InfobloxとSplunkによるDNSセキュリティ簡単運用!

InfobloxとSplunkによるDNSセキュリティ簡単運用!

はじめに

昨今注目を集めているDNSセキュリティ。今回はInfoblox社のDNSセキュリティ製品であるBloxOne Threat Diffense(B1TD)の特長とSplunkを使った運用方法について紹介します。

DNSセキュリティとは

私たちがインターネットにアクセスしてWebページを見たり、メールを送ったりといったことをする際、必ずDNSを使ってドメイン(ホスト)ネーム(www.macnica.co.jpなど)をIPアドレスに変換する動作を行っています。

マルウェアに関しても同様で、外部のC&Cサーバにアクセスする際、DNSを利用しています。DNSセキュリティとはマルウェアなどが利用する不正なドメインに対するDNS通信をブロックするというものです。インターネットアクセスの一番最初に行われるDNS通信でブロックを行うことで、余計なトラフィックを発生させない、WebやメールセキュリティではブロックできないDNSのみを使った情報漏洩を防ぐことが出来るといった特徴があります。また、クラウドで提供されるためモバイルPCやセキュリティソフトをインストールできないIoTデバイスに対しても保護することが可能です。

B1TDの特長

Infoblox社はDDI(DNS/DHCP/IPAM)業界で世界マーケットシェア50%以上を誇る企業で、いち早くDNSセキュリティにも力を入れてきました。主な特徴として以下があげられます。

  • 1日150万件の脅威ドメインの更新 2016年にIID社買収による自社管理脅威情報に加え、20社以上の脅威情報提供パートナーによる精度とボリュームが特徴です。
  • 振る舞い検知によるDNSゼロデイ対策 1日に作成されるドメインの数は数万にも上ります。脅威ドメインとして登録される前の状態であっても、DNS通信の振る舞いにより、機密情報の漏洩から保護します。
  • ドシエによる脅威情報の一括検索 WHOIS情報や、脅威カテゴリ、ダウンロードファイルのアンチウイルス結果などリスク判定に必要な情報を一括提供します。
  • クラウド、オンプレ両方での提供 DNSのアプライアンスを提供しているInfobloxならではの機能として、クラウドだけではなく、オンプレのDNSサーバでもDNSセキュリティ機能を提供可能です。

Splunk連携について

製品説明が長くなってしまいましたが、ここから本題のSplunkとの連携について説明します。B1TDのクラウドコンソールでは、デフォルトで下記のようなレポートを表示させることが可能です。

これだけでも、どのクライアントがブラックリストにヒットしているかやどの脅威フィードにどれだけヒットしているかといった情報は確認することが出来ます。

しかし、Splunkと連携することで下記のような、より視覚的でわかりやすい情報を表示させることが可能です。(脅威フィードにヒットしているトップクライアントの表示、どの脅威ドメインへのアクセスが多いかなど)

連携方法はいたって簡単で、SplunkにB1TD連携用のAppをインストールし、クラウドコンソールで確認可能なAPI連携用のキーを入力するだけです。

表示させる内容はあらかじめプリセットされていますので追加設定は不要です。

視覚的になることで、状況の変化を把握でき脅威に対する判断がしやすくなります。

例えば、どのフィードにどれだけヒットしているかといった情報は、クラウドコンソールでは、数値で確認するか、フィルターをかけてそれぞれ表示させる必要がありますが、Splunkでは、それぞれの色の面積で表示させることが可能ですので変化を視覚的にとらえることが可能です。

まとめ

第一回目となる今回はInfobloxのDNSセキュリティ製品であるB1TDのSplunkとの連携について説明しました。今後も運用に役立つ情報や、こんなこともできる!といったことを情報発信していきたいと思いますのでこうご期待ください。