Embed Size (px)
Citation preview
SplunkSplunk ®® Enterprise Security Enterprise Security4.7.04.7.0
インストール/アップグレードマニュインストール/アップグレードマニュアルアル
作成:2017 年 4 ⽉ 20 ⽇午前 9 時 40 分
Copyright (c) 2017 Splunk Inc. All Rights Reserved
333
4447
999
101314141518
21212122
Table of Content sTable of Content sはじめにはじめに
Splunk Enterprise Security について
計画計画デプロイの計画データソースの計画
インストールインストールEnterprise Security のインストールInSplunk Enterprise Security に含まれるデプロイアドオンカスタム App とアドオンの Splunk AppSecurity へのインポートSplunk Stream を Splunk Enterprise Security と統合するインデックスの設定とデプロイユーザーとロールの設定Splunk Enterprise Security のデータモデル設定
アップグレードアップグレードSplunk Enterprise Security のアップグレード計画Splunk Enterprise Security のアップグレード
はじめにはじめにSplunk Enterpr ise Secur ity についてSplunk Enterpr ise Secur ity について
Splunk Enterprise Security は Splunk プラットフォームのサーチとレポート機能を応⽤した製品です。セキュリティー担当者は Splunk Enterprise Security を使⽤して組織の全体的なセキュリティー体制を把握できます。Enterprise Security は相関サーチ相関サーチを使⽤してセキュリティーに関連する脅威を可視化し、特定された脅威をトラッキングするための重要なイベント重要なイベントを⽣成します。環境内のデバイス、システム、アプリケーションからのデータの取得、監視、レポートの作成が可能です。
このマニュアルは Splunk ソフトウェアをインストール、設定、管理することができるユーザーを対象にしています。Splunk プラットフォームと Enterprise Security に関するトレーニングが必要な場合は、「EnterpriseSecurity お客様教育コース」を参照してください。
Splunk Enterprise Security の他のマニュアル:
リリースノートSplunk Enterprise Security の利⽤Splunk Enterprise Security の管理使⽤事例REST API リファレンス
3
計画計画デプロイの計画デプロイの計画
Splunk Enterprise Security のデプロイを設定した Splunk platform インストールで⾏います。EnterpriseSecurity をデプロイする前に、システム、ハードウェア要件と、サーチヘッド、インデクサーの設定を確認します。
利⽤可能なデプロイアーキテクチャ利⽤可能なデプロイアーキテクチャ
単⼀インスタンスデプロイまたは、分散サーチデプロイで Splunk Enterprise Security のデプロイが⾏なえます。また、Splunk Cloud での Splunk Enterprise Security も利⽤できます。オンプレミスで SplunkEnterprise Security をデプロイする前に、Splunk platform デプロイのコンポーネントに慣れておいてください。『権限計画マニュアル』の「Splunk platform デプロイのコンポーネント」を参照してください。
単⼀インスタンスのデプロイ単⼀インスタンスのデプロイ
シンプルで⼩さなデプロイに関しては、Splunk Enterprise Security を単⼀の Splunk platform インスタンスにインストールします。単⼀インスタンスは、サーチヘッドとインデクサーの両⽅として機能します。フォワーダーを使いデータを集め、単⼀インスタンスへ送り、パーシング、保存、サーチをします。
単⼀インスタンスのデプロイは研究やテスト環境のために利⽤でき、また、⼩さなシステムで 1、2 ⼈のユーザーが同時サーチを実⾏するときに利⽤できます。
分散サーチのデプロイ分散サーチのデプロイ
分散サーチデプロイは、Splunk Enterprise Security のデプロイや実⾏において推奨されます。
Splunk Enterprise Security を専⽤のサーチヘッドまたは、サーチヘッドクラスタにインストールします。サーチパフォーマンスをインデックスクラスタの利⽤や、複数のノードでのデータサーチによる負荷の分散により、向上させます。複数のインデクサーを利⽤することで、フォワーダーのデータ収集と、データ処理の負荷の両⽅を、インデクサーをまたいで分散処理することができます。フォワーダーを利⽤し、データを収集し、インデクサーに送信します。
分散サーチデプロイで、サーチヘッドクラスタリングを実装するには、すべてのデータをインデクサーに送るようにクラスタヘッドを設定します。『分散サーチ』マニュアルの、「サーチヘッド データのインデクサーレイヤーへの転送」を参照してください。
Splunk Enterprise Security で適切に分散サーチデプロイをスケールするには、『権限計画マニュアル』の「Splunk Enterprise の権限計画のイントロダクション」と「Splunk Enterprise Security でのインデクサーのスケーリング検討」を参照してください。
クラウドのデプロイクラウドのデプロイ
Splunk Enterprise Security は Splunk Cloud でサービスとして使⽤できます。Splunk Cloud デプロイのアーキテクチャーはデータとサーチロードに基づいて多岐にわたります。Splunk Cloud のお客様はクラウドインフラストラクチャーのセットアップ、管理、および維持について Splunk Support にお問い合わせください。SplunkCloud 管理のデプロイについての詳細は、「Splunk Cloud での Splunk Cloud デプロイの種類ユーザーマニュアル」をご覧ください。
Splunk Enterpr ise システム要件Splunk Enterpr ise システム要件
Splunk Enterprise Security は 64 bit の OS がすべてのサーチヘッドとインデクサーに対してインストールされている必要があります。サポートするオペレーティングシステム、ブラウザ、ファイルシステムのリストについては、Splunk Enterprise 『インストレールマニュアル』の「Splunk Enterprise オンプレミスの利⽤に関するシステム要件」を参照してください。
このテーブルを使い、Enterprise Security 4.7.x と Splunk platform バージョンとの互換性を判断してください。
Splunk Enterprise Security バージョンSplunk Enterprise Security バージョン Splunk plat form バージョンSplunk plat form バージョン
4.7.0 6.5.x 以上。
ハードウェア要件ハードウェア要件
Splunk Enterprise Security での最⼩ハードウェアスペックは、使い⽅や必要性に伴い、⾼くなります。これらのスペックは、Splunk Enterprise Scurity の単⼀インスタンスデプロイにおいても同じです。
マシンロールマシンロール 最低 CPU最低 CPU 最低 RAM最低 RAM
サーチヘッド 16 コア 32GB
インデクサー 16 コア 32GB
インデックスの作成処理は I/O リソースを消費します。サーチリクエストに応答しながら、効率のよいデータの読み込みとパーシングを実現するためには、インデクサーに⼗分なディスク I/O が必要です。Splunk Enterprise
4
を実⾏するための最新の IOPS の要件については、『キャパシティプランニング』マニュアルの「リファレンスハードウェア:インデクサー」を参照してください。
⾃⾝の Enterpries Security デプロイのハードウェアスペックを、お使いの環境に合わせて、ハードウェア最低要件よもり⾼くする必要があります。ご利⽤のシステム設定により、Splunk platform リファレンスハードウェアに関するミッドレンジ、ハイパフォーマンススペックを参照してください。『権限計画マニュアル』の「ミッドレンジスペックとハイパフォーマンススペック」を参照してください。
デプロイでのインデクサー CPU コア数が、最低ハードウェアスペックを超えている場合、平⾏化処理設定を実装し、特定のユースケースにおいて、インデクサーのパフォーマンス向上ができます。『キャパシティプランニング』マニュアルの「並列化設定」を参照してください。
Splunk Enterpr ise Secur i ty サーチヘッドの検討事項Splunk Enterpr ise Secur i ty サーチヘッドの検討事項
Splunk Enterprise Security を専⽤のサーチヘッドまたは、専⽤のサーチヘッドクラスタにインストールします。共通情報モデル (CIM) 互換の App やアドオンを、Splunk Enterprise として同じサーチヘッドにインストールできます。例えば、PCI コンプライアンス向け Splunk App (Splunk Enterprise Security 向け)または、Facebook ThreatExchange 向けのSplunk アドオンの両⽅が同じサーチヘッドへ Splunk Enterprise としてインストールできます。
Splunk Enterprise Security のすべてのリアルタイムサーチリアルタイムサーチはインデックス化したリアルタイムセッティングを使い、インデックス化のパフォーマンスを向上します。『サーチ』マニュアルの「リアルタイムサーチとレポートについて」を参照してください。インデックス化したリアルタイムサーチセッテイングを無効にすることで、全体としてキャパシティーが減ります。リアルタイムサーチのタイプに関するパフォーマンスへの影響について⾒直しを⾏うには、『サーチ』マニュアルの「リアルタイムサーチの既知の制限事項」を参照してください。
Splunk Enterprise Security には KV ストアが必要です。システム要件など、KV ストアに関する詳細については、『管理』マニュアルの「App キー バリュー ストアについて」を参照してください。Splunk EnterpriseSecurity は、ルックアップファイルを KV ストア に保存します。サーチヘッドクラスタ環境では、クラスタメンバーで同期する⼤きな KV ストアルックアップは失敗し、古くなってしまうことがあります。これを移⾏するには、操作ログサイズを⼤きくします。Splunk Enterprise 『管理マニュアル』の「オペレーションログサイズの上昇による古いストアメンバーの防⽌」を参照してください。
Splunk Enterprise Security はサーチヘッドプーリングに対応していません。
Splunk Enterpr ise Secur i ty とサーチヘッドクラスタリングSplunk Enterpr ise Secur i ty とサーチヘッドクラスタリング
Splunk Enterprise Security は、Linux ベースのサーチヘッドクラスタのみにインストールできます。今のところ、Splunk Enterprise Security は Windows サーチヘッドクラスタに対応していません。
サーチヘッドクラスタは、インデクサーでのサーチ負荷を増やします。サーチヘッドクラスタを実装する場合、インデクサーを追加するか、インデクサーへの CPU コアの割当をします。Enterprise Security 『分散サーチ』マニュアルの「サーチヘッドクラスタのシステム要件やデプロイ検討」と『分散サーチ』マニュアルの「サーチヘッドクラスタリングアーキテクチャ」を参照してください。
Splunk Enterprise Security に対するサーチヘッドスケーリングの検討Splunk Enterprise Security に対するサーチヘッドスケーリングの検討
ファクターファクター このスペックを向上させるこのスペックを向上させる
⼤量の同時サーチ CPU コアを増やすRAM を増やす
多くのリアルタイムサーチが実⾏中 多くのユーザーの同時ログイン CPU コアを増やす
⼤量の同時サーチ RAM を増やす
⼤きなアセットと ID ルックアップファイル RAM を増やす
Splunk Enterpr ise Secur i ty に対するインデクサースケーリングの検討Splunk Enterpr ise Secur i ty に対するインデクサースケーリングの検討
デプロイのインデクサー数を増やすことで、サーチ負荷と同時サーチの増加うスケーリングをします。インデクサーのコレクションは複数のサーチヘッドに対応するため、追加したサーチヘッドがEnterprise Security をホストするサーチヘッドと同じインデクサーを利⽤すると、インデクサー層の全体的なパフォーマンスに影響を与え、Enterprise Security の利⽤可能なリソースを低下させます。
Splunk プラットフォームでは、インデクサーを使⽤して⽔平的なスケーリングが⾏われます。EnterpriseSecurity のデプロイで必要なインデクサーの数は、データの容量や種類、要求される保持期間、サーチの種類、同時サーチによって異なります。
⼀⽇当たり 1 テラバイト (1TB) 以上のデータを Enterprise Security に取り込む計画である場合は、SplunkProfessional Services と共にデプロイアーキテクチャーを検討します。
パフォーマンステストの結果パフォーマンステストの結果
パフォーマンステストの結果を確認し、Splunk platform と Enterprise Security デプロイ のデータの混合に基いて正確にパフォーマンスを⾒積もってください。
Enterprise Security のサイズを決定する 2 つの最も⼤きな要因は相関サーチ負荷と、加速されているデータタイプやデータ量に基づくデータモデル⾼速化の負荷です。データミクサーに応じて、スケーリング量はインデクサー
5
あたり 40GB から 100GB にわたります。
これらのパフォーマンステストで利⽤したインデクサーは、リファレンスハードウェアの RAM 32 GB で16 コアのもに匹敵します。
