第11章 Splunk との統合
Splunk を使用している場合は、Red Hat Advanced Cluster Security for Kubernetes から Splunk にアラートを転送し、Splunk 内から脆弱性とコンプライアンスに関連するデータを表示できます。
ユースケースに応じて、次の方法を使用して、Red Hat Advanced Cluster Security for Kubernetes を Splunk と統合できます。
Splunk で、using an HTTP event collector による
- イベントコレクターオプションを使用して、アラートと監査ログデータを転送します
using the StackRox Kubernetes Security Platform add-on による
アドオンを使用して、脆弱性の検出とコンプライアンスのデータを Splunk に取り込みます
注記StackRox Kubernetes Security Platform アドオンは、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.51.0 以降を使用している場合にのみ使用できます。
これらの統合オプションの一方または両方を使用して、Red Hat Advanced Cluster Security for Kubernetes を Splunk と統合できます。
11.1. HTTP イベントコレクターの使用
HTTP イベントコレクターを使用して、Red Hat Advanced Cluster Security for Kubernetes から Splunk にアラートを転送できます。
HTTP イベントコレクターを使用して Red Hat Cluster Security for Kubernetes を Splunk と統合するには、次の手順に従います。
- Splunk に新しい HTTP イベントコレクターを追加し、トークン値を取得します。
- トークン値を使用して、Red Hat Advanced Cluster Security for Kubernetes で通知を設定します。
- 通知を送信するポリシーを特定し、それらのポリシーの通知設定を更新します。
11.1.1. Splunk に HTTP イベントコレクターを追加する
Splunk インスタンスの新しい HTTP イベントコレクターを追加し、トークンを取得します。
手順
- Splunk ダッシュボードで、Settings → Add Data に移動します。
- Monitor をクリックします。
- Add Data ページで、HTTP Event Collector をクリックします。
- イベントコレクターの Name を入力し、Next > をクリックします。
- デフォルトの Input Settings を受け入れて、Review > をクリックします。
- イベントコレクターのプロパティーを確認し、Submit > をクリックします。
- イベントコレクターの Token Value をコピーします。このトークン値は、Red Hat Advanced Cluster Security for Kubernetes で Splunk との統合を設定するために必要です。
11.1.1.1. HTTP イベントコレクターの有効化
イベントを受信する前に、HTTP イベントコレクタートークンを有効にする必要があります。
手順
- Splunk ダッシュボードで、Settings → Data inputs に移動します。
- HTTP Event Collector をクリックします。
- Global Settings をクリックします。
- 開いたダイアログで、Enabled をクリックし、Save をクリックします。
11.1.2. Red Hat Advanced Cluster Security for Kubernetes での Splunk 統合の設定
トークン値を使用して、Red Hat Advanced Cluster Security for Kubernetes に新しい Splunk 統合を作成します。
手順
- RHACS ポータルで、Platform Configuration → Integrations に移動します。
- Notifier Integrations セクションまでスクロールダウンし、Splunk を選択します。
-
New Integration (
addアイコン) をクリックします。 - Integration Name の名前を入力します。
-
SplunkURL を HTTP Event Collector URL フィールドに入力します。HTTPS の場合は
443、HTTP の場合は80でない場合は、ポート番号を指定する必要があります。また、URL の最後に URL パス/services/collector/eventを追加する必要があります。たとえば、https://<splunk-server-path>:8088/services/collector/eventです。 HTTP Event Collector Token フィールドにトークンを入力します。
注記Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.57 以降を使用している場合は Source Type for Alert イベントと Source Type for Audit イベントのソースタイプを指定できます。
-
Test (
checkmarkアイコン) を選択してテストメッセージを送信し、Splunk との統合が機能していることを確認します。 -
Create (
saveアイコン) を選択して、設定を作成します。
11.1.3. ポリシー通知の設定
システムポリシーのアラート通知を有効にします。
手順
- RHACS ポータルで、Platform Configuration → Policies に移動します。
- アラートの送信先となるポリシーを 1 つ以上選択します。
- Bulk actions で Enable notification を選択します。
Enable notification ウィンドウで、Splunk notifier を選択します。
注記他の統合を設定していない場合、システムは通知機能が設定されていないメッセージが表示します。
- Enable をクリックします。
- Red Hat Advanced Cluster Security for Kubernetes は、オプトインベースで通知を送信します。通知を受信するには、最初に通知機能をポリシーに割り当てる必要があります。
- 通知は、特定のアラートに対して 1 回だけ送信されます。ポリシーに通知機能を割り当てた場合、違反によって新しいアラートが生成されない限り、通知は受信されません。
Red Hat Advanced Cluster Security for Kubernetes は、次のシナリオに対して新しいアラートを作成します。
- ポリシー違反は、デプロイメントで初めて発生します。
- ランタイムフェーズのポリシー違反は、そのデプロイメントのポリシーに対する以前のランタイムアラートを解決した後のデプロイメントで発生します。
