Splunkのトレーニング + 認定

Advanced Phantom Implementation

Splunkのトレーニング + 認定に関する最新の資料(英語)はこちら

コースの説明

この3日間のバーチャルコースは、Phantomの経験豊富なコンサルタントで、複雑なPhantomソリューションの開発を担当する方を対象としています。PhantomとSplunkの統合方法に加え、カスタムコードやREST APIを使用するプレイブックの開発方法を学ぶことができます。

トレーニングスケジュール

コースの前提条件

スキルとクラス:
  • Pythonプログラミングの経験
  • Splunk Phantomの管理
  • Splunk Phantomプレイブックの開発
  • Splunk Enterprise Data Administration、Splunk Enterprise System AdministrationおよびAdministering Splunk Enterprise Security、またはSplunk EnterpriseおよびSplunk Enterprise Securityの同等製品の経験

コーストピック

  • PhantomでのSplunkの外部サーチの使用
  • SplunkからPhantomへのイベントの送信
  • PhantomからのSplunkイベントの更新
  • SplunkでのPhantomレポートの実行
  • SplunkからのPhantomプレイブックの実行
  • PhantomプレイブックからのSplunkのサーチ
  • Phantomプレイブックでのカスタムコードの作成
  • PhantomプレイブックでのPhantom REST APIの使用

コースの目的

モジュール1 – SplunkとPhantomの実装

  • Phantom UIと概念の確認
  • SplunkとPhantomの相互作用の説明
  • 主要な概念およびデータフローの確認
  • 統合の前提条件

モジュール2 – 外部のSplunkを使う設定方法

  • Splunkを外部化することのメリットの説明
  • 外部化のためのPhantomインスタンス側の設定
  • 外部化のためのSplunkインスタンス側の設定
  • Splunk app for Phantom Reportingの使い方

モジュール3 – SplunkイベントをPhantomへ送信

  • Phantom Add-on for Splunkの設定
  • CIMフィールドをCEFへマッピング
  • Enterprise Securityの重要なイベントをPhantomへ送信
  • Splunkの重要なイベントに対しPhantomプレイブックを自動起動

モジュール4 – PhantomからSplunkへアクセス

  • Phantom App for Splunkのインストールと設定
  • SplunkイベントをPhantomへ取り込む
  • プレイブックからのSplunkサーチの使用
  • Splunkの重要なイベントを更新

モジュール5 – プレイブックでのカスタムコーディング

  • Phantomコーディングのベストプラクティス
  • カスタム関数ブロックの使用
  • カスタムコード内でPhantom APIを使用
  • データの永続格納と取得

モジュール6 – Phantom RESTの使用

  • Djangoクエリーを使用したPhantom内のデータのサーチ
  • RESTを使用して他のシステムからPhantomデータにアクセスする
  • HTTPアプリケーションを使用してプレイブックからRESTを実行する