データモデル混合データでのよくあるシナリオに基づくと、このテストでは、各インデクサーがデータモデル⾼速化や UI 反応には低い遅延で、1 ⽇ 100 GB のデータ取り込み速度を維持します。
データモデルデータテストの混合データモデルデータテストの混合
データタイプ
異なる⽐率のデータソースが読み込まれ、4つのデータモデルで⾼速化されます。
Web: 全データの 65%ネットワークトラフィック:全データの 25%変更分析:全データの 1%認証:全データの 1% で、残りのパーセントがいかなるデータモデルにも適⽤できない場合。
サーチ負荷 60 の相関サーチが有効です。ユーザー負荷は他に追加されていません。
スケーリング結果:データ量 100 300 500 800 1000
スケーリング結果:インデクサー数 1 3 5 8 10
Splunk Enterprise Security 内のデータがデータモデルのみである場合のシナリオに基づくと、このテストにおいては、各インデクサーがデータモデル⾼速化や UI 反応には低い遅延で、1 ⽇ 40 GB のデータ取り込み速度を維持します。
テストシナリオ:1 データモデルの最⼤使⽤率。テストシナリオ:1 データモデルの最⼤使⽤率。
データタイプ データをネットワーク トラフィック データ モデルのみに取り⼊れて加速します
サーチ負荷 60 の相関サーチが有効です。ユーザー負荷は他に追加されていません。
スケーリング結果:データ量 40 120 200 320 400
スケーリング結果:インデクサー数 1 3 5 8 10
インデクサークラスタリングサポートインデクサークラスタリングサポート
Splunk Enterprise Security は、シングルサイトクラスタ、マルチサイトインデクサークラスタのどちらのクラスタアーキテクチャーにも対応しています。『インデクサーとクラスタの管理』の「インデクサー クラスタ アーキテクチャーの基礎」と「マルチサイトクラスタ アーキテクチャー」を参照してください。
シングルサイトまたはマルチサイトのインデクサー クラスタ アーキテクチャーには、Enterprise Security のインスタンスを実⾏している 1 つのサーチヘッドまたはサーチヘッドクラスタを使⽤できます。追加の単⼀インスタンスのサーチヘッドでは Enterprise Security を実⾏できません。
マルチサイトインデクサークラスタアーキテクチャについては、次を推奨します:
サマリーレプリケーションを有効化します。『インデクサーとインデクサークラスタの管理』の「複製されたサマリー」を参照してください。Splunk Enterprise サーチヘッドを site0 に設定し、サーチアフィニティを無効にします。『インデクサーとインデクサーのクラスタの管理』 の「サーチアフィニティを無効にする」を参照してください。
インデックサークラスタリングを利⽤する場合は、App や設定ファイルをインデクサーピアにインストールする⽅法は異なります。『インデクサーとクラスタの管理』の「すべてのクラスタピアの共通設定の管理」と「すべてのクラスタピアの App デプロイの管理」を参照してください。
データモデル⾼速化データモデル⾼速化
Splunk Enterprise Security ではダッシュボード、パネル、相関サーチ結果を提供するためにデータモデルが⾼速化されます。データモデル⾼速化は、処理や保存のためのインデクサーを利⽤し、各インデックスの⾼速化されたデータを保存します。
特定のデータモデルのデータモデル⾼速化を特定のインデクサーに制限することで、データモデル⾼速化のパフォーマンスを向上します。データモデルの特定のインデクサーへの制約については「Splunk CommonInformation Model アドオンのセットアップ」をご覧ください。
「データモデル⾼速化ストレージと、テータモデル⾼速化の追加ストレージの保持」を参照してください。
インデックス TSIDX 簡易化互換性インデックス TSIDX 簡易化互換性
インデックスの TSIDX ファイルの保持ポリシーが Splunk Enterprise 6.4.x. で利⽤可能です。詳細は、『インデ
6
クサーとクラスタの管理』マニュアルの「Splunk Enterprise での tsidx ディスク使⽤率の削減」を参照してください。TSIDX ファイルの保持ポリシーの設定はデータモデル⾼速化の保持に影響しません。
Enterprise Security に提供されている複数のサーチは簡易化された TSIDX ファイルのあるバケツでは動作しません。
パネル/サーチ名パネル/サーチ名 デフォルトデフォルト時間範囲時間範囲 対処法対処法
フォワーダーの監査パネル:ホスト別イベントカウント推移 -30d TSIDX 保持を時間範囲より⼤きい値に設定
します。
保存済みサーチ:監査 - 上位 10 ホスト別イベントカウント推移 -30d TSIDX 保持を時間範囲より⼤きい値に設定
します。
保存済みサーチ:監査 - 1 ⽇あたりのイベント -ルックアップ Gen -1d TSIDX 保持をデフォルトの時間範囲より⼤
きい値に設定します。
保存済みサーチ:エンドポイント - インデックス時間デルタ 2 - 要約 Gen -1d TSIDX 保持をデフォルトの時間範囲より⼤
きい値に設定します。
Splunk Enterpr ise Secur i ty でデプロイサーバーの利⽤Splunk Enterpr ise Secur i ty でデプロイサーバーの利⽤
Splunk Enterprise Security は App やアドオンをインクルードします。デプロイサーバーが、App や アドオンを管理する場合、Enterprise Security はインストールを終了しません。
Splunk Enterprise Security に含まれるアドオンは、分散設定管理ツールでデプロイします。このマニュアルの 「Splunk Enterprise Security に含まれるデプロイアドオン」を参照してください。利⽤環境にインストールしてあるそのほかの Appやアドオンは、適切であれば、デプロイサーバーへとデプロイします。詳細は、『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイサーバーとフォワーダー管理について」を参照してください。
Splunk Enterprise Security パッケージに含まれるアドオンがデプロイサーバーで管理される場合は、デプロイクライアント設定を Enterprise Security のインストールする前に削除します。
1. デプロイサーバーへの参照を含んでいる deploymentclient.conf ファイルを削除します。2. Splunk サービスを再起動します。
仮想ハードウェア仮想ハードウェア
Splunk Enterprise Security を仮想環境にインストールするには、仮想化されていないベアメタル環境と同じメモリと CPU 割り当てが必要になります。
CPU とメモリリソースを確保します。ハードウェアを過剰に参照しません。Splunk プラットフォームのすべてのインデクサーノードで同時にストレージの IOPS をテストして、利⽤環境でのリファレンスハードウェアスペックに IOPS が適応しているのを確認してください。『キャパシティプランニング』マニュアルの「リファレンスハードウェア」を参照してください。
ストレージのパフォーマンスが⼗分でないと、仮想環境での Splunk プラットフォームのスケーリングの際に、サーチの応答が遅くなったり、タイムアウトが発⽣したりします。
VMware 設定の詳細については、Splunk Resources で提供されている技術概要書「仮想環境内での SplunkEnterprise のデプロイ:Splunk 実⾏のための VMware仮想マシンの設定」を参照してください。
モニターコンソールモニターコンソール
Enterprise Security サーチヘッドでモニタリングコンソールを有効化する場合、スタンドアロンモードのままになります。分散環境でモニタリングコンソールを使⽤するための設定⽅法についての詳細は、『SplunkEnterprise のモニタリング』の「コンソールを利⽤するインスタンス」を参照してください。
Enterpr ise Secur i ty と他の App との互換性Enterpr ise Secur i ty と他の App との互換性
Enterprise Security ではサーチナレッジと共通情報モデル (CIM) に準拠するアドオンに対応します。アドオンはCIM で使⽤するセキュリティーデータの最適化、正規化、分類に必要なイベント処理を定義します。CIM に準拠する App のみに Splunk Enterprise Security との互換性があります。そのほかの App やアドオンで CIM 準拠でないものは、CIM 向けに正規化されていないデータナレッジをインクルードすることがあり、これらのフィールドに依存するサーチやダッシュボードの正常な動作を妨げる場合があります。
データソースの計画データソースの計画
データソースの分量、タイプ、数は、全体的な Splunk プラットフォームのアーキテクチャー、フォワーダーの数と配置、予測される負荷、ネットワークリソースに影響を及ぼします。
Splunk Enterprise Security では、すべてのデータソースが Splunk Common Information Model (CIM) に適合していなければなりません。Enterprise Security は、ダッシュボードのパネルやビューに追加されるデータのサーチや相関サーチのためのデータの提供時に、CIM の標準に沿ったデータモデルを活⽤するよう設計されています。
データソースへのアドオンのマッピングデータソースへのアドオンのマッピング
7
Splunk Enterprise Security に含まれるアドオンでは、既知のデータソースや CIM への適合のためのその他の技術のパーシングと分類が実⾏できます。
それぞれのデータソースでは下記が実⾏されます。
1. アドオンの識別:技術を識別して対応するアドオンを特定します。技術別アドオンに関しては「EnterpriseSecurity で提供されるアドオン」と Splunkbaseで提供されている CIM 互換内容をご確認ください。使⽤したいアドオンに CIM との互換性がない場合は、CIM データスキームに対応するように修正します。例として、『Common Information Model アドオン』マニュアルの「CIMを使ったサーチ時のデータ正規化」を参照してください。
2. アドオンのインストール:Enterprise Security のサーチヘッドにアドオンをインストールします。それぞれのインデクサーでインデックス時に処理を⾏うアドオンもインストールします。フォーワーダーのアーキテクチャーにパージングまたはヘビーフォワーダー経由のデータ送信が含まれている場合、ヘビーフォワーダーにアドオンが必要な場合があります。Splunk Cloud のお客様がアドオンをサーチヘッドやインデクサーにインストールする際は Splunk サポートにお問い合わせください。⾃社運⽤のフォワーダーはお客様の責任です。
3. サーバー、デバイス、技術を必要に応じて設定します。ここではデバイスやアプリケーションのロギングやデータコレクションを有効にしたり、Splunk のインスタンスによるコレクションの出⼒を設定します。実装ステップはベンダーのドキュメントを参照してください。
4. 必要に応じたアドオンのカスタマイズ:データの場所やソースの設定、データの場所(ファイルまたはデータベース)の選択、その他の独⾃の設定など、アドオンにはカスタマイズが必要になる場合があります。
5. Splunk のデータ⼊⼒のセットアップとソースタイプの設定の確認:アドオンの README ファイルにはデータ関連のソースタイプの設定についての情報が記載されています。また、⼊⼒のカスタム設定に関する説明が記載されていることもあります。
データ⼊⼒についてデータ⼊⼒について
Splunk プラットフォームのインスタンスはデータ取り込みのための複数の⼊⼒設定タイプを提供しています。収集される技術やソースによって、パフォーマンスの影響、データアクセスの容易さ、安定性に基づくインフラストラクチャー要件にマッチする⼊⼒⽅法を選択することで、ソースの待機時間と保守を最⼩限にできます。
ファイルの監視ファイルの監視: ファイルを使⽤するそれぞれのシステムに Splunk フォワーダーをデプロイし、⼊⼒設定を使⽤するフォワーダーでソースタイプを設定します。同⼀のファイルをもつシステムが多数ある場合は、Splunk Enterprise デプロイサーバーを使⽤して複数のフォワーダーのグループ間で標準化されるファイルの⼊⼒をセットアップします。
ネットワークポートの監視ネットワークポートの監視: syslog サーバーなどの標準的なツールを使⽤する、またはフォワーダーにリスナーポートを作成します。複数のネットワークソースを 1 つのポートやファイルに送信すると、ソースタイプの設定が複雑になります。さらなる情報は、Splunk platform のドキュメントを参照してください。
Splunk Enterpise については、Splunk Enterprise 『データの取り込み』マニュアルの「TCPおよび UDP ポートからのデータの取り込み」を参照してください。Splunk Cloud については、Splunk Cloud 『データの取り込み』マニュアルの「TCP およびUDP ポートからのデータの取り込み」を参照してください。
Windows データの監視Windows データの監視: フォワーダーではさまざまな設定オプションを使って、Windows ホストから情報を取得できます。さらなる情報は、Splunk platform のドキュメントを参照してください。
Splunk Enterprise については、Splunk Enterprise 『データの取り込み』マニュアルの「Splunk Enterprise への Windows データの取り込み」を参照してください。Splunk Cloud については、Splunk Cloud 『データの取り込み』マニュアルの「SplunkEnterprise への Windows データの取り込み」を参照してください。
ネットワークのワイヤデータネットワークのワイヤデータの監視: Splunk Stream は、リアルタイムのワイヤデータのキャプチャーに対応しています。Splunk Stream 『インストールと設定』マニュアルの「Splunk Streamについて」を参照してください。
スクリプト⼊⼒スクリプト⼊⼒: スクリプト⼊⼒を使って、API や他のリモート データ インターフェイスやメッセージキューからデータを取得します。シェルスクルプト、Python スクリプト、Windows バッチファイル、PowerShell、またはインデックス化するデータのフォーマットとストリームが可能なその他のユーティリティーを呼び出すためのフォワーダーを設定します。すべてのスクリプトでプールされるデータをファイルに書き込むことで、フォワーダーによる直接監視を可能にすることもできます。さらなる情報は、Splunkplatform のドキュメントを参照してください。
Splunk Enterprise については、Splunk Enterpries 『データの取り込み』マニュアルの「スクリプト⼊⼒による API や他のリモート データ インターフェイスからのデータの取得」を参照してください。Splunk Cloud については、Splunk Cloud 『データの取り込み』マニュアルの「スクリプト⼊⼒による API や他のリモート データ インターフェイスからのデータの取得」を参照してください。
アセットと ID 情報の収集アセットと ID 情報の収集
Splunk Enterprise Security はアセットと ID データを Splunk プラットフォームのイベントと⽐較し、分析のためデータの改良とコンテキストの追加を⾏います。アセットと ID 情報を集めて Splunk Enterprise Security に追加しデータ強化のメリットを利⽤します。『Splunk Enterprise Security の管理』の「アセットと ID データをSplunk Enterprise Security に追加」をご覧ください。
8
インストールインストールEnterpr ise Secur ity のインストールEnterpr ise Secur ity のインストール
Splunk Enterprise Security をオンプレミスのサーチヘッドにインストールします。Splunk Cloud のお客様はEnterprise Security サーチヘッドのへのアクセスをコーディネートする際は Splunk サポートにお問い合わせください。
インストール前提条件インストール前提条件
Splunk Enterprise Security の Splunk platform 要件を確認してください。「デプロイ計画」を参照してください。デプロイサーバーが Splunk Enterprise Security に含まれる App やアドオンを管理する場合、デプロイサーバーを参照する deploymentclient.confのファイルを削除し、Splunk サービスを再起動します。これを実⾏しない場合、インストールは完了しません。
⼿順1Splunk Enterpr ise Secur i ty のダウンロード⼿順1Splunk Enterpr ise Secur i ty のダウンロード
1. Splunk.com のユーザー名とパスワードを使って Splunk.com にログインします。2. 最新の Splunk Enterprise Security をダウンロードします。製品のダウンロードには、Enterprise
Security ライセンスが必要です。3. [ダウンロード][ダウンロード] を選択し、Splunk Enterprise Security プロダクトファイルをデスクトップに保存しま
す。4. 管理者としてサーチヘッドにログインします。
⼿順2Splunk Enterpr ise Secur i ty のインストール⼿順2Splunk Enterpr ise Secur i ty のインストール
1. Splunk Enterprise のサーチページで、[App] > [App の管理][App] > [App の管理] と進み、[ファイルから App をインス[ファイルから App をインストール]トール] をクリックします。
2. [ファイルの選択][ファイルの選択] を選び、Splunk Enterprise Security プロダクトファイルを選択します。3. [アップロード][アップロード] をクリックして、インストールを開始します。4. [いますぐ設定する][いますぐ設定する] をクリックして、Splunk Enterprise Security のセットアップを開始します。
⼿順3Splunk Enterpr ise Secur i ty のセットアップ⼿順3Splunk Enterpr ise Secur i ty のセットアップ
1. [開始][開始]をクリックします。2. Splunk Enterprise Security のインストール後の設定Splunk Enterprise Security のインストール後の設定 ページでは、インストール段階でのステータス
が表⽰されます。3. 選択したアドオンをインストールから除外したり、インストールしてから無効にしたりできます。セット
アップが完了すると、Splunk プラットフォームのサービスの再起動を要求するページが表⽰されます。4. [Splunk を再起動][Splunk を再起動] を選択してインストールを終了します。
注意:注意:Enterprise Security のインストール でサーチヘッドの SSL を可能にします。ES のインストール後にhttps を使⽤してサーチヘッドにアクセスするには、Splunk Web URLを変更する必要があります。
⼿順4Enterpr ise Secur i ty の設定⼿順4Enterpr ise Secur i ty の設定
以下に従って、Splunk Enterprise Security の設定を続けます。
1. InSplunk Enterprise Security に含まれるデプロイアドオン2. インデックスの設定とデプロイ3. ユーザーとロールの設定4. データモデルの設定
Enterprise Security 向けのデータソースとコレクションの検討事項の概要については、「データソースの計画」を参照してください。
コマンドラインからの Splunk Enterpr ise Secur i ty のインストールコマンドラインからの Splunk Enterpr ise Secur i ty のインストール
Splunk ソフトウェアのコマンドラインを使って Splunk Enterprise Security をインストールします。Splunk ソフトウエアのコマンドラインについては「CLI について」をご覧ください。
1. ステップ 1:Splunk Enterprise Security のダウンロード に従って Splunk Enterprise Security をダウンロードしサーチヘッドに配置します。
2. インストールプロセスをサーチヘッドで開始します。ステップ 2:Splunk Enterprise Security のインストール または REST コールを実⾏してサーバーのコマンドラインからインストールを開始します。例: curl -k -u admin:password https://localhost:8089/services/apps/local -d filename="true" -dname="<filename and directory>" -d update="true" -v
3. サーチヘッドで Splunk ソフトウェアのコマンドラインを使って、次のコマンドを実⾏します。 splunk search '| essinstall' -auth admin:password
インストール完了後、インストールのログインを確認します:$SPLUNK_HOME/var/log/splunk/essinstaller2.log。
サーチヘッドクラスタへのインストールサーチヘッドクラスタへのインストール
Splunk Enterprise Security には、サーチヘッドクラスタリングを実装するための特定の必要要件とプロセスがあります。
9
サーチヘッドクラスタリングの概要については、『分散サーチ』マニュアルの「サーチヘッドクラスタリングアーキテクチャ」を参照してください。すべてのサーチヘッドクラスタリング要件の⼀覧は『分散サーチ』マニュアルの「サーチヘッドクラスタのシステム要件とその他のデプロイ上の検討事項」を参照してください。
ステージングインスタンスを使い、デプロイヤーのための Splunk Enterprise Security を準備します。スタージングインスタンスが利⽤できない場合、App がインストールされていない、テストまたは、QA の SplunkEnterprise インスタンスを使うことができます。ステージングインスタンスは、実際に使⽤するインデクサーやサーチピアと接続されません。ステージングインスタンスを使い、設定の変更や、アップグレードを⾏います。
サーチヘッドクラスタに Enterprise Security をインストール:
1. ステージングインスタンスを準備します。2. ステージングインスタンスに Enterprise Security をインストールします。3. Enterprise Security インストール をデプロイヤーに移⾏します。Splunk Enterprise Security Suite関連
付けられた App, SA, DA, TA をステージングインスタンスにある $SPLUNK_HOME/etc/apps から デプロイヤーの $SPLUNK_HOME/etc/shcluster/apps にコピーします。ここでは、サーチApp などのデフォルト App はインクルードしたくないため、フォルダー全体をコピーしないでください。
4. デプロイヤーを使い、Enterprise Security をクラスタメンバーへとデプロイします。
サーチヘッドクラスタの設定変更の管理サーチヘッドクラスタの設定変更の管理
いくつかのシステム設定の変更は、デプロイヤーを利⽤してデプロイしなければなりません。
1. サーチヘッドクラスタメンバーで変更をする代わりに、ステージングインスタンスで変更します。2. スタージングインスタンスでの設定の変更をテストします。3. 必要なファイルをサーチヘッドクラスタデプロイへと移⾏します。4. 更新した設定をサーチヘッドクラスタへとデプロイします。
デプロイヤーを利⽤してデプロイしなければならない設定の変更
設定変更設定変更 変更したファイ変更したファイルル
全般設定ページのインデックス化したリアルタイムサーチの有効、または無効化をします。
inputs.conf
全般設定ページで、インデックス化したリアルタイムディスク同期遅延を変更します。 inputs.conf
重要なイベントを UBA 設定ページの Splunk UBA に送信します。 outputs.conf
サーチヘッドクラスタで⾏ったほとんどの設定変更は、⾃動的に他のサーチヘッドクラスタメンバーへと複製します。例:
脅威インテリジェントソースの追加、変更、無効化をします。アセット、ID ソースリストの追加、変更、無効化をします。UI の変更サーチの変更
『分散サーチ』マニュアルの「サーチヘッドクラスタへの設定変更の伝播の仕⽅」を参照してください。
既存のデプロイの移⾏既存のデプロイの移⾏
Splunk Enterprise Security サーチヘッドまたはサーチヘッドプールメンバーを直接サーチヘッドクラスタに追加することはできません。サーチヘッドまたはサーチヘッドプールメンバーをサーチヘッドクラスタへと以降するには、新しいサーチヘッドを作成して、最新バージョンの Enterprise Security をそこにデプロイします。
サーチヘッドクラスタが Enterprise Security を実⾏された後、⼿動で、カスタム設定を前の EnterpriseSecurity から新しいサーチヘッドクラスタのデプロイへと移⾏させ、クラスタメンバーへと変更を複製する必要があります。
詳細は『分散サーチ』マニュアルの「スタンドアロンのサーチヘッドからサーチヘッドクラスタへの移⾏」を参照してください。
Splunk Enterprise Security のデプロイ移⾏計画のサポートについては、Splunk プロフェッショナルサービスまでお問い合わせください。
InSplunk Enterpr ise Secur ity に含まれるデプロイアドオンInSplunk Enterpr ise Secur ity に含まれるデプロイアドオン
Splunk Enterprise Security パッケージは アドオンのセットを含みます。
「SA」や「DA」を名前に持つアドオンは、Splunk Enterprise Security フレームワークを構成します。デプロイへのさらなるアクションや、アドオンの設定をする必要はありません。それらのインストールとセットアップは、Splunk Enterprise Security のインストール時に⾏われます。Splunk Enterprise Secuity フレームワークを構成するどのアドオンも無効にしないでください。残りのアドオンは、「TA」の名前がつくものや、テクノロジー固有のもので、 ソースデータを EnterpriseSecurity に組み込むために必要な CIM 準拠ナレッジを提供します。
異なるタイプのアドオンが Splunk Enterprise Security がどのように関わるかについては、Splunk ディベロッパーポータル の 「ES ソリューションアーキテクチャについて」を参照してください。
10
テクノロジーアドオンをどのようにデプロイするかは、お使いの Splunk platform のデプロイのアーキテクチャに依存します。
前提条件前提条件
Splunk Enterprise Security をサーチヘッドまたは、サーチヘッドクラスタにインストールします。EnterpriseSecurity のインストールを参照してください。Splunk Enterprise Security を分散環境にインストールする場合は、インストーラーは、サーチヘッドとサーチヘッドクラスタでの Enterprise Security パッケージに含まれるアドオンのインストールと有効化を⾏います。
⼿順⼿順
1. フォワーダーにインストールするアドオンを決定する2. フォワーダーへのアドオンをデプロイ3. インデクサーへのデプロイアドオン
フォワーダーにインストールするアドオンを決定するフォワーダーにインストールするアドオンを決定する
フォワーダーにデータを収集するアドオンをインストールする。各アドオンについて、どれをフォワーダーにインストールするか、また、各アドオンの必要とするフォワーダー設定のタイプを決定します。アドオンのドキュメントを参照して⾏います。
⼤部分のアドオンには、データソース専⽤の⼊⼒設定が含まれています。アドオンに含まれる inputs.conf を確認し、必要に応じてアドオンをフォワーダーにデプロイします。いくつかのアドオンでは、データソースシステムに直接インストールされたフォワーダーにデプロイされる必要があります。他のアドオンはヘビーフォワーダーを必要とします。各アドオンのインストラクションについては、ドキュメントまたは、README ファイルを参照してください。
ウェブベースドキュメントのアドオンについては、インストール場所や設定を決めるために、次のリンクに従ってください。Web ベースのドキュメントが付属していないアドオンのについては、アドオンのフォルダのルートにあるREADME ファイルを参照してください。
フォワーダーへのアドオンをデプロイフォワーダーへのアドオンをデプロイ
