Splunk On-CallのPhantomインテグレーション 🔗
[ht_toggle title=“Requirements” id=“” class=“” style=“” ]
必須:Phantom実装環境
必須Splunk On-Callバージョン:Starter、Growth、**または**エンタープライズ
[/ht_toggle]
Phantomプラットフォームは、セキュリティインフラストラクチャのオーケストレーション、プレイブックの自動化、ケース管理機能を組み合わせ、チーム、プロセス、ツールを統合します。
Splunk On-Call (旧VictorOps)とPhantomのインテグレーションは、弊社のREST APIを使用し、お使いの環境にPhantomを実装している必要があります。以下は、インテグレーションを有効にして設定する方法についての簡単なウォークスルーです。
In Splunk On-Call 🔗
PhantomはSplunk On-Call RESTエンドポイントと統合し、Splunk On-Callでインシデントのトリガー、更新、解決を行います。
Splunk On-Callで インテグレーション >> Phantom に移動します。
インテグレーションがまだ有効になっていない場合は、インテグレーションを有効にする ボタンをクリックします。インテグレーションURLを便利な場所にコピーしてください。
また、インテグレーション >> API に移動して、Splunk On-Callの APIキー と API ID をコピーする必要があります。
これら3つの変数は、PhantomでSplunk On-Callアセットを設定するために必要です。
In Phantom 🔗
Splunk On-Call (旧VictorOps) rpmパッケージをダウンロードするには、Phantom Apps に移動し、VictorOps を検索またはスクロールして、緑色の Download ボタンを押します。Phantomのバージョンによっては、VictorOpsアプリがすでにインストールされている場合があります。
Phantom UI内から、Apps >> Install App に移動し、利用可能なウィンドウに.rpmパッケージをドロップします。VictorOpsは Unnconfigured Apps セクションで利用可能になっている場合があります。利用可能な検索バーでVictorOpsを検索することで確認できます。
次に、Apps >> Unconfigured Apps >> VictorOps >> Configure New Asset に移動します。
アセット情報 タブが開きますので、任意の アセット名 と アセットの説明 を入力してください。
次に、Asset Settings タブをクリックし、先ほどVictorOpsからコピーした API ID、API Key、Endpoint URL を入力し、Save をクリックします。
保存が完了すると、Test Connectivity というオプションが利用可能になり、すべてが正しく設定されていれば、以下のような成功メッセージが表示されます。
この時点で、正常に統合され、適用可能なプレイブックに従ってアクションを実行するようにVictorOpsアセットを設定できます。
サポートされているアクション 🔗
create incident - Splunk On-Call (旧VictorOps)でインシデントを作成 update incident - Splunk On-Callの既存のインシデントのタイムラインを更新 list teams - Splunk On-Callで設定されているチームのリストを取得 list users - Splunk On-Callで設定されているユーザーのリストを取得 list incidents - Splunk On-Callでインシデントのリストを取得 list oncalls - Splunk On-Callですべてのオンコールユーザー/チームを取得 list policies - Splunk On-Callで設定されているポリシーのリストを取得 list routing - Splunk On-Callでルーティングキーと関連チームのリストを取得