロンプトを使用すると、検索ジョブ ID が返されます。 Security Copilotは現在のコンテキストでその検索ジョブ ID を持ち、検索ジョブ ID を手動で指定する必要はなく、Get the search job resultsをフォローアップできます。
利用可能なスキル
splunk Plugin for Microsoft Security Copilotでは、次のスキルが公開されています。
- アドホック検索
- 検索ジョブの作成
- 検索ジョブからの結果の取得
- ワンショット検索の実行
- 保存された検索
- 保存された検索の取得
- 保存された検索の作成
- 保存された検索のディスパッチ
- 保存された検索から発生したアラート
- 発生したアラートの取得
- 発生したアラートの詳細の取得
Microsoft Security Copilot用の Splunk プラグインを使用すると、自然な会話のコンテキストで Splunk との対話を呼び出すことができます。 次に例を示します:
- ユーザーはパブリック Web を使用して、最近発表された脆弱性/CVE に関するデータを調査できます。
- その後、ユーザーは"すべてのインデックスにわたって Splunk でこの CVE 番号を検索として保存する" などのフォローアップ プロンプトを使用できます。 Security Copilotは、最新のプロンプトで前のプロンプトからのコンテキストを維持します。
- その後、ユーザーは Splunk 内の保存された検索を変更して、より高度な SPL 手法を組み込んだり、視覚化を作成したりすることができます。
Splunk プラグインのトラブルシューティング
エラーの発生
要求を完了できませんでした、不明なエラーが発生したなどのエラーが発生した場合。 プラグインがオンになっていることを確認します。 このエラーは、ルックバック期間が長すぎる場合に発生し、クエリで大量のデータの取得が試行される可能性があります。 問題が解決しない場合は、Security Copilotからサインアウトしてから、もう一度サインインします。 また、認証メカニズムに Splunk 内で適切なアクセス許可があることを確認します (ベアラー認証と同様に認証する Splunk ユーザーに、API 呼び出しを呼び出すアクセス許可があることを確認してください)。 最後に、Splunk Enterprise に接続する場合は、REST API エンドポイントに使用している SSL で自己署名証明書が使用されていないことを確認します。
プロンプトが正しい機能を呼び出していない
プロンプトが正しい機能を呼び出していない場合、またはプロンプトが他の機能セットを呼び出している場合は、使用する機能セットと同様の機能を持つカスタム プラグインまたは他のプラグインがある可能性があります。
フィードバックの提供
フィードバックを提供するには、 Splunk パートナー エンジニアリング チームにお問い合わせください。