こんにちは。SB C&Sの横山です。

本ブログでも何度か取り上げているSplunk。今回はそのSplunkから出ているPhantomについてご紹介したいと思います。

Phantomの概要

PhantomとはSplunk社が出しているSOAR製品です。そもそもSOARってなに？という方はまずこちらをチェック。Phantomでは自動化はもちろん、各種APIと連携したオーケストレーション機能が充実しています。これにより多数の他社製品/サービスとの連携が可能となり、より効率的なオペレーションが実現できます。

Dashboard

こちらがPhantomのDashboardです。運用者はこの画面から現在のインシデント対応状況や、連携サービスのヘルスチェックのステータスなどが確認出来ます。また、Phantomによって実施されたコスト削減やオペレーション時間の削減なども表示されます。
表示内容はユーザがカスタマイズ可能ですのでそれぞれの運用方法に合った必要な情報を表示させることが可能です。


PhantomのDashboard 表示内容はカスタマイズ可能

Playbook

Phantomでは手順書をPlaybookと呼んでいます。各々の運用に合わせてPlaybookを作成することでPhantomにて対応することが出来ます。

Playbook作成例：マルウェアメール判定

Playbookの作成

PlayBookの作成はGUIから行うことが可能です。多数のAppsと呼ばれるものがPhantom上で提供されており、簡単に他サービスとの連携が可能です。

連携したいサービスのAppsを選択し、連携先の情報(API TOKENなど)を入力すれば連携が完了。

さらにApps毎に複数のActionが定義されており、Playbookの作成時に行いたいActionを選択すれば完了。

Phantomのカスタマイズ

Phatnomはpythonを利用して作られており、項目ごとにソースコードを確認することが出来ます。また自身でコードを書いてカスタマイズすることも可能です。標準で搭載されていない機能や、さらに拡張した機能が必要な場合に利用可能です。

デバッグを取ることも可能です。処理が失敗した場合の問題の切り分け時や、Playbook作成時の動作確認などの場面で有用です。

まとめ

今回はSplunkが出しているSOAR製品、Phantomを紹介致しました。みなさまの運用フローに合わせたPlaybookを作成することで、今よりも効率的で簡単な運用につなげることが出来るかもしれません。ぜひ一度ご検討頂いてはいかがでしょうか。