Requirements
Splunk の管理者権限
Splunk サーバが Threat Events Stream (脅威イベントストリーム) と安全に通信するための SSL/TLS 証明書。詳しくは、Common CA Database を参照してください
Splunk サーバにリンクされているパブリック DNS ホスト名
ファイアウォールの設定を変更するための管理者権限 (該当する場合)
- Splunk のドキュメント Splunk Enterprise Admin Manual (Splunk エンタープライズ管理者マニュアル) に記載されているように inputs.conf ファイルを変更します。
以下のコードブロックは、inputs.conf ファイルの例です。ファイルを編集する際に、これを参考として使用することができます。
[tcp-ssl://8888]
connection_host = ip
index = wandera
source = WanderaThreat
sourcetype = syslog
disabled = 0
[SSL]
serverCert = C:\Program Files\Splunk\etc\auth\mycerts\tcpinputserver.pem
この例で、Splunk は TCP ポート 8888 で暗号化済みデータをリッスンします。サーバ証明書を強制的に使用するには、SSL スタンザが必要です。
- Splunk を再起動し、splunkd.log にエラーがないことを確認します。
- ファイアウォールは、Threat Events Stream (脅威イベントストリーム) の IP アドレスから構成済みの Splunk TCP ポートへの外部接続を許可するように構成します。
これらの IP アドレスは、Threat Events Stream (脅威イベントストリーム) 構成ページの Advanced Settings (高度な設定) で確認することができます。
- Jamf Security Cloud で、 に移動します。
- 脅威イベントストリーム (Threat Events Stream) を選択します。
- を Streaming Target (ストリーミングターゲット) として選択します。
- Splunk インスタンスに構成された Server Hostname/IP (サーバのホスト名/IP) および Port (ポート) を追加します。
- Test Configuration (構成をテスト) をクリックします。
- テストが成功した場合、切り替えボタンで Threat Events Stream (脅威イベントストリーム) を有効にすることができます。
- Save (保存) をクリックします。
これで、検出された脅威は Splunk インスタンスにリアルタイムで送信されます。サーバ証明書とキーが2つの別々のファイルにある場合、Splunk ログ (splunkd.log) エラー「キーファイルを読み取れません (Can't read key file)」が表示されることがあります。これは、次のターミナルコマンドを (この例におけるファイル server_cert.pem および server.key に対して) 使用して、その証明書とキーを 1 つにまとめることで修正することができます: