Virus TotalのSplunk用Addonであるvt4splunkを使ってみた(IPアドレス編)

Virus TotalのSplunk用Addonであるvt4splunkを使ってみたのでここに記録しておきます。

vt4splunkにIPアドレスを直接渡す

vt4splunkをSplunkにインストール後、Search画面から以下のコマンドを打つと、testipで指定したIPアドレスに対する Virus Totalでの評価結果を検索結果の一部として表示することができるようになります。

| makeresults
| eval testip="8.8.8.8"
| vt4splunk ip=testip
Splunk サーチ実行結果1

念のため、Virus Totalでも 8.8.8.8 の評価結果を確認したところ、上記と同じく2/88という結果が得られました。

Virus Total

vt4splunkに検索結果を渡す

なお、上の方法を応用し、以下のようにあるsourcetype で httpの通信が 400(Bad Request)であったログを検索し、その検索結果の中の”dest_ip”をIPアドレスとしてvt4splunkに渡すことも可能でした。

sourcetype="stream:http" status=400
| vt4splunk ip=dest_ip
| table _time,dest_ip, vt_detections,vt_total_engines,vt_reputation,vt_info

なお、この実行結果は以下の通りです。

Splunk サーチ実行結果2

<参考文献>

hiro_ さんのツイート(https://twitter.com/papa_anniekey/status/1593064221235097600)

種から育てたサンダルウッド(白檀・ビャクダン )今年も元気に新芽が出てきました

k2-ornataのkuroです。

ベランダで育てているサンダルウッド、今年も無事に春を迎え元気に動き出しました!

たくさんの新芽が出てきています。かわいいです。。
写真は摘心前です。このあと、心を鬼にしてプチっと新芽をちぎりました。。

次から次へと新芽が出てきています

6年前の夏、ベランダの鉢にサンダルウッドの種を8粒撒きました。
その2か月後、8粒のうち2つ芽が出て、そのうちの1つがなんとか生き残り、写真のとおり高さ110センチメートルまで育ちました。幹の太さは根元で17ミリほどです。

サンダルウッドはインド原産のビャクダン科の熱帯性常緑樹で、その生態は少し、、というかかなり変わっています。
半寄生植物といって、他の植物(寄主)の根に自分の根の吸盤を吸い付けて寄生し、成長過程によって寄主を変えていきます。
寄生される寄主については情報が少なくて正確ではありませんが、私が調べた限りでは、イネ科、マメ科、アオイ科、タケ類、ヤシ類、モクマオウ、アカシア類、あとはインドセンダン(センダン科)やタイワンネム(マメ科)などのようです。

発芽してから一年ほどは単独で成長しますので、私も一年間単独で育てたあと、いろいろな植物を寄主にしては・・・失敗を繰り返し、やっと今のアカシア・ブルーブッシュに落ち着きました。今年4年目ですが、とても相性が良いようで仲良く育ってくれています。
ですが、少し前に何かの記事でアカシア・ブルーブッシュは元気であっても数年で突然枯れることがあるらしいことを知りました。ショックです。
いま次の寄主をリサーチ中ですが、アロマでも有名なキク科ヨモギ属のダバナという植物が原産地のインドではサンダルウッドのそばに生えているそうで、、とっても気になっています。

↓↓関連記事です。よろしければご覧ください。↓↓

http://k2-ornata.com/sandalwood_flower/
http://k2-ornata.com/seed_sandal_wood/

初めてのスマートウォッチ!SHANG WINGを使ってみました

K2-ornataのkuroです。

今までスマートウォッチというものにまったく興味がありませんでした。
むしろなんかダサいとさえ思っていました。失礼。
ところが少し前、駅で見かけたすてきな女性がスマートウォッチらしきものを腕にしているのを見て、なんだか素敵。。と思ってしまい、ついに手に入れました。

