タイトルのとおり、SplunkのAddonとして提供されているAbuseIPDB Check をSplunkにインストールして軽く使ってみましたので、その時の操作をここに記録しておきます。
1.Addonのダウンロード
以下のサイトからAbuseIPDB Check の Addonをダウンロードできますので、Splunkサイトにログインの上、ダウンロードします。
https://splunkbase.splunk.com/app/4903
2.Addonのインストール
Splunkダッシュボードの左上にある「Appの管理」(歯車マーク)をクリックし、Appの管理画面の右上にある「ファイルからAppをインストール」から、1.でダウンロードした tgzファイルをインストールします。
3.config.jsonファイルをコピー&編集
Macの場合、/Applications/Splunk/etc/apps/abuseipdb_check フォルダにAppの本体がインストールされます。
さらにその配下の defaultフォルダにconfig.json ファイルが置かれていますので、 defaultフォルダと同じ階層にある localフォルダにコピーします。
cd /Applications/Splunk/etc/apps/abuseipdb_check/default/ cp config.json ../local
そして、localフォルダにコピーしたconfig.jsonファイルを編集します。
config.jsonファイルを vi などで開くと以下の通り書かれていますので、「yourkeyhere」の部分の AbuseIPDBサイトの自分のアカウントからとってきた API Keyに置き換えます。
{ "abuseip": [ { "api_key": "yourkeyhere" } ] }
4.Splunkの再起動
3.まで実施したら以下のコマンドでSplunkを再起動します。
/Applications/Splunk/bin/splunk restart
5.AbuseIPDB Check App確認
Splunk が再起動したら、再度「Appの管理」を確認すると、以下の通りAbuseIPDB Checkが登録されているはずです。
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_abuseipdb_app_install_01.jpg)
6.abuseipコマンドを試してみる
これで AbuseIPDB Check Appの abuseip コマンドが利用できるようになっているはずですので、以前対応した Virus Totalの vt4splunk と同じ要領で指定したIPの評価をAbuseIPDBからとってきます。
| makeresults | eval testip="8.8.8.8" | abuseip ipfield=testip
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_abuseipdb_app_install_02-1024x389.jpg)
なお、Virus Totalと同時に評価をとってくることも可能なようです。
| makeresults | eval testip="8.8.8.8" | abuseip ipfield=testip | vt4splunk ip=testip
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_abuseipdb_app_install_03-1024x499.jpg)
ちょっとテーブルの体裁を整えてみたのがこちら。
sourcetype=stream:http | vt4splunk ip=dest_ip | abuseip ipfield=dest_ip | table _time,dest_ip, AbuseConfidence, vt_detections,vt_total_engines,vt_reputation
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_abuseipdb_app_install_04-1-1024x616.jpg)
いい感じにAbuseIPDB と Virus Total の評価結果が表示できていると思います。
<参考サイト>
splunkbase AbuseIPDB Check(https://splunkbase.splunk.com/app/4903)
AbuseIPDB Splunk+AbuseIPDB(https://www.abuseipdb.com/splunk)
![](http://image.moshimo.com/af-img/0068/000000004159.gif)
コメントを残す