Splunk Enterprise Securityを理解する：ソリューションの概要

Splunk Enterprise Securityとは？

Splunk Enterprise Security (ES) は、セキュリティ情報およびイベント管理 (SIEM)ソリューションです。セキュリティ脅威の特定、調査、対応を支援します。ビッグデータ分析を使用して、Splunk ES は組織の IT インフラストラクチャ全体のセキュリティイベントに関するリアルタイムな洞察を提供します。

Splunk ES は様々なデータソースと統合し、セキュリティ情報を収集、分析、可視化します。この統合により、セキュリティチームは潜在的な脅威をプロアクティブに監視、検出、対処できるようになります。このソリューションのダッシュボードとレポートは、脅威のトリアージ、調査、対応などのタスクでセキュリティアナリストをサポートします。

これはSplunk SIEMに関する一連の記事の一部である。

Splunk Enterprise Security の主な機能

Splunk Enterprise Security は、組織のセキュリティ機能を強化することを目的とした機能を提供します。これにはリアルタイムの監視とアラートが含まれ、セキュリティインシデントの検出と対応を可能にする。さらに、機械学習とアナリティクスを採用することで、潜在的なセキュリティ異常を特定する脅威検出機能を提供します。

リアルタイムモニタリングとアラート

Splunk Enterprise Security のリアルタイムモニタリングとアラートは、脅威の検知と対応にとって極めて重要です。このプラットフォームは、IT環境全体からデータを分析し、潜在的なセキュリティインシデントが発生した場合にそれを特定します。この24時間365日の監視は、不審なアクティビティに対してアラートを発し、対応までの時間を短縮することを目的としています。

Splunk ES のアラートメカニズムはカスタマイズ可能であるため、組織固有のセキュリティポリシーやリスク閾値に合わせて通知をカスタマイズすることができる。的確な基準に基づいてアラートを設定することで、セキュリティチームは早急な対応が必要なインシデントに優先順位をつけることができる。このアラートプロセスにより、リソースを効率的に活用し、最も重大なセキュリティ脅威に焦点を当てることができます。

上級脅威検知

Splunk Enterprise Security の高度な脅威検知機能は、機械学習アルゴリズムと統計モデルを利用して、大規模なデータセット内の隠れた脅威を発見します。この機能は、悪意のある活動を示すパターンを認識することで、従来とは異なる攻撃ベクトルやゼロデイ脆弱性の特定を可能にする、従来のルールベースの検出方法を超えるものです。

このプラットフォームの機械学習機能は、過去のセキュリティイベントから学習することで進化し、時間の経過とともに脅威検知の精度を向上させ、効果的な脅威防御戦略を可能にします。

インシデント調査と対応

Splunk Enterprise Security のインシデント調査と対応機能により、セキュリティチームはセキュリティインシデントを調査し、対処することができます。セキュリティイベントを可視化し、アナリストがインシデントに至った一連の行動をまとめるのに役立ちます。このようにデータを調べることで、攻撃ベクトルについての理解が深まる可能性があります。

Splunk ES のレスポンス機能は、自動化されたワークフローを活用して、特定された脅威の封じ込めと修復を促進します。これらのワークフローは、明確に定義された手順に従ってセキュリティチームを誘導し、人的ミスを最小限に抑えます。

リスクベース分析

Splunk Enterprise Security のリスクベース分析は、さまざまなセキュリティイベントに関連するリスクレベルを評価することで、脅威の検出を強化します。この機能は、潜在的な影響に基づいてセキュリティインシデントに優先順位を付けるため、セキュリティチームは潜在的にリスクの高い脅威に労力を集中させることができます。

このプラットフォームは、複数のソースからのデータを統合し、脅威の優先順位付けのためのリスク状況を確認する。

脅威インテリジェンス統合

脅威インテリジェンスを Splunk Enterprise Security に統合することで、既知の悪意のあるアクターや手口を特定できる可能性があります。脅威インテリジェンスのフィードを組み込むことで、組織はサイバー環境で認識されている脅威の存在を警告することができます。