SHANG WINGのスマートウォッチ。中国メーカーのようです。

SHANG WINGのスマートウォッチ

ピンク色で可愛いです。
本体は軽く、ベルトは薄くてとても柔らかい素材でできており、腕にしたときに違和感や圧迫感がありません。この手の時計はだいたい着け心地がよくないことが多いので期待していなかったのですが、予想外でした。とても快適な着け心地です。
また、私は金属アレルギー持ちなので金属部分が肌にあたるとすぐにかゆくなってしまうのですが、こちらはベルトの金具の一部がほんの少しだけ肌に当たるくらいで他はまったく金属があたらないのもうれしいポイントです。ちなみに、替えベルトが1本付属していました。汚しても安心です。

【主な機能】
<スマートウォッチ単体>
・時計機能(アラーム、タイマー、ストップウォッチ)
・健康管理機能(心拍数、SpO2、睡眠など)
・スポーツウォッチ機能(エクササイズの種類が選べます)

<スマホと連携>
・天気予報
・音楽のコントロール機能(ON/OFF、音量、早送り/戻る)
・メール、電話、LINEなど(受信のみ)

<便利機能>
・スマホを探す機能
・活動促進の通知(じっとしていないで動きましょう、という通知)
・水分補給のリマインダー  

・・・などなど

あとちょっと注意ですが、スピーカーとマイクはついていません。
通知はバイブレーションで知らせてくれます。
ですので、もしスマホを持たずにスマートウォッチだけで音楽を聴いたり通話したい方には不向きだと思います。

私は主に散歩するときに使用しています。
音楽を聴いている時、曲名を見たくてたまにスマホを取り出して見ることがあるのですが、これが腕時計で確認できるのが小さなことですが意外に便利でした。スマホを取り出すとき落とさないよういつも注意していたので、その心配もなくなりました。
あと、こんなに小さな画面ですがLINEの受信表示もちゃんとできるところがなんだか可愛らしくて気に入っています。

さっそく文字盤の画像を変更しました
表示は日本語のみ・・・


ですが、、ひとつだけ気に入らないことがあります。
それは、文字表示が日本語のみで変更設定ができないことです。
漢字の字体なんかもいまひとつで気分が上がりません!
それに「ヘルプ」が「助けて」になっていたり、、それはそれで楽しいのですが。
今後、他の言語や表示も選択できるようにしてくれることを期待しています。

MISP と Splunk をREST APIで連携させて、特定のイベントのMD5をSplunk上に表示させてみた

MISP で集めたIoCをうまくSplunkで活用できないかと思い、まずはSplunk上で MISP からとってきた特定イベントの IoC(MD5)を表示させてみました。

なお、これから説明する手順の前準備として、SplunkとMISPを連携させる為に、MISPのApp(MISP42)をSplunkにインストールしています。

1.MISPのインスタンスを作成

MISPのAppのメニューバーから「設定」を選択後、「追加」ボタンを押します。

Splunk – MISP42 App

すると以下の設定画面が表示されますので、MISPの「URL」「API Key」を設定します。

なお「Check MISP Certificate」のチェックは今回テスト利用の為、外しておきました。

Splunk – MISP42 App

2.MISPのイベントIDを検索

MISPのAppのメニューバーの「MISP CUSTOME COMMAND」のプルダウンから「MISP custome command mispgetioc」を選択すると以下の画面が表示されます。