Splunk アドオンドキュメントの「アドオンを分散 Splunk Enterprise デプロイにインストール」を参照してください。
Enterprise Security のテクノロジー固有のアドオンEnterprise Security のテクノロジー固有のアドオン
Splunk Enterprise Security には、次のセキュリティー関連、CIM 準拠テクノロジーのアドオンがあります。
Splunk Add-on for Blue Coat ProxySGSplunk Add-on for Bro IDSSplunk Add-on for McAfeeSplunk Add-on for JuniperSplunk Add-on for Microsoft WindowsSplunk Add-on for TenableSplunk Add-on for NetFlowSplunk Add-on for Oracle DatabaseSplunk Add-on for OSSECSplunk Add-on for RSA SecurIDSplunk Add-on for SophosSplunk Add-on for FireSIGHTSplunk Add-on for Symantec Endpoint ProtectionSplunk Add-on for UBASplunk Add-on for Unix and LinuxSplunk Add-on for Websense Content GatewayTA-airdefenseTA-alcatelTA-cefTA-fortinetTA-ftpTA-nmapTA-tippingpointTA-trendmicro
インデクサーへのデプロイアドオンインデクサーへのデプロイアドオン
Splunk は Splunk のサポートするアドオンを全体の Splunk platform デプロイを通してインストールし、その後、必要なインプットのみを有効化し、設定することを推奨します。詳細情報は、Splunk アドオンドキュメントの「Splunk アドオンのインストール場所」を参照してください。
アドオンをインデクサーへデプロイする⼿順は、お使いのSplunk platform デプロイによります。お使いの環境や、好みに合わせて、オプションを選択します。
デプロイ状態デプロイ状態 ⼿順⼿順
Splunk Cloud で Splunk Enterprise Security が実⾏中です。Splunk サポートに、インデクサーに必要なアドオンをインストールするように問い合わせてください。
11
アドオンを⼿動でインデクサーへとデプロイしたいです。「アドオンを分散 Splunk Enterpriseデプロイにインストール」を参照してください。
インデクサーがクラスタリングされ、クラスタマスターを使いアドオンをオンプレミスの Splunk platform インストレーションのクラスタピアにデプロイします。これ以上の複雑なデプロイはありません。
Splunk_TA_ForIndexers を作成し、⼿動でデプロイを管理します。
インデクサーはクラスタリングされず、デプロイサーバーを使い、オンプレミスの Splunk platform インストレーションのインデクサー設定を管理します。これ以上の複雑なデプロイはありません。
Splunk_TA_ForIndexers の⾃動デプロイを作成し設定します。
Splunk Enterprise Security は複雑なデプロイで実⾏されていて、1つのEnterprise Security サーチヘッド と他のサーチに対するサーチヘッドを 1 つなど、どちらも同じインデクサーのセットを利⽤します。
アドオンのインデクサーへデプロイするアシスタンスは、SplunkProfessional Services にお問い合わせください。
Splunk_TA_ForIndexers を作成し、⼿動でデプロイを管理します。Splunk_TA_ForIndexers を作成し、⼿動でデプロイを管理します。
この⼿順は、Splunk Cloud ではなく Splunk Enterprise 上で実⾏されているときのみに⾏ってください。インデクサーはクラスタリングされ、追加の複雑なデプロイはありません。デプロイ環境にマッチしない場合、インデクサーへ必要なアドオンをデプロイし、別のデプロイ⽅法を選択します。
分散設定管理はインデックス時の設定や、基本のインデックス定義を Splunk_TA_ForIndexers パッケージへと収集して送ります。これは、オンプレミスなインデクサーへのアドオン設定のデプロイを容易にします。Splunk_TA_ForIndexers には、indexes.conf のすべてと、インデックス時 props.conf と transforms.conf、サーチヘッドのすべての有効な App とアドオンでのセッティングをインクルードし、それらをindexes.conf、props.conf、transforms.confファイルに統合し、ダウンロード可能な 1 つのアドオンとして⽤意しています。これは、./splunk cmd btool <conf_file_prefix> list のアウトプットと同じように機能します。
注意:注意:この⼿順では、サーチヘッドで有効になっているアドオンすべてをインデクサーへとデプロイします。デプロイするアドオンをインデクサーに必要なサブセットのみへと制限したい場合、[App] > [App の管理][App] > [App の管理] を選択し、インデクサーに必要のないアドオンを、この⼿順の前に無効にします。そして、この⼿順の後に再度、有効化します。
Splunk_TA_ForIndexers をデプロイする前に、インデクサーにインストールされている既存のアドオンがSplunk_TA_ForIndexers package に含まれてないことを確認してください。同じアドオンを⼆度デプロイしてしまうと、特にバージョンが違う場合は、設定の競合がおきます。
1. Enterprise Security のメニューバーで [設定] > [全般] > [分散設定管理][設定] > [全般] > [分散設定管理] を開きます。2. [パッケージのダウンロード][パッケージのダウンロード] を選択して、Splunk_TA_ForIndexers を作成し、ダウンロードします。3. アドオンのダウンロード後は、パッケージのコンテンツを変更できます。
例えば、 indexes.conf を変更し、サイト保持設定や他のストレージオプションで確認する、または、別のApp でインデックスを管理や設定をする場合は、ファイルを削除します。
4. クラスタマスターを使い、クラスタピアに Splunk_TA_ForIndexers またはアドオンをデプロイします。『インデクサーとクラスタの管理』の「すべてのピアの共通設定の管理」と「すべてのピアの App デプロイの管理」を参照してください。
新しいアドオンを Enterprise Security で利⽤するためにインストールする場合は、このステップを繰り返して、アップデートしたバージョンの Splunk_TA_ForIndexers を作成します。
Splunk_TA_ForIndexers の⾃動デプロイを作成し設定します。Splunk_TA_ForIndexers の⾃動デプロイを作成し設定します。
この⼿順は、 Splunk Enterprise 上で実⾏されているときのみに⾏ってください。インデクサーはクラスタリングされ、追加の複雑なデプロイはありません。デプロイ環境にマッチしない場合、インデクサーへ必要なアドオンをデプロイし、別のデプロイ⽅法を選択します。
分散設定管理はインデックス時の設定や、基本のインデックス定義を Splunk_TA_ForIndexers パッケージへと収集して送ります。これは、オンプレミスなインデクサーへのアドオン設定のデプロイを容易にします。⾃動デプロイオプションを選択する場合、分散設定管理は、すべてのインデックス時 props.conf と transforms.conf の設定を、サーチヘッドでのすべての有効な App とアドオンからインクルードし、単⼀の props.conf と transforms.confファイルへとマージし、ファイルを Splunk_TA_ForIndexers へと設置します。インデクサーストレージと保持の設定がすべてのインデクサーで同じ場合、indexes.conf 設定をパッケージに追加する選択ができます。
注意:注意:この⼿順では、サーチヘッドで有効になっているアドオンすべてをインデクサーへとデプロイします。デプロイするアドオンをインデクサーに必要なサブセットのみへと制限したい場合、[App] > [App の管理][App] > [App の管理] を選択し、インデクサーに必要のないアドオンを、この⼿順の前に無効にします。そして、この⼿順の後に再度、有効化します。
Splunk_TA_ForIndexers をデプロイする前に、インデクサーにインストールされている既存のアドオンがSplunk_TA_ForIndexers package に含まれてないことを確認してください。同じアドオンを⼆度デプロイしてしまうと、特にバージョンが違う場合は、設定の競合がおきます。
1. Splunk Enterprise Security サーチヘッドをデプロイサーバーのデプロイクライアントとして設定します。詳細は、『Splunk Enterprise インスタンスの更新』の「デプロイクライアントの設定」を参照してください。
2. Enterprise Security のメニューバーで [設定] > [全般] > [分散設定管理][設定] > [全般] > [分散設定管理] を開きます。3. 「⾃動デプロイを使⽤しますか?」「⾃動デプロイを使⽤しますか?」には、[はい][はい] を選択します。4. [新しい認証情報の追加][新しい認証情報の追加] を選択し、デプロイサーバーで使⽤する Splunk 管理を追加します。管理者アカ
ウントは、デプロイサーバーの管理者ロールを持つ必要があります。1. アカウントへのユーザーユーザーとパスワードパスワードを⼊⼒してください。2. [アプリケーション][アプリケーション]を SplunkEnterpriseSecuritySuite へと設定します。
12
3. アカウント認証情報を保存します。5. [認証情報の選択][認証情報の選択] をクリックして、ステップ 4 で追加した認証情報を選択します。6. Splunk_TA_ForIndexersアドオンを受け取れるインデクサーを選択します。7. (任意) [Splunk インデクサーの選択][Splunk インデクサーの選択] フィールドにインデクサーの名前を⼊⼒して追加します。8. (任意) Push indexes.confPush indexes.conf チェックボックスを選択して Splunk_TA_ForIndexers アドオンパッケージに
indexes.conf の設定をインクルードするようにします。インデックス設定は、ストレージ固有の設定を要するため、 indexes.conf はデフォルトではパッケージに含まれません。Splunk_TA_ForIndexers を indexes.conf でデプロイしない場合、インデックス設定マニュアルを⼿動で管理します。
9. [保存][保存]をクリックして、Splunk_TA_ForIndexers のアドオンを作成します。
注意:注意:⾃動デプロイを設定したあと Splunk_TA_ForIndexers の⾃動デプロイを無効にする場合は、Splunk_TA_ForIndexers アドオンはデプロイサーバーに残ります。アドオンとサーバークラスを⼿動で削除します。
カスタム App とアドオンの Splunk AppSecurity へのインポーカスタム App とアドオンの Splunk AppSecurity へのインポートト
Splunk Enterprise Security の機能を App とアドオンで拡張できます。App およびアドオンを Splunkbase からダウンロードするか、Splunk Add-on Builder などのツールでご⾃⾝のアドオンを作成します。Splunk Cloudのお客様がアドオンをサーチヘッドにインストールする場合は Splunk Support にお問い合わせください。
[更新 ES モジュール⼊⼒] を使⽤します[更新 ES モジュール⼊⼒] を使⽤します
Splunk Enterprise Security は同じサーチヘッドにインストールされた App とアドオンの設定を統合します。Update ES モジュラーは正規表現フィルターに⼀致するすべての App やアドオンのインポートを実⾏するモジュールです。フィルターは App パス SplunkEnterpriseSecuritySuite/default/inputs.conf で定義されています。
モジュール⼊⼒モジュール⼊⼒ 関数関数
app_imports_update://update_es サポートされているアドオンのメタデータをインポートして更新します。
app_imports_update://update_es_da サポートされているドメインアドオンのメタデータをインポートして更新します。
app_imports_update://update_es_main SplunkEnterpriseSecuritySuite のメタデータをインポートして更新します。
インポートの推移性インポートの推移性
App のインポートには推移性があります。つまり、App (B) をインポートする App (A) は、その App にインポートされるすべての App (C) もインポートします。
1. App A が App B をインポートし、2. App B が App C をインポートする場合、3. App A は App C もインポートします。
サポートアドオンは相互にインポートを⾏うため、更新された local.meta ファイルにはサポートアドオンが 1 つしかない場合があります。これは、App のリストの最初にあるサポートアドオンのSA-AccessProtection です。
既存の App インポートの表⽰既存の App インポートの表⽰
|rest サーチコマンドを使⽤して既存 App インポートを表⽰します。コマンドを実⾏するには、Splunk の管理者権限が必要です。例えば、SplunkEnterpriseSecuritySuite App のインポートを管理ユーザーとして認証されている場合に表⽰するには:
| rest /servicesNS/admin/system/apps/local/SplunkEnterpriseSecuritySuite/import splunk_server=local | fields import
App およびアドオンインポートの命名規則App およびアドオンインポートの命名規則
モジュラー⼊⼒は以下のいずれかのプリフィックスのある App およびアドオンを⾃動的にインポートします:DA-ESS-、SA-、TA-、Splunk_SA_、Splunk_TA_、および Splunk_DA-ESS_.
