product
service
- Simple Security Consulting [Consulting]
- Splunk SOAR Automation Assessment Service [Consulting]
- Dashboard/SPL Creation Pack [Implementation/Building Support]
- Version upgrade service [implementation and construction support]
- Splunk Premium Apps construction support service [implementation and construction support]
- Splunk Security Log Analysis Start Package [Original App/Service]
- Splunk × CrowdStrike Falcon Insight, Macnica Original App [Original App/Service]
- Government uniform standard compatible App [Original App/Service]
- Smart Security Monitoring App [Original App/Service]
- Splunk × LANSCOPE Original App [Original App/Service]
- Security Monitoring App for Box [Original App/Service]
- Cloud Security Monitoring App [Original App/Service]
- SIEM Operation Monitoring Service [Original App/Service]
- List of services
- Macnica Premium Support for Splunk (utilization support, version upgrade monitoring)
- Macnica Premium Support for Splunk Skill Up Package
Specifications/Technical Information
Application for evaluation machine
- FAQ
"Petit CSIRT Recommendation" | Splunker's Blog
Happy New Year! This is Macnica Suzuki. This year's New Year's holiday has passed in the blink of an eye. I've been accessing Splunk on my smartphone since New Year's Day.
さて年末のご挨拶にうかがった、金融機関の方の部門名がCSIRTになられていました。昨年は下期からCSIRT(シーサート)がサイバーセキュリティ関連で多く耳にするようになりました。
At Macnica, we have previously reported on cybersecurity measures such as "Targeted Attack Countermeasures," "OODA Loop," and "Cyber Kill Chain," and we have also provided case studies of CSIRTs as the execution unit.
- 強いCSIRT
- 時間と正確さ
- 大成建設様事例
- CISCO社事例(英文)
- Macnica seminar example
- 大人気!毎月開催 Splunkを活用したインシデントレスポンス対策セミナー
CSIRTは「コンピューターセキュリティインシデントレスポンスチーム」の略で組織内の情報セキュリティの調査、報告を行う部隊です。でもなぜ皆さんCSIRTを作られるのでしょうか。
出典:JPCERT/CC CSIRTマテリアル 2015/12
- 高度なサイバーセキュリティは情報漏えいのスピードが速い
- その会社専用のマルウェアの登場など、社内組織を狙った手法のため社内組織を横断的に把握している組織の必要がある
- 会社の資源、資産がデジタル化しており、情報システム部門だけでは管理ができなくなってきている。
といった側面から社内組織で「緊急対策本部」として対応するようになってきているといった側面があります。CSIRTについては下記を参照にしていただくと良いと思います。
とはいえ、人材はどうするのか、組織はどうするのかといった御質問もよくお聞きいたします。私からのご提案は、まずは仮想組織として情報システム部門、IT子会社を含めた特任チームを結成し、法務部門、リスク管理部門、広報などもチームにいれていただきます。では何名で構成すれば良いのでしょうか?
プチCSIRTのすすめ
先日、日本電気様との共催セミナーで南足柄市役所様のお話しを聞きました。現在3名でSplunkを運用されていらっしゃいます。SKYSEAのクライアント操作ログ、Windowsサーバログなど、複数のログを統合されてログの調査時間が大幅に短縮できるため、調査時間と要員工数を押さえることができています。
いきなり大人数の組織を作るのは大変ですので、まず少人数でも社内のセキュリティ調査仮想チームを作り、Splunkでレポートを共有して属人化を無くしスモールスタートするのをお奨めいたします。Splunkの60日間の評価版と仮想サーバを使ってプロトタイプを短期間で構築する事もできます。
何を見ればいいのでしょうか?
こちらも良くご相談されます。年末にJPCERT様から大変役に立つ情報が公開されました。まずこれらのログを取得し、Splunkに入れてみましょう。
そして標的型攻撃ではWindowsコマンドが侵入されたマシンに残されます。こちらも大変興味深い内容が公開されました。これらのコマンドもSplunkで調査開始してみましょう。
「sourcetype=WinRegistry "c:\\Windows\\System32"」を検索
また、マイナンバー制度も始まりました。マイナンバー情報ファイルのあるファイルサーバのログの監視は必須となるでしょう。SplunkでWindowsサーバのログを収集し重要機密ファイルアクセスを重点的に監視しアラート設定をしておきましょう。
社員に共有して抑止力強化をしておく事
このようなCSIRTの活動状況を共有しておく事も重要だと思います。社員に監視している事を周知徹底しておく事により、抑止力強化が図れます。
CSIRTの組織づくり、まずは、大組織構築と構えずに、社内プロジェクトや、ワークグループ活動などでスモールスタートから始めてみましょう。
Happy Splunking!
Inquiry/Document request
In charge of Macnica Splunk Co., Ltd.
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
Mon-Fri 8:45-17:30
