SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

~SOAR製品~ Splunk Phantomのご紹介

セキュリティ
2020.01.16

こんにちは。SB C&Sの横山です。

本ブログでも何度か取り上げているSplunk。今回はそのSplunkから出ているPhantomについてご紹介したいと思います。

Phantomの概要

PhantomとはSplunk社が出しているSOAR製品です。そもそもSOARってなに?という方はまずこちらをチェック。Phantomでは自動化はもちろん、各種APIと連携したオーケストレーション機能が充実しています。これにより多数の他社製品/サービスとの連携が可能となり、より効率的なオペレーションが実現できます。

Dashboard

こちらがPhantomのDashboardです。運用者はこの画面から現在のインシデント対応状況や、連携サービスのヘルスチェックのステータスなどが確認出来ます。また、Phantomによって実施されたコスト削減やオペレーション時間の削減なども表示されます。
表示内容はユーザがカスタマイズ可能ですのでそれぞれの運用方法に合った必要な情報を表示させることが可能です。

phantom_dashboard1.jpg
PhantomのDashboard 表示内容はカスタマイズ可能

Playbook

Phantomでは手順書をPlaybookと呼んでいます。各々の運用に合わせてPlaybookを作成することでPhantomにて対応することが出来ます。

phantom_playbook4.jpg

Playbook作成例:マルウェアメール判定

Playbookの作成

PlayBookの作成はGUIから行うことが可能です。多数のAppsと呼ばれるものがPhantom上で提供されており、簡単に他サービスとの連携が可能です。

phantom_apps1.jpg

連携したいサービスのAppsを選択し、連携先の情報(API TOKENなど)を入力すれば連携が完了。

Phantom_app2.JPG

さらにApps毎に複数のActionが定義されており、Playbookの作成時に行いたいActionを選択すれば完了。

Phantom_app2.JPG

Phantomのカスタマイズ

Phatnomはpythonを利用して作られており、項目ごとにソースコードを確認することが出来ます。また自身でコードを書いてカスタマイズすることも可能です。標準で搭載されていない機能や、さらに拡張した機能が必要な場合に利用可能です。

phantom_code.jpg

デバッグを取ることも可能です。処理が失敗した場合の問題の切り分け時や、Playbook作成時の動作確認などの場面で有用です。

phantom_debug.jpg

まとめ

今回はSplunkが出しているSOAR製品、Phantomを紹介致しました。みなさまの運用フローに合わせたPlaybookを作成することで、今よりも効率的で簡単な運用につなげることが出来るかもしれません。ぜひ一度ご検討頂いてはいかがでしょうか。

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
横山 章太郎