今回は赤枠の「misp instance」「eventid」「タイプ」を設定し「実行」ボタンを押してます。

Splunk – MISP42 App

すると画面の下の方に検索結果が表示され、MISP と同じ情報が表示されていることが確認できました。

Splunk – MISP42 App

これとSplunkのログを突き合わせることができれば、悪性のIoCをキーにアラートが出せそうです。

MISP にてIoCを集めてみたがダッシュボードのどこに記載されているかわかりにくかった件

諸事情により先日、MISP をインストールして画面を触ってみたのですが、ぱっと見、どこにIoCが格納されているのかわかりづらかったので、ここに記載しておきます。

1.イベントIDをクリック

MISPのトップページ(Home)にてEventリストが表示されていると思いますので、その項目の中からIoCを確認したいEventの「ID」をクリックします。

MISPダッシュボード1

このEventが個々の脅威と考えてようさそうです。

2.イベント画面を下にスクロール

Eventの「ID」をクリックするとそのEventの詳細情報が表示されますので、画面を下にスクロールさせます。

MISPダッシュボード2

3.IoCを確認

すると、マルウェアのハッシュや Virus Totalのレポートへのリンクと思われる情報を見つけることができます。

MISPダッシュボード3

Splunkのlookupファイルの内容を表示させてみた

Splunk に入っている lookupファイルの中身の確認の仕方がわからなかったので、操作方法を確認してみました。

1.設定からルックアップを選択

メニューバーの「設定」から「ルックアップ」を選択を選択します。

Splunkコンソール1

2.ルックアップテーブルファイル

すると以下の「ルックアップ」画面が表示されるので、その中から「ルックアップテーブルファイル」を選択します。

Splunkコンソール2

3.ルックアップファイル名の確認

後ほどSPL言語で中身を表示させるルックアップファイルのファイル名を確認しておきます。(ここでは、「miter_techniques.csv」)

Splunkコンソール3

4.Search & Reporting Appを選択

画面左ペインから「Search & Reporting」Appを選択します。

Splunkコンソール4

5.lookupファイルの内容を表示

サーチ用のテキストフィールドから以下のコマンドを入力し、ルックアップファイルの内容を表示させます。

| inputlookup mitre_techniques.csv
Splunkコンソール5

紫陽花の季節限定 鎌倉建長寺で豪華な御朱印をいただいてきました

K2-ornataのkuroです。

先日、鎌倉へハイキングへ行ってきました。
北鎌倉の建長寺から出発する天園ハイキングコースですが、そこで紫陽花の季節限定の御朱印をいただいてきました。

鎌倉建長寺 季節限定の御朱印 見開きサイズ(1,000円)

見開きサイズにどーんと大きな紫陽花、紫色のグラデーションがとても素敵です。
お値段は1,000円と高めですが、このサイズでこの豪華さ、迷わず買ってしまいました。折れ曲がらないように台紙と一緒に紙の封筒に入れてくれたので、リュックの中でぐちゃぐちゃになることもなく持ち帰ることができました。

さっそく家に帰ってから紙でいただいた御朱印を自分の御朱印帳に貼りました。
最近は御朱印帳を持ち歩かなくても紙でいただけるところが増えてきて、少しでも荷物を減らしたいハイキングの時などはとてもありがたいです。
個人的には自分の御朱印帳に直接いただく方が特別感があってうれしいですが。。

Power Automate(無償版)で作成したフローを定期的に実行する

以下サイトを参考にさせていただき、Power Automate(無償版)で作成したフローをWindows のタスクスケジューラで自動起動させてみました。

参考サイト
[Power Automate Desktop]名前を指定してフローを実行するPowerShellスクリプト(初心者備忘録)
https://www.ka-net.org/blog/?p=13647

【DX】PowerAutomate Desktop無料版を自動定期実行してみた!(株式会社エアリー)
https://note.com/airily_inc/n/n6ab8b688d4ad?utm_source=pocket_saves

基本的に上記サイトのとおり実施すれば、Power Automateのフローを指定した時間や定期的に起動させることができますが、一点注意事項がありましたので記載しておきます。

外部入出力変数を設定している場合

フローに対して外部からデータを渡している場合、タスクスケジュールで Power Automateのフローを自動起動させたとしても、以下のように入出力変数の確認画面が表示され止まってしまいます。

Power Automate – 外部入出力変数

この回避のために入出力変数を機密情報扱いにしたり、ピン留めしたししてみましたがそれでは回避できないようです。

したがって、今のところ自動起動させたいフローがあった場合、入出力変数は使わない(直接アクションに埋め込むか、ファイルなどから読み込むか)ようにするしかないかと考えています。

SplunkのSPLで検索対象とするログの時間帯を指定する

Splunkでログを検索するときに、検索フィールドの横にある選択リスト?から対象となるログの時間帯を選ぶことが多いですが、SPLで直接指定する方法もあると思い調べてみました。

