はじめに

本記事では、セキュリティデータパイプラインプラットフォーム(以降 SDPPと記載)について解説します。
また、SDPP業界のリーダー製品であるCriblの紹介をいたします。

なぜSDPP領域が台頭してきたのか

まずは、なぜSDPPが台頭してきたかについて説明します。
SDPPが台頭してきた理由には、SIEM活用における課題が影響しています。
SIEMはこれまで企業のありとあらゆるデータを保存/分析し、企業のセキュリティに欠かせない役割を担ってきました。
ただし、年々SIEMが保存/分析するデータ量は増加傾向にあり、「SIEMコストの肥大化」や「分析の複雑化」の課題が露呈してきています。
また、SIEMベンダーによるロックインが発生しているケースも多く見かけます。

そのような課題に対して、SDPP製品は「SIEMコストの最適化」や「分析におけるデータの最適化」、「SIEM移行容易化」といったメリットを提供します。

SDPPのリーダー製品Criblとは？

CriblはSDPPのリーダー製品で、Cribl Stream/Edge/Lake/Searchと複数のモジュールを提供しています。
今回は、Criblのメイン機能であるCribl Streamに焦点を当てて、解説します。
Cribl Streamの主な機能は下記の通りです。

• データ加工/フィルタリング機能
  • GUIベースでデータの加工/不要データのフィルタリング
  • SDPP側でSIEM基盤の期待する形式にパーシング
  • SDPP側でフィールドを新規に追加
• データのルーティング機能
  • 複数のソースからのデータを複数のSIEM/ストレージに対して転送
  • ユースケースとしては、分析に必要なデータをSIEMへ、生ログを格安のストレージへ転送
• ストレージからのReplay機能
  • 分析基盤へのデータ欠損時にストレージから生ログを再転送
• ベンダーフリーでの構成
  • 複数のSIEM/ストレージ製品とベンダーフリーで連携が可能
  • 各製品との連携テンプレを提供

データパイプラインの課題とCriblのメリット

データパイプラインは現在多くの企業で複雑化しています。
各データソースにパイプラインを構築/運用されており費用と工数が増加傾向になります。
以下にイメージ図を示します。

このような課題に対してCriblを導入すると下記のような構成になります。

本構成のメリットは下記の通りです。

• 各データパイプラインをCribl単体で管理をすることが可能となる
  • GUIでパイプラインの設定や各ソース/送信先との連携が可能
  • 追加のデータソースとの連携が容易
• 複数の転送先へデータをルーティングできる
  • 分析に必要なデータのみをSIEMへ転送し、コスト削減
  • 低コストストレージへ生ログを転送し、一定期間ログ保管
• Cribl上でデータ加工/フィルタリングの実施
  • 不要データ削減によりSIEMコスト削減
  • SIEMの期待した形式でデータ転送
  • SIEM分析高度化

まとめ

今回はSDPP領域のリーダー製品Criblの概要を中心に説明させて頂きました。
Criblには様々な機能がございますのでご興味があれば是非弊社宛にお問い合わせください。