SIEM 統合
Splunk HEC または任意のカスタム HTTP エンドポイントにセキュリティイベントをストリーミングします。
リアルタイムのセキュリティイベントを SIEM にストリーミングして、一元的な監視とコンプライアンスを実現します。
サポートされている統合
| プラットフォーム | 方式 |
|---|---|
| Splunk | HTTP Event Collector (HEC) |
| Custom HTTP | 任意の HTTP/HTTPS エンドポイント |
設定
- Settings → Integrations (エンタープライズ組織のみ) を開くか、Enterprise Configuration ページに直接移動します。
- SIEM カードに、設定中のドメインが表示されます。
- SIEM Integration を有効化します。
- SIEM Type (Splunk (HEC) または Custom HTTP Endpoint) を選択します。
- エンドポイント設定を構成します (下記参照)。
- 設定を保存します。
Splunk HEC の設定
| フィールド | 説明 |
|---|---|
| HEC URL | Splunk HEC エンドポイント (例: https://splunk.example.com:8088/services/collector) |
| HEC Token | HEC の認証トークン |
| Index | 対象の Splunk インデックス (デフォルト: main) |
Custom HTTP Endpoint の設定
Splunk 以外の SIEM システムやカスタム統合の場合:
| フィールド | 説明 | デフォルト |
|---|---|---|
| Endpoint URL | イベントを送信する対象の HTTP/HTTPS URL | - |
| HTTP Method | POST、PUT、または PATCH | POST |
| Custom Headers | HTTP ヘッダーの JSON オブジェクト (認証などに使用) | {"Content-Type": "application/json"} |
| Timeout | リクエストのタイムアウト (秒) | 10 |
| Verify SSL | SSL 証明書を検証するかどうか | 有効 |
| Include Metadata | source/sourcetype/index フィールドでイベントをラップする | 有効 |
Custom HTTP ペイロード形式
Include Metadata が有効な場合、イベントは以下のように送信されます。
Include Metadata が無効な場合、生のイベントオブジェクトのみが送信されます。
ストリームモード
| モード | 値 | 説明 |
|---|---|---|
| All | all | すべてのツール呼び出しとセキュリティイベントをストリーミング |
| Security Only | security_only | セキュリティ関連のイベントのみをストリーミング (ブロック、状態変化、lethal trifecta フラグ) |
イベントの種類
Edison Watch はセッションごとのアクティビティをストリーミングします。
- Tool Calls: すべてのアクションのメタデータ (タイムスタンプ、ユーザー、ツール名、所要時間)。
- Security Events: フラグの変化 (Trifecta) と ACL 違反。
- Approvals: human-in-the-loop の判断の監査レコード。
- Admin Actions: 設定変更とユーザーロールの更新。
Common Event Format (CEF)
Splunk HEC イベントは CEF 文字列 (Common Event Format) として送信されます。
パフォーマンスと信頼性
- 非同期: イベントは fire-and-forget タスクとして送信されるため、SIEM ストリーミングがツール実行のクリティカルパスに乗ることはありません。
- ベストエフォート: SIEM エンドポイントに到達できない、または設定に誤りがある場合、イベントはドロップされる可能性があります (Edison Watch はエラーをログに記録します)。
SIEM 統合のセットアップについてサポートが必要ですか? [email protected] までメールでお問い合わせください。