Advanced SOAR Implementation | Splunk

コースの説明

この13.5時間のバーチャルコースは、SOARの経験豊富なコンサルタントで、複雑なPhantomソリューションの開発を担当する方を対象としています。SOARとSplunkの統合方法に加え、カスタムコードやREST APIを使用するプレイブックの開発方法を学ぶことができます。

コースの説明をダウンロード

インストラクター主導のトレーニングのスケジュール

スケジュールを確認

コースの前提条件

スキルとクラス：

Pythonプログラミングの経験
Splunk Phantomの管理
Splunk Phantomプレイブックの開発
Splunk Enterprise Data Administration、Splunk Enterprise System AdministrationおよびAdministering Splunk Enterprise Security、またはSplunk EnterpriseおよびSplunk Enterprise Securityの同等製品の経験

コーストピック

PhantomでのSplunkの外部サーチの使用
SplunkからPhantomへのイベントの送信
PhantomからのSplunkイベントの更新
SplunkでのPhantomレポートの実行
SplunkからのPhantomプレイブックの実行
PhantomプレイブックからのSplunkのサーチ
Phantomプレイブックでのカスタムコードの作成
PhantomプレイブックでのPhantom REST APIの使用

コースの目的

モジュール1 – SplunkとPhantomの実装

Phantom UIと概念の確認
SplunkとPhantomの相互作用の説明
主要な概念およびデータフローの確認
統合の前提条件

モジュール2 – 外部のSplunkを使う設定方法

Splunkを外部化することのメリットの説明
外部化のためのPhantomインスタンス側の設定
外部化のためのSplunkインスタンス側の設定
Splunk app for Phantom Reportingの使い方

モジュール3 – SplunkイベントをPhantomへ送信

Phantom Add-on for Splunkの設定
CIMフィールドをCEFへマッピング
Enterprise Securityの重要なイベントをPhantomへ送信
Splunkの重要なイベントに対しPhantomプレイブックを自動起動

モジュール4 – PhantomからSplunkへアクセス

Phantom App for Splunkのインストールと設定
SplunkイベントをPhantomへ取り込む
プレイブックからのSplunkサーチの使用
Splunkの重要なイベントを更新

モジュール5 – プレイブックでのカスタムコーディング

Phantomコーディングのベストプラクティス
カスタム関数ブロックの使用
カスタムコード内でPhantom APIを使用
データの永続格納と取得

モジュール6 – Phantom RESTの使用

Djangoクエリーを使用したPhantom内のデータのサーチ
RESTを使用して他のシステムからPhantomデータにアクセスする
HTTPアプリケーションを使用してプレイブックからRESTを実行する