以下のように記載すると、10年前から1年前までのログを検索してくれるようです。

index=botsv1 earliest=-10y@y latest=-1y@y

なお、以下のように記述すると、統計的に20件以上発生しているsrc_ip をトップから表示してくれます。

index=botsv1 earliest=-10y@y latest=-1y@y| top limit=20 src_ip

また table を利用すると項目を絞って(以下の例の場合、_time, app, dest_ipのみ)ログを表示してくれます。

index=botsv1 earliest=-10y@y latest=-1y@y
| table _time, app, dest_ip

Power Automate で Splunkの操作を自動化してみた

Power Automate のブラウザ操作機能で実際に Splunk のWeb画面をどこまで操作できるか試してみました。

試してみる前は Power Automateのレコーダー機能で何も考えずにできてしまうのではないかと楽観視していましたが、そうすんなりいかないことがわかりました。

ただし、コツさえつかめば比較的簡単に解決できるようなので、Power Automateはやはり自動化しやすいなという思いを新たに持ちました。

1.ブラウザ操作をレコーダーで記録

まずざっとPower AutomateのレコーダーでSplunkの操作を記録した結果は以下の通りです。

Power Automate – レコーダー記録直後

この中からまずは不要そうなアクションを削除します。具体的には赤枠でかこった部分が不要と思われる部分です。

2.とりあえず動かしてみる

不要そうなアクションを削除した後とりあえず動かしてみると、まず以下の赤枠で囲われた部分で処理がエラーになりました。

Power Automete – Error 1

3.エラー部分のUI要素を編集する

具体的には、ログの検索時間を「最新24時間」から「全時間」変えるところで失敗しています。

Splunk 自動化失敗箇所1

そこで、Power Automateの右端のアイコンメニューの内、上から2つ目の「UI要素」を選択し、「Anchor ‘全時間’」となっている部分を確認することにします。

Power Automate – UI要素

「Anchor ‘全時間’」部分から右クリックでメニューを表示させ、そこから「編集」を選びます。

Power Automate – UI要素 – 編集

すると以下の通り複数の要素が選択されている状態になっていますので、とりあえず一番したの「Anchor ‘全時間’」だけ選択された状態にします。

Power Automate – UI要素2

結果として下部の「セレクターをプレビューする」が「a[Text=”全時間”]」とシンプルな形になります。

Power Automate – UI要素3

これで保存すると、処理を流したときにうまく「全時間」を選択してくれるようになりました。

4.再度動かしてみる

そこで再度動かしてみましたが、今度はテキストフィールドを選択するところでエラーになりました。

Power Automate – Error 2

おそらくDiv の後ろの “id-“が動的なUI要素として生成されているからではないかと思われます。

5.エラー部分の動的なUI要素に対処する

具外的にはSplunk画面の以下の赤枠部分のテキストフィールド選択が失敗しています。

Splunk 自動化失敗箇所2

そこで、エラーが出ていたアクションの編集画面を右クリックで表示し、以下の画面のようにUI要素として「Text area ‘サーチ’」を選択します。

Power Automate – UI要素の変更

こうすることで以下のとおりアクションの表示が変わりますが、よく見てみると「Test area ‘サーチ’に”を入力する」となっており、テキストフィールドに入力したはずのSPL文が入っていません。

Power Automate – 入出力変数1

そこで右上の赤枠の通り、「入出力変数」から「入力」を選択し新しい入出力変数としてSPL文を設定しておきます。

Power Automate- 入出力変数2

この入出力変数(NewInput)を設定してくことで、下図の通り先ほどのアクションの編集画面から入力値として NewInput を選択できるようになります。

Power Automate- 入出力変数3

これで、NewInput の値を変えるだけで、いろいろなSPLを検索することができるようになりますね。

Power Automate – 完成

6.自動化成功

最終的に最後まで自動化した結果が以下の通りです。

Splunk自動化結果

SPL で表示した結果をCSV でローカルに保存するところまで自動化できました。