Splunkでドリルダウンを便利にするdependsパネルの使用法

前回の記事では、ドリルダウンを使用して外部ウェブリソースとの簡単な統合を検討しました。まだ見ていない方は、以下のリンクを参照してください: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/今日は、Splunk のドリルダウンのもう一つの興味深いバリエーション、依存パネルの使用法をご紹介します。

Splunk における依存パネル: ダッシュボードでのドリルダウンの面白い使用法

ダッシュボードテーブルのイベントに関して、より詳細な情報を得る必要がよくあります。そのために、別のイベントへのドリルダウンを行い、さらなる調査を進めます。

例えば、私たちのサービスに対してブルートフォース攻撃が行われる可能性があることを示すイベントが表示されているテーブルがあります。

それらのイベントの検索は以下の通りです:

ダッシュボードのテーブルには、1つのホストから Splunk サーバーへの認証を試み、認証が11回失敗したことが示されています。10.10.30.30ホストから Splunk サーバーへのユーザー認証をブルートフォースしようとした可能性があります。

さて、それではそのホストの詳細な調査のためにネットワーク統計を見ましょう。この場合、このテーブルからソーストークンによる別のテーブルへのドリルダウンを使用するのが便利です – ドリルダウンパネル、検索をクリックすると右側に表示されるテーブルです。右側にはそのホストからのすべての接続が見えます（これは依存パネルの例です）。

そのため、接続情報を持つ2番目のテーブルパネルを作成し、それをダッシュボードに保存する必要があります:

index=* tag=network src_ip=10.10.30.30 | table _time src_ip dest_ip dest_port

これで独立した検索を持つ2つの独立したパネルがダッシュボード上にあります:

ダッシュボードのソースコードは次の通りです:

では、1番目のテーブルのsrcフィールドをクリックで2番目のテーブルが現れるようにし、1番目のテーブルの値を2番目のテーブルに代入するようにします。

最初のパネルからトークン “src_ip_brute” を宣言:

    <drilldown>

      <set token=”src_ip_brute”>$row.src$</set>

    </drilldown>

2番目のテーブルでこのトークンの値を使用します:

index=* tag=network src_ip=$src_ip_brute$ | table _time src_ip dest_ip dest_port

それでは、パネルタグに ‘depends’ オプションを追加する必要があります。ダッシュボードのソースは次の通りです:

その結果、最初のパネルの検索をクリックした場合にのみ表示される値の代入された2番目のパネルが得られます:

この記事では、パネルとダッシュボードの構築のもう一つの面白い機能を研究し、イベントの詳細に焦点を当てて他のイベントから追加情報を得ることができることを学びました。ドリルダウンを作成する特定のケースを説明しましたが、この方法を使用して、すべてのダッシュボードやグラフをより有益にし、すべてのインシデント調査を促進し、迅速化することができます。