脅威インテリジェンス・フィードは、進化するサイバー脅威に対して効果的なセキュリティ態勢を維持するために不可欠な、グローバルな脅威に関する最新情報を提供します。収集されたインテリジェンスは、潜在的な脅威に関する知識をセキュリティチームに与え、それに応じて防御を調整することができます。

Splunk Enterprise Security の価格モデル

Splunk Enterprise Security (ES) は、ワークロード価格とインジェスト価格の2つの主要な価格モデルを提供しています。

ワークロード価格

ワークロード価格は、取り込むデータ量に注目するのではなく、検索や分析のワークロードに使用するコンピュートリソースにコストを合わせるものです。このモデルは、データ処理の効率を優先し、コンピューティング容量をより適切に管理したい組織に最適です。このモデルでは、クラウド製品の場合は Splunk Virtual Compute (SVC) ユニット、オンプレミスの場合は仮想中央処理ユニット (vCPU) などの指標を使用して消費量を測定します。

この価格モデルは拡張性と柔軟性を高め、セキュリティ、IT、開発運用 (DevOps) など、さまざまなユースケースのニーズの変化に合わせて調整することを可能にします。Splunk Cloud Platform では年間サブスクリプションが提供され、オンプレミスでは期間ライセンスが利用可能です。

インジェスト価格

インジェスト価格は、Splunk にインジェストされるデータ量に基づいており、1 日あたりのギガバイト (GB/day) 単位で測定されます。このモデルは、データの取り込みパターンが予測可能なお客様に適しており、必要に応じてデータ量を追加購入することで容量を拡張することができます。

オンプレミスには期間限定ライセンスが、クラウドベースのソリューションには年間サブスクリプションが用意されている。

Splunk Enterprise Security の仕組み：インターフェースの概要

インシデント・レビュー

Splunk Enterprise Security の Incident Review ダッシュボードは、"注目すべきイベント" と呼ばれるセキュリティインシデントを管理・分析するための中心的なハブとして機能します。これらのイベントは、相関検索によって、ネットワーク使用量の急増、不正アクセスの試行、既知の悪意のあるサーバーとの通信など、データソース全体で異常または疑わしいアクティビティが検出された場合に生成されます。

セキュリティ・アナリストは、ダッシュボードを使用して、これらのイベントを監視、トリアージ、調査します。ダッシュボードには、重大度、ソース、潜在的な影響など、注目すべき各イベントの詳細な概要が表示されます。アナリストは、イベントをフィルタリングして優先順位を付け、調査のためにチーム・メンバーに割り当て、各インシデントのステータスを追跡できます。

Splunk Enterprise Security のインシデントレビューの典型的なワークフローは、セキュリティインシデントの特定と解決のプロセスを合理化するように設計されています：

1. 初期トリアージ：管理アナリストは、インシデント・レビュー・ダッシュボードを監視し、新たに発生した注目すべきイベントをソートし、初期トリアージを実行する。重要度と関連性に基づいてイベントをフィルタリングし、さらに調査が必要なイベントを決定します。
2. 担当を決める：詳細な調査が必要な注目すべきイベントがセキュリティ・アナリストに割り当てられる。イベントのステータスが「新規」から「進行中」に更新される。
3. 調査：担当のアナリストは、関連するデータ・フィールドを調査し、クエリーを実行し、場合によってはアダプ ティブ・レスポンス・アクションを使用して、注目すべきイベントに関する追加情報を収集する。必要であれば、より詳細な調査につながる可能性のある洞察を提供します。
4. 修復：インシデントの原因が特定されると、アナリストは問題の修復に取り組み、さらなる対応が必要な場合は他のチームにエスカレーションします。根本原因に対処した後、イベントを「解決済み」としてマークする。
5. 検証：最終的なアナリストは、インシデントを解決するために取られた手順をレビューし、問題が適切に対処されたことを確認します。すべてがチェックされたら、ステータスを「クローズ」に更新してイベントをクローズします。

調査

Splunk Enterprise Security の調査は、セキュリティインシデントを分析するための共同作業環境を提供します。調査ワークベンチを通じて、セキュリティチームは調査中のすべてのステップを文書化し、アクション、成果物、調査結果の包括的な記録を確保できます。

