セキュリティユースケース1: Web Proxyログの分析

こちらのケースでは、Web Proxyログの分析において複数のタイムスタンプやフィールド名にスペースが含まれることが課題となっていました。それに対してCriblを導入することで以下のような効果を得ることができました。

• 明示的なタイムスタンプの認識による検知漏れの防止
• 正規表現を用いたフィールド抽出による分析精度の向上
• 不要なフィールドの削除とjson形式への変換によるストレージコストの削減と分析負荷の低減

処理前のProxyログでは、複数のタイムスタンプやスペースを含むフィールドが混在しており、分析ツールでの処理が困難でした。しかし、Criblの導入とログの適切な構造化によってこれらの課題は解決、かつログ全体のサイズを約45%削減することに成功しました。

セキュリティユースケース2: CrowdStrike FDRログの分析

こちらのケースでは、CrowdStrike FDRログの分析の際、全ての種類のデータが混同された状態で取得されてしまっており、ルーティング処理の複雑化や、データ処理負荷の増加が課題でした。これに対し、Criblを導入することで、以下のような効果を得ることができました。

• ログの種類の認識による必要なログの転送
• 不要なフィールド・特定のフィールド値を持つイベントの削除によるストレージコストの削減と分析負荷の低減

Cribl導入後は、フィールドの自動抽出および不要フィールドの削除によりログ全体のサイズが約47%削減、分析基盤の負荷を大きく減らすことに成功しました。

ログのドロップイメージ

①処理前のログ

②処理後のログ

処理前と処理後のログを見比べると、（１）のログがグレーアウトされているのが分かります。

Obserbavility

こちらのケースでは、膨大なログデータの処理とコンプライアンス遵守の両立が課題となっており、ダウンタイムリスクも増加していました。

それに対してCriblを導入したことで、データ収集から編集、可視化までのプロセスが統合され、以下の効果が得られました。

• ログ収集・加工フローを統一し、運用負荷を軽減
• マスキングによる機密データの安全な管理
• データの相関・正規化を通じてインシデント分析を迅速化
• ダウンタイムやトラブル発生率の低減

これによって、異なるソースからのログを一括管理し、分析基盤での負荷を削減するとともに、セキュリティコンプライアンスの順守を実現することができました。

データの流れの可視化イメージ