Splunk On-CallのRapid7インテグレーション 🔗
Rapid7は、企業が最も重要なことに集中できるよう、接続環境全体のリスクを軽減します。
要件 🔗
必須Splunk On-Callバージョン:Starter、Growth、またはエンタープライズ
Splunk On-Callを設定する 🔗
メインのタイムラインから、Integrations、3rd Party Integrations、Rapid7 の順に選択します。
Enable Integration を選択します。次のステップで使用するため、URLをコピーして通知します。
Settings を選択し、次に Routing Keys を選択して、ルーティングキー設定を見つけます。このインテグレーションで使用するルーティングキーを決定し、それが正しいエスカレーションポリシーに関連付けられていることを確認します。ルーティングキーの詳細については、Splunk On-Callでルーティングキーを作成する を参照してください。
Rapid7でデータエクスポーターを設定する 🔗
Rapid7のダッシュボードから、Data Collection を選択します。
Setup Event Source を選択し、次に Add Event Source を選択します。
Security Data セクションで Data Exporter アイコンを選択します。「イベントソースの追加」パネルが表示されます。
コレクターとイベントソースを選択します。必要であれば、イベントソースに名前を付けることもできます。
Splunk On-CallからコピーしたURLを入力します。セキュリティ上の理由から、Rapid7では可能な限りHTTPSプロトコルを使用することを推奨しています。
シークレットがまだ提供されていない場合は、Secret フィールドに入力してください。
(オプション)InsightIDRからアセット固有のアラートをエクスポートするには、Alerts を選択します。
(オプション)選択してすべての証明書と自己署名証明書を信頼します。
Save を選択します。
データエクスポーターはこれで設定され、2種類のメッセージを送信します。
URLが機能していることを確認するための
testイベントです。このメッセージは、Webhookデータエクスポーターが開始されたとき、または設定が変更されたときに表示されます。idr_alertイベント。このタイプのメッセージは、InsightIDRでアラートがトリガーされるたびに表示され、イベントにアラートに関する情報が含まれます。各イベントタイプの詳細は、Rapid7 ドキュメント https://docs.rapid7.com/insightidr/webhook を参照してください。