別の命名規則によるアドオンのインポート別の命名規則によるアドオンのインポート
カスタムアドオンが⼀般的な ES 命名規則を使⽤しない場合は、名前または命名規則を追加してモジュラー⼊⼒をインポートする必要があります。
1. Enterprise Security のメニューバーで、[設定] > [全般][設定] > [全般] へと進み、[App インポートの更新][App インポートの更新] を選択します。
2. update_es ⼊⼒を編集します。3. [アプリケーション正義表現][アプリケーション正義表現] フィールドで、アドオンの命名規則を、正規表現を使⽤した対応する命名規
則のリストに追加します。1. 例えば、 My_datasource という名前の新しいアドオンをインポートするには [アプリケーション正規表[アプリケーション正規表
現]現] フィールドをいかに更新します: (appsbrowser)|(search)|([ST]A-.*)|(Splunk_[ST]A_.*)|(DA-ESS-.*)|(Splunk_DA-ESS_.*)|(My_datasource)
13
2. [アプリケーション正規表現][アプリケーション正規表現] フィールドを変更する際は、常にデフォルトの正規表現に追加してください。そうしないと、既存 App のインポートは失敗します。
4. 保存します。5. 変更をプレビューします。
|rest services/data/inputs/app_imports_update | table title app_regex app_exclude_regex updated
6. Splunk Enterprise サービスを再起動して変更を組み込みます。
App インポートからのアドオンの削除App インポートからのアドオンの削除
App インポートプロセスからアドオンを除外します。
1. Enterprise Security のメニューバーで、[設定] > [全般][設定] > [全般] へと進み、[App インポートの更新][App インポートの更新] を選択します。
2. update_es ⼊⼒を編集します。3. [アプリケーション除外正義表現][アプリケーション除外正義表現] フィールドで、アドオンの命名規則を、正規表現を使⽤している対応す
る命名規則のリストに追加します。1. 例えば、 TA_new_test という名前の新しいアドオンを除外するには [アプリケーション除外正規表現][アプリケーション除外正規表現]
フィールドを以下に更新します: |TA_new_test4. 保存します。5. 変更をプレビューします。
|rest services/data/inputs/app_imports_update | table title app_regex app_exclude_regex updated
6. Splunk Enterprise サービスを再起動して変更を組み込みます。
Splunk Stream を Splunk Enterpr ise Secur ity と統合するSplunk Stream を Splunk Enterpr ise Secur ity と統合する
Enterprise Security は Splunk Stream を統合して、ネットワークトラフィックデータを取得し分析します。Splunk Stream は、サーチヘッドと 2 つの転送オプションにインストールする App (splunk_app_stream) を含みます。
1. Splunk App for Stream を Enterprise Security のサーチヘッドにインストールします。Splunk Enterprise デプロイについては、『インストールと設定』マニュアルの「Splunk Stream のインストール」を参照してください。Splunk Cloud デプロイについては、『インストールと設定マニュアル』の「Splunk Stream をSplunk Cloud にデプロイ」を参照してください。
2. 使⽤する Splunk Stream フォワーダーでの Splunk Enterprise Security の設定テンプレートを有効化します。Splunk Add-on for Stream (Splunk_TA_stream) または、独⽴した Stream フォワーダーを利⽤できます。「Stream 設定テンプレートの使⽤」を参照してください。
Enterpr ise Secur i ty での Stream の使⽤Enterpr ise Secur i ty での Stream の使⽤
Splunk Stream のセットアップすると、相関サーチの結果として、Stream 取得ジョブを開始することができます。『Splunk Enterprise Security の管理』の「Splunk Stream での Stream 取得の開始」を参照してください。また、インシデントレビューのダッシュボードで、重要なイベントからの Stream 取得ジョブを開始することもできます。『Splunk Enterprise Security の使⽤』の「Stream 取得の開始」を参照してください。
Splunk Enterprise Security で取得した Stream データイベントをプロトコルインテリジェンスのダッシュボードに表⽰して、分析ができます。『Splunk Enterprise Security の使⽤』の「プロトコルインテリジェンスのダッシュボード」を参照してください。
インデックスの設定とデプロイインデックスの設定とデプロイ
Splunk Enterprise Security では、イベントの保存のためのカスタムインデックスを実装します。これらのインデックスは、Splunk Enterprise Security で提供されている App で定義されます。
単⼀インスタンスのデプロイでは、Enterprise Security のインストールによってデータ保存のデフォルトパスにインデックスが作成されます。Splunk Cloud デプロイでは、お客様はセットアップ、管理、および Cloud インデックスパラメータの維持について Splunk Support にお問い合わせください。『Splunk Cloud ユーザーマニュアル』の「SplunkCloud インデックスの管理」を参照してください。分散サーチのデプロイでは、すべての Splunk platform のインデクサーやサーチピアでインデックスを作成する必要があります。
インデックス設定インデックス設定
Splunk Enterprise Security で定義されるインデックスでは、以下に対応する設定が提供されません。
複数のストレージパス⾼速化されたデータモデルデータ保持バケツサイジングボリュームパラメータの使⽤
インデックスの設定の詳細な例については、『管理』マニュアルの「indexes.conf.example」をご覧ください。
App によるインデックスApp によるインデックス
14
App コンテキストApp コンテキスト インデックスインデックス 説明説明
DA-ESS-ThreatIntelligenceioc このリリースでは使⽤されません。
threat_activity 脅威リストマッチの結果によるイベントを含む。
SA-EndpointProtection endpoint_summary エンドポイント保護サマリーインデックス
SA-ThreatIntelligence
notable 重要なイベントを含む。
notable_summary 選択ダッシュボードでの使⽤した重要なイベントのステータスサマリーを含む。
risk リスク修飾⼦イベントを含む。
SA-NetworkProtection whois WHOIS データインデックス。
Splunk_SA_CIMcim_summary このリリースでは使⽤されません。
cim_modactions 適応応答アクションイベントを含みます。
Splunk_SA_ExtremeSearch xtreme_contexts エクストリームサーチのコンテキストを含む。
アドオンは、indexes.conf ファイルに定義されるカスタムインデックスを含むことがあります。
インデックスのデプロイインデックスのデプロイ
Splunk Enterprise Security には、サーチヘッドで有効になっているすべての App とアドオンの indexes.conf、インデックス時の props.conf、transforms.conf の設定をまとめ、1 つのアドオンに組み込むツールが含まれています。詳細に関しては、このマニュアルの 「Splunk Enterprise Security に含まれるデプロイアドオン」を参照してください。
ユーザーとロールの設定ユーザーとロールの設定
Splunk Enterprise Security では、Splunk プラットフォームに統合されるアクセス制御システムが使⽤されます。Splunk プラットフォームの認証機能では、ユーザーの追加、ユーザーへのロールロールの割り当て、それらのロールへのカスタムの権限権限の割り当てを⾏うことで、組織を対象とするきめ細かなロールベース・アクセス制御が可能になります。
ユーザーロールの設定ユーザーロールの設定
Splunk Enterprise Security は Splunk プラットフォームから提供されているデフォルトのロールに 3 つのロールを追加します。新しいロールにより Splunk 管理者はユーザーのアクセス要件に基づいて ES の特定の機能へのアクセスを割り当てることができます。Splunk プラットフォームの管理者は、ユーザーがSplunk EnterpriseSecurity で実⾏、管理するタスクに最適なロールをユーザーグループに割り当てることができます。ユーザーには 3 つのカテゴリがあります。
UserUser 説明説明SplunkSplunkES ローES ロー
ルル
セキュリティーディレクター
主に警戒姿勢、保護センター、監査ダッシュボードを確認することで、組織の現在の警戒姿勢を理解しようとします。セキュリティーディレクターは、製品の設定やインシデントの管理を⾏いません。
ess_user
セキュリティーアナリスト
セキュリティー体制とインシデント レビュー ダッシュボードを使って、セキュリティーインシデントを管理、調査します。セキュリティーアナリストは保護センターの⾒直しやセキュリティーインシデントの構成要素に関して助⾔を与える責任を負います。また、相関サーチとダッシュボードで使⽤する閾値も決定します。セキュリティーアナリストは相関サーチを編集し、抑制事項を作成できる必要があります。
ess_analyst
ソリューション管理者
Splunk プラットフォームと Splunk App をインストール、維持します。また、ワークフローの設定、新しいデータソースの追加、アプリケーションの調整とトラブルシューティングを担当します。
admin または sc_admin
各 Splunk Enterprise Security カスタムロールは Splunk プラットフォームのロールを継承し、Splunk ES に固有の機能を追加します。Splunk ES にカスタマイズされた 3 つのロールすべてがユーザーに割り当て可能であるわけではありません。
SplunkSplunkES ローES ロー
ルル
Splunk プSplunk プラットフォーラットフォームロールからムロールから
継承継承
追加された Splunk ES 機能追加された Splunk ES 機能 ユーザーに割り当て可能ユーザーに割り当て可能
ess_user ユーザー リアルタイムサーチ はい。ES ユーザーのuserロールを置き換える
15
ess_analystuser,ess_user,power
ess_user の継承と追加:重要なイベントを作成、編集、所有し、すべての移⾏の実⾏する
はい。ES ユーザーのpowerロールを置き換える
ess_admin
user,ess_user,power,ess_analyst
ess_analystの継承と追加:相関サーチとレビューステータスを編集する
いいえいいえ。Enterprise Security のインストールを管理するには、Splunk プラットフォームの管理者ロールを使う必要があります。
Splunk プラットフォーム admin ロールは固有の ES 機能を継承します。Splunk Cloud デプロイでは、Splunk プラットフォーム管理ロールは sc_adminと名付けられます。admin または sc_admin ロールを使⽤して EnterpriseSecurity のインストールを管理します。
Splunk プラットフォームSplunk プラットフォームロールロール ロールからの継承ロールからの継承 付与される付与される
権限権限ユーザー割り当てのユーザー割り当ての
承諾承諾
admin user, ess_user, power, ess_analyst,ess_admin すべて はい。
sc_admin user, ess_user, power, ess_analyst,ess_admin すべて はい。
ロールの継承ロールの継承
すべてのロールの継承は Enterprise Security にあらかじめ設定されています。ロールの権限に変更があると、継承されるその他のロールにも変更が反映されます。ロールに関するさらなる情報は、Splunk platform のドキュメントを参照してください。
