这一篇对应Phantom Documentation里的User Manual,主要涵盖概念以及基本的使用。
(一)概念
1. Apps:用来连接Phantom和第三方服务的,可以让Phantom接触&运行第三方的行为(actions)
2. Assets:是apps的具体实例们,通常是现实或者虚拟的设备,比如一个服务器,一个终端,一个路由器,一个防火墙。apps由Phantom admin配置,由owners管理。
3. Containers:Splunk里的各个安全事件,默认的标签(label)是Events。可以使用标签把相关的containers分组.
4. Case:是一种特殊的container可以包含其他containers,多个相关的containers可以被集合成一个case。使用举例:如果某一个安全事件有多个极其相关的containers,可以promote这些containers成一个case,再把其他相关的containers加入这个case。
5. Artifacts:Containers里的信息碎片,比如文件哈希,IP地址,邮件地址等等
6. IOC:是Phantom可以处理的最小数据,在artifact里的Common Event Format (CEF)部分
7. Playbook:分析一个配置好的asset里的数据流,并将行为(actions)自动化
8. Workbooks:被创建的工作流模版,分析师可以遵循以管理containers和cases。
9. Actions:高权限的行为,比如终止process,block掉ip。通常在playbooks里自动运行或者通过Phantom Web手动运行
(二)使用
- investigation页面: 可以查看event历史,查看文本or交互的数据,保护文件/附件,自动化case管理
- View:
- Summary View:展示一个事件的non-actionable的信息,一般给manager或者executives
- Analyst View:除了有summary view的内容,还有针对每一个事件的所有行动选项,比如运行一个playbook,添加和编辑一个workbook,查看和添加artifacts
- HUD cards: 全程collapsible heads up display,用于追踪重要的指标和信息。Splunk admin控制HUD卡的设置,用户可以customize一个事件的HUD,通过添加/移除卡,或者配置手动设计卡。三种类型:Present Metrics, Custom Fields, Manual。PM和CF由Splunk admin定义
- 管理时间的状态,严重性,和解决
- View:
![Splunk Add-on 碰到证书SSL问题[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)