2022-11-23

TA-dmarc add-on for Splunk でDMAR結果の表を作る

   TA-dmarc add-on for Splunk | Splunkbase を使って表を作ります


DMARCレポートをどんなダッシュボードで表現するかを考えるときは、データを眺めるのが一番ですよね。というわけで一覧表示してみましょう。

sourcetype="dmarc:json"
| rename feedback{}.record.row.policy_evaluated.disposition as disposition
| rename feedback{}.record.row.source_ip as source_ip
| rename feedback{}.report_metadata.org_name as org_name 
| rename feedback{}.record.row.count as count
| rename feedback{}.record.row.policy_evaluated.reason.comment as comment
| rename feedback{}.record.row.policy_evaluated.dkim as dkim
| rename feedback{}.record.row.policy_evaluated.spf as spf
| eval dmarc = if(IN(dkim,"pass") OR IN(spf,"pass"),"pass","fail") 
| table disposition, source_ip, org_name,count, dmarc, comment, dkim, spf

TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"

表の列名の為にフィールド名を変更します。
正直なところこの書き方がスマートなのかは疑問ですが、TA-dmarcのフィールド名が長いのでとりあえず省略しないとつらいんですよね。
| rename feedfeedback{}.record~略

DMARC結果を表示します。
DKIMとSPFのどちらかがpassだったらDMARCはpassってのはこの記事を読んでる人にとっては当たり前だけど、その他の方にとっては明示的な方が分かりやすいですよね。
| eval dmarc = if(IN(dkim,"pass") OR IN(spf,"pass"),"pass","fail") 

表を表示するのでtableを使います。
| table disposition, source_ip, org_name, count, dmarc, comment, dkim, spf


DMARCを勉強するならDKIM認証とSPF認証も一緒に表示することをお勧めします。
そうすることで、DMARCでいうDKIM, SPFと単体のDKIM, SPFが別物ということが分かると思う。
DKIMは署名を行ったサーバーから届いたメッセージが改ざんされていないことを確認する仕組みで、SPFはドメイン所有者(DNSサーバーの管理者)が送信メールサーバーを明示するだけで”なりすましメール”に対する対策ではないってことが分かると思う。

じゃDMARCでいうDKIMとSPFは?というと、メールソフトの送信者として表示されるメールアドレスのドメイン名とDKIMの署名やSPFのドメインが一致しているかを評価しています。 ”メールソフトで自由に設定できる送信者”を制限する?間違っていたら迷惑メールフォルダやゴミ箱に届けてほしいという要望を公開する仕組みなんですよね。

0 件のコメント:

コメントを投稿

TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...