Splunk Enterprise については、『Splunk Enterprise のセキュリティ』の「ロールの追加と編集」を参照してください。Splunk Cloud については、『Splunk Cloud ユーザーマニュアル』の「Splunk Cloud ロールの管理」を参照してください。
ロールへの権限の追加ロールへの権限の追加
権限は Splunk Enterprise Security の様々な機能に対してロールが持つアクセスのレベルを制御します。Enterprise Security の 権限権限 ページを使⽤してロールに割り当てられた権限を確認し変更します。
1. Splunk Enterprise Security のメニューバーで、[設定] > [全般] > [権限][設定] > [全般] > [権限] を選択します。2. 更新するロールを探します。3. 追加する ES のコンポーネントES のコンポーネントを探します。4. ロールのコンポーネントのチェックボックスを選択します。5. 保存します。
Splunk Enterpr ise Secur i ty に固有の権限。Splunk Enterpr ise Secur i ty に固有の権限。
Splunk Enterprise Security はカスタム権限を使⽤して Splunk Enterprise Security 固有機能へのアクセスを制御します。
Splunk Enterprise Security の権限ページで権限を追加して、適切なアクセス管理リスト (ACL) が更新されていることを確認します。権限ページは適宜 ACL 変更を⾏います。カスタム権限の追加を Splunk プラットフォームの権限ページで⾏う場合は、ACL をご⾃⾝で更新する必要があります。
ES の機能ES の機能 説明説明 権限権限
新しい重要なイベントの作成
サーチ結果からアドホックの重要なイベントを作成「SplunkEnterprise Security での重要なイベントの⼿動作成」を参照してください。
edit_tcp edit_notable_events
⾼度なサーチスケジュール設定を編集する
コンテキスト管理での相関サーチのスケジュール優先度とスケジュールウィンドウを編集する。
edit_search_schedule_priorityedit_search_schedule_window
相関サーチの編集
コンテンツ管理で相関サーチを編集します。「SplunkEnterprise Security での相関サーチの設定」を参照してください。この権限をもつユーザーは、コンテンツを App としてコンテンツ管理からエクスポートできます。「コンテンツをSplunk Enterprise Security からアプリとしてエクスポート」をご覧ください。
edit_correlationsearches schedule_search
分散設定管理の編集
分散設定管理の編使⽤「Splunk Enterprise Security に含まれるデプロイアドオン」を参照してください。
ESNavigationの編集
Enterprise Security ナビゲーションに変更を加えます。「Splunk Enterprise Security でのメニューバーのカスタマイズ」を参照してください。
edit_es_navigation
グラステー グラステーブルの作成と修正「グラステーブルの作成」を参照 edit_glasstable
16
ブルの編集 してください。 edit_glasstable
ID ルックアップ設定の編集
ID ルックアップの設定を管理し、アセットと ID 相関を制限します。「アセットと ID データを Splunk Enterprise Securityに追加した後で、アセットと ID の相関を Splunk EnterpriseSecurity で設定」を参照してください。
edit_identitylookup
インシデントレビューの編集
インシデントレビュー設定を変更します。「SplunkEnterprise Security でのインシデントレビューのカスタマイズ」を参照してください。。
edit_log_review_settings
ルックアップの編集
ルックアップ テーブル ファイルを変更します。「SplunkEnterprise Security でのルックアップの作成と管理」 を参照してください。
edit_lookups
重要なイベントのステータスを編集する
重要なイベントの選択に利⽤可能なステータスを変更します。「重要なイベントのステータスの管理」を参照してください。
edit_tcpedit_notable_eventstransition_reviewstatus-X to Y
重要なイベントの抑制の編集
重要なイベントの抑制の作成と編集「重要なイベントの抑制の作成と編集」を参照してください。 edit_suppressions
重要なイベントの編集
重要なイベントの割り当てなどの、重要なイベントに変更を加えます。「Splunk Enterprise Security でのインシデントレビューの重要なイベントのトリアージ」を参照してください。
edit_notable_eventsedit_tcp
パーパネルのフィルターの編集
ダッシュボードのパー パネル フィルターを作成し管理します。「Splunk Enterprise Security でのパネルごとのフィルタリング」を参照してください。
edit_per_panel_filters
脅威インテリジェンスの編集
存在する脅威インテリジェンスを変更する。「SplunkEnterprise Security での存在する脅威インテリジェンスの変更」を参照してください。
edit_modinput_threatlist
設定の管理全般設定または編集可能なルックアップのリストに変更を加えます。「Splunk Enterprise Security での相関サーチの設定」を参照してください。
edit_managed_configurations
すべての調査を管理
すべての調査に対し、ロールがビューや変更をできるようにします。「Splunk Enterprise Security での調査管理」を参照してください。
manage_all_investigations
重要なイベントの所有
ロールが重要なイベントの所有者になれます。「重要なイベントの割り当て」を参照してください。 can_own_notable_events
サーチ主導ルックアップ
サーチにより⼊⼒されるルックアップテーブルを作成します。「Splunk Enterprise Security のサーチ主導ルックアップの作成」を参照してください。
edit_managed_configurations schedule_search
調査の使⽤調査の作成と編集権限をもつロールのみが、調査を変更することができます。「Splunk Enterprise Security での調査」を参照してください。
edit_timelines
認証情報マネージャー
認証情報を Splunk Enterprise Security および他の App で管理権限ページでは設定できません。「Splunk EnterpriseSecurity の⼊⼒認証情報の管理」を参照してください。
admin_all_objects
ロールを対象とする同時サーチの調整ロールを対象とする同時サーチの調整
Splunk プラットフォームでは、user と power のロールについて、デフォルトで同時に実⾏されるサーチの制限が設定されています。いくつかの役割で同時に実⾏されるサーチを変更したい場合があります。
1. Enterprise Security のメニューバーで、[設定] > [全般] > [全般設定][設定] > [全般] > [全般設定] を選択します。2. ロールの制限を確認し必要に応じて変更します。
項⽬項⽬ 説明説明
サーチのディスク容量割り当て (admin)
Admin ロールを持つユーザーに割り当てられ、サーチジョブの結果を保存できる最⼤ディスク容量 (MB) 。
サーチのジョブ割り当て(admin) admin ロールを持つユーザーの同時サーチの最⼤数。
サーチのジョブ割り当て(power) 権限ロールを持つユーザーの同時サーチの最⼤数。
admin および power以外のロールの制限を変更するには、 authorize.conf ファイルを編集してデフォルトのサーチ割合を更新します。『管理』マニュアルの 「Splunk Enterprise の authorize.conf.example」を参照してください。
17
複数のインデックスをサーチするためのロールの設定複数のインデックスをサーチするためのロールの設定
Splunk platform は取り⼊れたデータソースを複数のインデックスに保管します。データを複数のインデックスに分散することで、ロールベース・アクセス制御やデータソースでのさまざまな保持⽅針への対応が可能になります。デフォルトでは、Splunk platform はすべてのロールを、main インデックスのみをサーチするように設定しています。ロールに関するさらなる情報は、Splunk platform のドキュメントを参照してください。
Splunk Enterprise については、『Splunk Enterprise のセキュリティ』マニュアルの「ロールベースのユーザーアクセスの設定について」を参照してください。Splunk Cloud については、『Splunk Cloud ユーザーマニュアル』の「Splunk Cloud のユーザーとロールの管理」を参照してください。
Splunk Enterprise Security のロールが追加インデックスをサーチできるようにするには、関連するセキュリティーデータを含むインデックスを関連するロールに割り当てます。
1. [設定] > [アクセス制御][設定] > [アクセス制御] を選択します。2. [ロール][ロール] をクリックします。3. 追加のインデックスサーチを可能にしたいロール名をクリックします。4. ⽬的のデフォルトでサーチ対象とするインデックスデフォルトでサーチ対象とするインデックスとこのロールがサーチできるインデックスインデックスを選択し
ます。サーチとサマリ―インデックスのループの原因になるため、サマリーインデックスを含めないようにします。
5. 変更内容を保存します。6. 必要に応じてロールの追加を繰り返します。
正しいインデックスでロールを更新しない場合、割り当てられていないインデックスのデータを使⽤するサーチや他のナレッジオブジェクトが更新されず、結果が表⽰されません。
複数のインデックスの理由についての詳細は、『インデクサーとクラスタの管理』の「Splunk Enterprise で複数のインデックスを利⽤する理由」を参照してください。
Splunk Enterpr ise Secur ity のデータモデル設定Splunk Enterpr ise Secur ity のデータモデル設定
Splunk Enterprise Security ではダッシュボードやビューの追加と相関サーチ結果の提供にあたって、⾼速化⾼速化データモデルデータモデルが使⽤されます。こうしたデータモデルは Enterprise Security とともにインストールされるCommon Information Model アドオン (Splunk_SA_CIM) で定義・提供されます。また、Splunk EnterpriseSecurity のコンテンツのみに適⽤される独⾃のデータモデルもインストールされます。
データモデル⾼速化のサーチ負荷データモデル⾼速化のサーチ負荷
データモデルは、サーチヘッドで起動する定期的なサマリー作成サーチプロセスによって⾼速化されます。サマリー作成サーチはインデクサーで実⾏され、データモデルをフィルターとして使⽤しながら、新たにインデックスされたデータをサーチします。⼀致した結果は、すばやいアクセスを可能するインデックスバケツとともにディスクに保存されます。
Splunk プラットフォーム 6.3 以降では、2 つまでの同時サマリーがデータモデルごと、インデクサーごとに実⾏可能です。詳細は、Splunk Enterprise 『キャパシティプランニング』マニュアルの「並列化サマリー作成」を参照してください。Splunk Cloud の並列化サマリー設定の調整するには、サポートチケットを申請してください。
データモデルサーチを特定のインデックスに制限するデータモデルサーチを特定のインデックスに制限する
Splunk 共通情報アドオンは、パフォーマンス改善のために、データモデルで検索したインデックスを制限できます。Splunk 共通情報モデルアドオン『ユーザー』マニュアルの「Splunk 共通情報モデルアドオンのセットアップ」を参照してください。
CIM データモデルのデータモデル⾼速化の設定CIM データモデルのデータモデル⾼速化の設定
Splunk 共通情報アドオンは、データモデル⾼速化設定を各データモデル毎に調整できます。(バックフィル時間、最⼤同時サーチ、⼿動再構築、スケジュール優先度)Splunk platform のバージョン 6.6.0 を使⽤している場合、タグのホワイトリスト設定をCIM データモデルで利⽤するカスタムタグを含むように設定します。Splunk 共通情報モデルアドオン『ユーザー』マニュアルの「CIM データモデルの⾼速化」を参照してください。
データモデル⾼速化の処理と保持データモデル⾼速化の処理と保持
データモデル⾼速化では処理と保存にインデクサーが使⽤され、⾼速化データはそれぞれのインデックスとともに保存されます。データの総量に基づいてインデクサーで必要になる追加のストレージの容量は、次の式で計算できます。
