タイトルのとおり、SplunkのAddonとして提供されているAbuseIPDB Check をSplunkにインストールして軽く使ってみましたので、その時の操作をここに記録しておきます。
1.Addonのダウンロード
以下のサイトからAbuseIPDB Check の Addonをダウンロードできますので、Splunkサイトにログインの上、ダウンロードします。
https://splunkbase.splunk.com/app/4903
2.Addonのインストール
Splunkダッシュボードの左上にある「Appの管理」(歯車マーク)をクリックし、Appの管理画面の右上にある「ファイルからAppをインストール」から、1.でダウンロードした tgzファイルをインストールします。
3.config.jsonファイルをコピー&編集
Macの場合、/Applications/Splunk/etc/apps/abuseipdb_check フォルダにAppの本体がインストールされます。
さらにその配下の defaultフォルダにconfig.json ファイルが置かれていますので、 defaultフォルダと同じ階層にある localフォルダにコピーします。
cd /Applications/Splunk/etc/apps/abuseipdb_check/default/ cp config.json ../local
そして、localフォルダにコピーしたconfig.jsonファイルを編集します。
config.jsonファイルを vi などで開くと以下の通り書かれていますので、「yourkeyhere」の部分の AbuseIPDBサイトの自分のアカウントからとってきた API Keyに置き換えます。
{
"abuseip": [
{
"api_key": "yourkeyhere"
}
]
}
4.Splunkの再起動
3.まで実施したら以下のコマンドでSplunkを再起動します。
/Applications/Splunk/bin/splunk restart
5.AbuseIPDB Check App確認
Splunk が再起動したら、再度「Appの管理」を確認すると、以下の通りAbuseIPDB Checkが登録されているはずです。
6.abuseipコマンドを試してみる
これで AbuseIPDB Check Appの abuseip コマンドが利用できるようになっているはずですので、以前対応した Virus Totalの vt4splunk と同じ要領で指定したIPの評価をAbuseIPDBからとってきます。
| makeresults | eval testip="8.8.8.8" | abuseip ipfield=testip
なお、Virus Totalと同時に評価をとってくることも可能なようです。
| makeresults | eval testip="8.8.8.8" | abuseip ipfield=testip | vt4splunk ip=testip
ちょっとテーブルの体裁を整えてみたのがこちら。
sourcetype=stream:http | vt4splunk ip=dest_ip | abuseip ipfield=dest_ip | table _time,dest_ip, AbuseConfidence, vt_detections,vt_total_engines,vt_reputation
いい感じにAbuseIPDB と Virus Total の評価結果が表示できていると思います。
<参考サイト>
splunkbase AbuseIPDB Check(https://splunkbase.splunk.com/app/4903)
AbuseIPDB Splunk+AbuseIPDB(https://www.abuseipdb.com/splunk)
コメントを残す