Splunk

スプランク

Enterprise Security Appとは、高度な脅威の検知を可能にし、インシデントの検知および対応までの時間を大幅するための有償アドオンです。

Splunk Enterprise とSplunk Enterprise Security の組み合わせにより、大規模なIT環境においても高度なセキュリティ分析をリアルタイムに行うことのできる、セキュリティ インテリジェンス プラットフォームを構築することが可能です。

相関分析による検知
  • 相関分析による検知
  • インシデント管理
  • インシデント調査用のdashboard
相関分析による検知
  • データの分析基盤
  • ダッシュボード&レポート
ダッシュボード&レポート
  • インシデント調査・管理
インシデント調査・管理
  • 統計的アノマリ
  • 社内資産・社員情報
社内資産・社員情報

コンセプト

  • 検知・調査に必要なデータを正規化せずにすべて利用可能
  • モニタリング・運用・調査・分析に必要な機能を全て搭載

Security Posture

  • 重要なセキュリティKPIのリアルタイムビュー
    • 各閾値の設定
    • 色表示変更
    • トレンド表示
  • 過去データとの統計比較
  • リスクスコアベースによるセキュリティKPIの表示
    • あらゆるイベントにリスクスコアの設定可能
  • 社内資産・社内軸でのドリルダウン可能

Splunkで可能になる相関分析

  • ルールベース:既知・定義済みパターン
  • 統計ベース:未知・疑わしい

統計を利用した検知

  • 外部からの攻撃
  • 内部の監査
カテゴリ 監視テーマ シナリオ例 出力頻度 データソース
ネットワーク
マルウェア

Outgoing

過去6ヶ月間発生していない、新しい外部HTTP/HTTPS、DNS等の接続アクティビティ

日次
週次

Proxy、FW、IDS/IPSなど

Outgoing

過去6ヶ月間の平均(最大、最小など)転送サイズをxx%超過したファイル転送、添付

日次
週次

Proxy、FW、Mail

Outgoing
内部

突発的に発生したマルウェアによる接続アクティビティ、レジストリ変更等の個別調査(対象過去3ヶ月など)

Ad-hoc

Proxy、Host Log/Registry

個別調査

Incoming

被害サイト等の詳細ログ調査(過去3ヶ月分データ)

Ad-hoc

Web、APP、DB

内部調査

Insider

過去6ヶ月使用されていないユーザアカウントの利用(ストールアカウント使用の疑い)

月次

OS(AD)、APP、DB

保守運用

申請/承認のない、仮想ホスト/重要データベースの操作、変更

リアルタイム
週次

ワークフロー、VMs、DB、OS

KPIs

セキュリティ教育受講者とポリシー準拠(アクセス、ログオン、端末利用)との比較、SOC対応傾向、成果など

四半期

受講データ、AD、FileSv、Registry

Event Investigator

  • 社内資産・社員軸により不審な挙動を調査
  • 各機器のイベントを時系列で表示
  • 特定のイベントを選択し、視覚的にあらゆる社内資産・社員との相関が可能
  • 特定のイベントを選択すると、調査に必要な情報を右部に表示

Incident Management

  • ワークフロー機能
  • 緊急対応を要する優先度の高いインシデントアラーム表示
  • アノテーション、エスカレーション機能
  • 対応履歴(チケッティング)

相関分析ルール作成ガイド

  • 様々のデータ間の関係を簡易化
  • 複雑なルールもGUIベースで作成可能

脅威情報

  • 脅威情報のフィードの集約・活用・アクティビティ可視化
    • オープンソースの脅威情報を活用可能
    • 商用脅威情報も集約
    • インハウスのブラックリスト
  • 重複排除・加重スコアリング可能
  • フィードの状況の可視化

分析機能

  • セキュリティ分析・レポート作成にピボット機能を利用可能
    • 新たなレポート作成
    • 新たなダッシュボードの作成
    • 高速化技術によりすぐに結果が確認できる
  • 直観的なGUIで技術者以外でも理解可能
  • 予測機能