1 年あたりの⾼速化データモデルのストレージ = 1 ⽇あたりのデータ量 x 3.4
この式は、⾼速化データモデルに推奨される保持率を使⽤した場合を仮定しています。
たとえば、Enterprise Security で 1 ⽇に 100GB のデータを処理する場合、1 年間のデータモデル⾼速化とソースデータの保持には、すべてのインデクサーで約 340GB の追加容量が必要になります。
ストレージボリュームの設定ストレージボリュームの設定
データモデル⾼速化のストレージの容量は、tstatsHomePathを使⽤するindexes.confで管理されます。明⽰的に設定されている場合を除き、データモデル⾼速化のデフォルトのストレージパスは、$SPLUNK_HOME/var/lib/splunk です。これは Splunk プラットフォームのデフォルトのインデックスパスです。データモデル⾼速化に使⽤されるストレージは、バケツのローリングや空きスペースの確認など、メンテナンスタスクのためのインデックスのサイジングの計算には追加されません。
18
インデックスの設定とは別にデータモデル⾼速化のストレージを管理するには [volume:] スタンザで新しいストレージパスを定義する必要があります。ボリュームとデータモデル⾼速化を定義する例については、Splunkplatform のドキュメントを参照してください。
Splunk Enterprise については、『ナレッジ管理』マニュアルの 「Splunk Enterprise でのデータモデルサマリーのサイズベースの保持の設定」を参照してください。Splunk Cloud については、『ナレッジ管理』マニュアルの 「Splunk Cloud でのデータモデルサマリーのサイズベースの保持の設定」を参照してください。
データモデル保持のデフォルトデータモデル保持のデフォルト
データモデルの保持設定は、ユースケースやデータソースに左右されます。短い保持期間は、⾼速化データの時間範囲の制限と交換に、ディスク容量の使⽤が少なく処理時間が短いです。
データモデルデータモデル サマリー範囲サマリー範囲
アラート 全時間
アプリケーションの状態 1 か⽉
アセットと ID (ES)(ES) なし
認証 1年
証明書 1年
変更分析 1年
データベース なし
データ紛失防⽌ 1年
ドメイン分析 (ES)(ES) 1年
メール 1年
インシデント管理 (ES)(ES) 全時間
プロセス間メッセージング 1年
侵⼊検出 1年
インベントリ なし
java 仮想マシン 全時間
マルウェア 1年
ネットワーク解決 (DNS) 3 か⽉
ネットワークセッション 3 か⽉
ネットワークトラフィック 3 か⽉
パフォーマンス 1 か⽉
リスク分析 (ES)(ES) 全時間
Splunk の監査ログ 1年
脅威インテリジェンス (ES)(ES) 全時間
チケット管理 1年
更新 1年
ユーザーおよびエンティティ動作分析 (ES)(ES) 全時間
脆弱性 1年
Web 3 か⽉
Splunk Common Information Model App の CIM セットアップCIM セットアップ ページを使⽤して CIM データモデルの保持設定を修正します。詳細は「Splunk Common Information Model アドオン」の 『ユーザー マニュアル』の「データモデル⾼速化でのサマリー範囲の変更」を参照してください。カスタム データ モデルでサマリー範囲またはその他の設定を変更するには、App またはアドオンと⼀緒に提供された datamodels.conf を⼿動で編集します。
Splunk Enterprise でのそれらの設定の編集についてのインストラクションは、『管理』マニュアルの「Splunk Enterprise の datamodels.conf 仕様ファイル」を参照してください。Splunk Cloud を使⽤している場合、これらの設定を調整するには、サポートケースを申請してください。
19
データモデル⾼速化の再構築データモデル⾼速化の再構築
Splunk プラットフォームで、データ モデル ストラクチャーの設定が変更される、またはデータモデルを作成する元のサーチが変更される場合は、データモデル⾼速化の完全な再構築が開始されます。Enterprise Security はデータモデルの設定変更を最新の加速化にのみ適⽤してデフォルト動作を修正し、以前の⾼速化の削除を防ぎます。所定の保持期間が過ぎるまで、またはインデックスバケツで移⾏されるまで、インデクサーは古い設定を持つ既存の⾼速化データモデルを保持します。最⾼のパフォーマンスを引き出すには、Splunk Enterprise Securityで使⽤するいかなるデータモデルに対しても⼿動再構築設定を変更しないでください。
再構築の設定オプションは、datamodels.conf ファイルで管理されます。
⾼速化や再構築のさらなる情報については、Splunk platform のドキュメントを参照してください。
Splunk Enterprise については、『ナレッジ管理』マニュアルの 「Splunk Enterprise での永続的に⾼速化されたデータモデルの⾼度な設定」を参照してください。Splunk Cloud については、『ナレッジ管理』マニュアルの 「Splunk Cloud での永続的に⾼速化されたデータモデルの⾼度な設定」を参照してください。
データモデルの管理データモデルの管理ページで完全な再構築を強制できます。[設定] > [データモデル][設定] > [データモデル] へと進み、データモデルを選択します。左⽮印で⾏を拡⼤し、[再構築][再構築] のリンクを選択します。
データモデル監査ダッシュボードでは、すべてのデータモデルの⾼速化のステータスを確認できます。
データモデル⾼速化の強制データモデル⾼速化の強制
Enterprise Security は、モジュール⼊⼒によってデータモデル⾼速化が強制されます。ES でのデータモデル⾼速化を無効化するには
1. Splunk Enterprise ツールバーで、[設定 > データ⼊⼒][設定 > データ⼊⼒] を開き [データモデル⾼速化の強制設定][データモデル⾼速化の強制設定] を選択します。
2. データモデルを選択します。3. [⾼速化の強制][⾼速化の強制] オプションのチェックを外します。4. 保存します。
Splunk Enterpr ise Secur i ty により使⽤されるデータモデルSplunk Enterpr ise Secur i ty により使⽤されるデータモデル
Splunk Enterprise Security により使⽤されるデータモデルについての参照情報は、Splunk > 開発者ポータルの「ES により使⽤されるデータモデル」を参照してください。
20
アップグレードアップグレードSplunk Enterpr ise Secur ity のアップグレード計画Splunk Enterpr ise Secur ity のアップグレード計画
オンプレミス Splunk Enterprise Security のアップグレードを計画する。Splunk Cloud のお客様は EnterpriseSecurity の更新について Splunk サポートにお問い合わせする必要があります。
このバージョンの Splunk Enterprise Security は 4.0 以降のバージョンからのアップグレードをサポートします。以前のバージョンからアップグレードするには、中間アップグレードをします。
Splunk Enterprise と Enterprise Security を同時にアップグレードするには、サポートされたアップグレードパスを使⽤してください。Splunk platform は 6.5.x、 Enterprise Security は 4.x のバージョンから開始する場合:
1. Splunk Enterprise Security をバージョン 4.7.0 へアップグレードする。2. Splunk platform をバージョン 6.6.0 へアップグレードする。
Splunk platform は 6.4.x、 Enterprise Security は 4.x のバージョンから開始する場合:
1. Splunk platform をバージョン 6.5.x へアップグレードする。2. Splunk Enterprise Security をバージョン 4.7.0 へアップグレードする。3. Splunk platform をバージョン 6.6.0 へアップグレードする。
Splunk Enterpr ise Secur i ty をアップグレードする前にSplunk Enterpr ise Secur i ty をアップグレードする前に
1. 互換性のある Splunk platform のバージョンを確認してください。Splunk Enterprise システム要件を確認してください。
2. ハードウェア要件を確認し、サーバーハードウェアが Splunk Enterprise Security をサポートしていることを確かめてください。ハードウェア要件を確認してください。
3. Splunk Enterprise Security 最新のリリースでの既知の問題を確認してください。『Splunk EnterpriseSecurity リリースノート』での「既知の問題」を参照してください。
4. Splunk Enterprise Security 最新のリリースでの廃⽌された機能を確認してください。『SplunkEnterprise Security リリースノート』での「廃⽌された機能」を参照してください。
5. KV Store を含めたサーチヘッドをバックアップします。アップグレードプロセスは、アップグレード前に既存のインストールをバックアップしません。サーチヘッドでのKV Storeのバックアップの⽅法に関するインストラクションとして、「KV Storeのバックアップ」を参照してください。
Splunk Enterpr ise Secur i ty のアップグレードに関する推奨事項Splunk Enterpr ise Secur i ty のアップグレードに関する推奨事項
利⽤中の Splunk Enterprise Security と互換性のないバージョンへ Splunk platform をアップグレードしたい場合は、Splunk Enterprise Security と Splunk platform の両⽅を同じメンテナンスウィンドウでアップグレードします。
Splunk platform と Splunk Enterprise Security を同時にアップグレードできない場合、互換性のあるバージョンを確認して、アップグレードパスを決定します。
1. (任意) 必要なら、Splunk Enterprise を互換性のあるバージョンへとアップグレードします。『SplunkEnterprise インストールマニュアル』の「分散 Splunk Enterprise 環境のアップグレード」を参照してください。
2. Splunk プラットフォームのインスタンスをアップグレードします。3. Splunk Enterprise Security をアップグレードします。4. アドオンを確認、アップグレード、デプロイします。
サーチヘッドクラスタにデプロイされている Enterprise Security のアップグレードには複数の⼿順があります。推奨される⼿順については、「サーチヘッドクラスタでの Enterprise Security のアップグレード」に詳細事項を記載しています。
アップグレード固有のノートアップグレード固有のノート
デプロイサーバーが、Enterprise Security package に含まれる App またはアドオンを管理しているときには、アップグレードは失敗します。アップグレードを開始する前に、デプロイサーバーの参照が含まれている deploymentclient.conf ファイルを削除し、Splunk のサービスを再起動してください。アップグレードは設定の変更や App /local と /lookups パスで保存されたファイルを受け継ぎます。アップグレードはナビゲーションメニューに対するローカルでの変更を維持します。アップグレード後は、アップグレード中に継承された設定の変更が新しい設定に反映、または上書きされる場合があります。ES の設定ヘルスダッシュボードを使って、新しい設定と競合する設定がないか確認します。『ユーザー』マニュアルの「ES の設定ヘルス」を参照してください。アップグレードのプロセスは、次に記録されます。 $SPLUNK_HOME/var/log/splunk/essinstaller2.log
「Splunk Enterprise Security に含まれるアドオンのアップグレードノート」を参照してください。
アップグレードプロセスで、以前のまたは既存のバージョンの App やアドオンを上書きします。アップグレードでは、利⽤環境にインストールした、新しいバージョンの App やアドオンなどは上書きされません。過去のバージョンで無効にされている App やアドオンは、アップグレード後も無効になります。アップグレードでは、廃⽌された App やアドオンを無効化します。廃⽌予定の App やアドオンは、Enterprise Security のインストールから⼿動で削除する必要があります。アップグレード後は、メッセージに廃⽌されたアイテム全てを特定するアラートが表⽰されます。
