TA-dmarc add-on for Splunk | Splunkbase を使って表を作ります
DMARCレポートをどんなダッシュボードで表現するかを考えるときは、データを眺めるのが一番ですよね。というわけで一覧表示してみましょう。
sourcetype="dmarc:json"
| rename feedback{}.record.row.policy_evaluated.disposition as disposition
| rename feedback{}.record.row.source_ip as source_ip
| rename feedback{}.report_metadata.org_name as org_name
| rename feedback{}.record.row.count as count
| rename feedback{}.record.row.policy_evaluated.reason.comment as comment
| rename feedback{}.record.row.policy_evaluated.dkim as dkim
| rename feedback{}.record.row.policy_evaluated.spf as spf
| eval dmarc = if(IN(dkim,"pass") OR IN(spf,"pass"),"pass","fail")
| table disposition, source_ip, org_name,count, dmarc, comment, dkim, spf
TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"
正直なところこの書き方がスマートなのかは疑問ですが、TA-dmarcのフィールド名が長いのでとりあえず省略しないとつらいんですよね。
| rename feedfeedback{}.record~略~
DKIMとSPFのどちらかがpassだったらDMARCはpassってのはこの記事を読んでる人にとっては当たり前だけど、その他の方にとっては明示的な方が分かりやすいですよね。
| eval dmarc = if(IN(dkim,"pass") OR IN(spf,"pass"),"pass","fail")
表を表示するのでtableを使います。
| table disposition, source_ip, org_name, count, dmarc, comment, dkim, spf
DMARCを勉強するならDKIM認証とSPF認証も一緒に表示することをお勧めします。
そうすることで、DMARCでいうDKIM, SPFと単体のDKIM, SPFが別物ということが分かると思う。
DKIMは署名を行ったサーバーから届いたメッセージが改ざんされていないことを確認する仕組みで、SPFはドメイン所有者(DNSサーバーの管理者)が送信メールサーバーを明示するだけで”なりすましメール”に対する対策ではないってことが分かると思う。
じゃDMARCでいうDKIMとSPFは?というと、メールソフトの送信者として表示されるメールアドレスのドメイン名とDKIMの署名やSPFのドメインが一致しているかを評価しています。 ”メールソフトで自由に設定できる送信者”を制限する?間違っていたら迷惑メールフォルダやゴミ箱に届けてほしいという要望を公開する仕組みなんですよね。
0 件のコメント:
コメントを投稿