21
アドオンの変更アドオンの変更
Enterprise Security のこのリリースに含まれるアドオンの⼀覧については、「Enterprise Security で提供されるアドオン」を参照してください。
分散アドオンのアップグレード分散アドオンのアップグレード
Splunk Enterprise Security は、このバージョンがリリースされたときに存在したアドオンの最新バージョンを含んでいます。
Splunk Enterprise Security には最新のアドオンのコピーが含まれいています。Enterprise Security をアップグレードする際は、すべてのアドオンを確認し、必要に応じて、アップデートしたアドオンをインデクサーとフォワーダーへとデプロイします。Enterprise Security のインストールのプロセスでは、インデクサーやフォワーダーにデプロイされる設定のアップグレードや移⾏が⾃動で⾏われません。「Splunk Enterprise Security に含まれるデプロイアドオン」を参照してください。
カスタマイゼーションは、以前のバージョンのアドオンには⼿動で移⾏しなければなりません。
Splunk Enterpr ise Secur ity のアップグレードSplunk Enterpr ise Secur ity のアップグレード
ここでは、⾃社運⽤のサーチヘッドにある Splunk Enterprise Security をバージョン 4.0 以降から最新リリースにアップグレードする⽅法について説明します。Splunk Cloud のお客様は Enterprise Security の更新についてSplunk サポートにお問い合わせください。
⼿順1計画のトピックの確認⼿順1計画のトピックの確認
1. アップグレードプロセスの概要と前提条件については、このマニュアルの「アップグレードの計画」を参照してください。
2. アップグレード前にサーチヘッドのフルバックアップを実⾏します。
アップグレードを取り消すには、以前のバージョンの Splunk Enterprise Security をバックアップから復元する必要があります。
⼿順2Splunk Enterpr ise Secur i ty のダウンロード⼿順2Splunk Enterpr ise Secur i ty のダウンロード
1. splunk.com を開き、splunk.com ID でログインします。製品のダウンロードには、Enterprise Securityライセンスが必要です。
2. 最新の Splunk Enterprise Security をダウンロードします。3. [ダウンロード][ダウンロード] を選択し、Splunk Enterprise Security ファイルをデスクトップに保存します。4. 管理者として Enterprise Security サーチヘッドにログインします。
⼿順3最新の Splunk Enterpr ise Secur i ty のインストール⼿順3最新の Splunk Enterpr ise Secur i ty のインストール
1. Splunk Enterprise のサーチページで、[App] > [App の管理][App] > [App の管理] と進み、[ファイルから App をインス[ファイルから App をインストール]トール] を選択します。
2. [App のアップグレード][App のアップグレード] をクリックし、アップグレードを開始します。3. [ファイルの選択][ファイルの選択] を選び、Splunk Enterprise Security プロダクトファイルを選択します。4. [アップロード][アップロード] をクリックして、インストールを開始します。5. [今すぐセットアップ][今すぐセットアップ] を選択し、ES のセットアップを開始します。
ファイルのアップロード完了後、すぐにセットアップを実⾏しない場合は、Enterprise Security はエラーを表⽰します。
⼿順4Splunk Enterpr ise Secur i ty のセットアップ⼿順4Splunk Enterpr ise Secur i ty のセットアップ
1. [開始][開始]をクリックします。2. Splunk Enterprise Security のインストール後の設定Splunk Enterprise Security のインストール後の設定 ページでは、インストール段階でのステータス
が表⽰されます。3. 選択したアドオンをインストールから除外したり、インストールしてから無効にしたりできます。
セットアップが完了すると、Splunk プラットフォームのサービスの再起動を要求するページが表⽰されます。
4. [Splunk を再起動][Splunk を再起動] を選択してインストールを終了します。
⼿順5アップグレードの検証⼿順5アップグレードの検証
Splunk Enterprise Security のアップグレードはこれで完了です。アップグレードによって、無効になっていたオブジェクトが⾃動的に有効になります。
1. Enterprise Security のメニューバーで、[監査] > [ES の設定ヘルス][監査] > [ES の設定ヘルス] を選択します。2. 潜在的な対⽴がないか確認し、デフォルトの設定に変更します。『ユーザー』マニュアルの「ES の設定ヘ
ルス」を参照してください。3. 使⽤しているブラウザのブラウザキャッシュを消去し Splunk Web にアクセスして、アップグレード後に
Splunk Web の新しいバージョンにアクセスしていることを確認します。ブラウザーのキャッシュをクリアしない場合、ロードされないページがある場合があります。
アップグレードは次に記録されます。 $SPLUNKHOME$/var/log/splunk/essinstaller2.log
バージョン固有のアップグレードノートバージョン固有のアップグレードノート
22
Enterprise Security をバージョン 4.1.x 以前からバージョン 4.1.x 以降にアップグレードした後、サーチ移⾏プロセスがまだ実⾏中である場合は、相関サーチエディターが事前にアップグレードした設定に⽭盾した設定を表⽰する場合があります。内部インデックスを検索して正常に移⾏したサーチを検索し、移⾏操作のステータスを確認します。
index=_internal sourcetype=configuration_check file="confcheck_es_modactions*" migrated
Enterprise Security をバージョン 4.1.x 以前からバージョン 4.1.x 以降にアップグレードした後、重要なイベントを作成するように設定されていない有効な相関サーチが、重要なイベントを作成するように戻ります。例えば、デフォルトでは重要なイベントおよびリスク修飾⼦を作成した相関サーチで、リスク修飾⼦だけを作成するように設定した相関サーチが、アップグレード後に、リスク修飾⼦と重要なイベントの両⽅を作成します。
1. アップグレード前は、重要なイベントを作成しない相関サーチは以下のサーチを使⽤して有効にします。
| rest splunk_server=local count=0 /services/saved/searches search="name=\"*-Rule\"" | where disabled=0 AND
action.summary_index=0 | table 'eai:acl.app',title
2. アップグレードの完了後、サーチが重要なイベントを作成しなくなるように、影響された相関サーチを更新します。
サーチヘッドクラスタでの Enterpr ise Secur i ty のアップグレードサーチヘッドクラスタでの Enterpr ise Secur i ty のアップグレード
既存の Splunk Enterprise Security サーチヘッドクラスタのインストレーションをアップグレードする。アップグレード前にすべての⼿順と操作の順序を確認してください。
前提条件前提条件
必要に応じてすべてのサーチヘッドのインスタンスで Splunk Enterprise をアップグレードします。サーチヘッドクラスタを構成する Splunk プラットフォームのインスタンスのアップグレードに関する詳細は、『分散サーチ』マニュアルの「サーチヘッドクラスタのアップグレード」を参照してください。
ステージングインスタンスの準備ステージングインスタンスの準備
スタージングインスタンスを使い、最新リリースのデプロイヤーの Enterprise Security のコピーと⽐較します。ES 環境にクリーンなテストインスタンスや QA インスタンスがあり、他の App がインストールされていない場合は、このインスタンスをステージングに使⽤できます。
1. アップグレードのステージングに使⽤する Splunk Enterprise の単⼀インスタンスを準備します。このインスタンスはステージングのみに使⽤するので、インデクサーやサーチピアには接続しないでください。
2. Enterprise Security のインストールをデプロイヤーのインスタンスパス $SPLUNK_HOME/etc/shcluster/apps からステージングインスタンスのパス $SPLUNK_HOME/etc/apps にコピーします。デプロイヤーにある EnterpriseSecurity のコピーは、それ以前のリリースを表し、サーチヘッドクラスタにデプロイされた設定を含んでいます。サーチヘッドクラスタノード間で複製される実⾏時のナレッジオブジェクトの変更は含まれません。
ES の最新バージョンへのアップグレードのステージングES の最新バージョンへのアップグレードのステージング
1. 「Splunk Enterprise Security プロセスのアップグレード」の 1 ~ 5 のステップを⾏います。2. ES 設定ヘルスダッシュボードにある情報を使って、デプロイされているバージョンの設定と Enterprise
Security の最新リリースをすり合わせます。
インストーラーは⾃動的に廃⽌された App やアドオンを無効にします。ステージングインスタンスでメッセージにアラートが表⽰され、廃⽌予定の項⽬が特定されます。廃⽌された App やアドオンを⼿動で EnterpriseSecurity インストレーションから削除しなければなりません。
アップグレード済みの ES のインストールのデプロイヤーへの移⾏アップグレード済みの ES のインストールのデプロイヤーへの移⾏
ステージングインスタンスのアップグレード済みコンテンツをデプロイヤーに移⾏し、サーチヘッドクラスタメンバーにデプロイします。
1. ステージングインスタンスで $SPLUNK_HOME/etc/apps をデプロイヤーの $SPLUNK_HOME/etc/shcluster/apps にコピーします。
2. アップグレードやステージングの最中に、デプロイヤーで $SPLUNK_HOME/etc/shcluster/apps にある廃⽌予定のApp やアドオンをすべて削除します。
クラスタメンバーへの変更のデプロイクラスタメンバーへの変更のデプロイ
デプロイヤーで-preserve-lookups true を使って、クラスタメンバーで⽣成されたルック アップ ファイルの内容を維持しながら、Enterprise Security をデプロイします。詳細は『分散サーチ』マニュアルの「App のアップグレードでのルックアップファイルの維持」を参照してください。
サーチクラスタの設定の検証サーチクラスタの設定の検証
デプロイヤーの Enterprise Security のコピーがサーチヘッドクラスタメンバーに分散された後、ES 設定ヘルスダッシュボードを使って、クラスタで複製したナレッジオブジェクトと最新の Enterprise Security のインストールを⽐較します。
1. サーチヘッドクラスタメンバーの Splunk Web にログインします。2. Enterprise Security を開く。3. Enterprise Security のメニューバーで、[監査] > [ES の設定ヘルス][監査] > [ES の設定ヘルス] を選択します。4. 潜在的な対⽴がないか確認し、デフォルトの設定に変更します。
23
『ユーザー』マニュアルの「ES の設定ヘルス」を参照してください。
既存のサーチヘッドのサーチクラスタへの移⾏既存のサーチヘッドのサーチクラスタへの移⾏
Enterprise Security のスタンドアロンサーチヘッドやサーチヘッドプールメンバーは、サーチヘッドクラスタに追加できません。サーチヘッドクラスタへ ES の設定を移⾏するには:
1. 以前の ES のインストールでのカスタム設定と変更を特定します。2. 新しいサーチヘッドクラスタを実装します。3. 最新バージョンの Enterprise Security をサーチヘッドクラスタにデプロイします。4. カスタマイズされている設定を確認します。サーチヘッドクラスタ デプロイヤーに移⾏し、クラスタメン
バーで複製します。5. ES の古いサーチヘッドを閉じます。
設定の移⾏についての詳細は『分散サーチ』マニュアルの「スタンドアロンのサーチヘッドからサーチヘッドクラスタへの移⾏」を参照してください。
Splunk Enterprise Security のデプロイ移⾏計画のサポートについては、Splunk プロフェッショナル サービスチームまでお問い合わせください。
24