調査の開始と管理

調査を開始するには、アナリストは、注目すべきイベント、アラート、または電子メールやヘルプ・デスク・チケットなどの外部通知から調査を作成できます。調査を開始すると、アナリストは、自分に割り当てられたすべてのインシデントの表示、フィルタリング、および進捗状況の追跡が可能な調査ページを通じて、調査を管理できます。共同作業が必要なチームでは、調査に共同作業者として同僚を追加することができ、複数のアナリストが同じケースで共同作業することができます。

ワークベンチで調査を行う

調査ワークベンチは、実際の作業を行う場所です。アナリストは、影響を受けた資産やその他の関連するイベントの詳細など、調査範囲に成果物を追加できます。調査が進むにつれて、ワークベンチにはタブやパネルが表示され、データの視覚化や文脈の把握に役立ちます。アナリストはこのスペースを使って検索を行うこともでき、行動履歴から有用なクエリを追加したり、資産やIDなど特定の要素に焦点を絞ったりすることができます。

文書化と共同作業

調査中、アナリストはメモ、成果物、関連ファイル（スクリーンショットやフォレンジックエビデンスなど）をワークベンチに直接追加することができます。この文書化により、調査のすべてのステップが確実に記録されます。アナリストはまた、進行中の事件に関連する可能性のある洞察、フィルタリングのアクション、あるいは注目すべき出来事を共有することで、チームメンバーと共同作業することもできます。

調査の終了と共有

調査が完了すると、アナリストは関連する注目すべきイベントとともにケースを閉じることができる。調査サマリーは、プロセス全体の包括的な概要を提供し、関係者と共有したり、将来の参照のためにアーカイブしたりすることができます。

リスク分析

Splunk Enterprise Security (ES)のリスク分析により、企業はデバイス、ユーザ、その他のネットワークエンティティの相対的なリスクを評価することができます。このプラットフォームは、これらのエンティティにアクティビティに基づくリスクスコアを割り当て、ネットワーク環境内の全体的なリスクを表す単一のメトリックを提供します。

リスクスコアとは、システム、ユーザー、その他のオブジェクトがもたらす潜在的な脅威を反映した累積的な指標です。Splunk ES は、ネットワークアクティビティを監視し、疑わしいパターンを事前に定義されたルールにマッチさせる相関検索を使用して、これらのスコアを計算します。このようなマッチングが見つかると、注目すべきイベントかリスク修正がトリガーされます：

• 注目すべきイベントとは、セキュリティ・チームによる即時のレビュー、調査、終結が必要なアラートである。
• リスク修飾因子検出された活動に基づいて、エンティティのリスクスコアを調整する。これらは、全体的なリスク・スコアに貢献し、組織が見落とされる可能性のある小さな行動を追跡し、それらが組み合わさったときに、より大きな脅威を示す可能性があることを支援する。

Splunk ES のリスクスコアは、特定されたアクティビティの重大性に基づいて 20 から 100 の間でスケーリングされます。これらのスコアはリスクレベルを明確に示し、セキュリティチームが脅威の緊急性に基づいて対応に優先順位をつけるのに役立ちます。

ダッシュボード

Splunk Enterprise Security (ES) は、セキュリティ関連データのさまざまなビューを提供する100以上のダッシュボードを提供し、組織がセキュリティインシデントを効果的に特定、調査、管理できるよう支援します。これらのダッシュボードはカスタマイズ可能であり、特定のセキュリティニーズや運用上の役割に基づいてユーザーがカスタマイズできる可能性がある。ダッシュボードは、インシデントの特定と調査、セキュリティ・インテリジェンス、ドメイン固有のモニタリングに大別できる。

インシデントの特定と調査ダッシュボード

Splunk ES は相関検索を使用してセキュリティイベントを検出し、それをさまざまなダッシュボードに表示することで、アナリストがインシデントを特定して調査できるようにします。

• セキュリティ状況：このダッシュボードは、過去 24 時間以内に発生した注目すべきイベントをハイレベルで要約し、インシデントが最も多く発生したセキュリティ・ドメインと最新のアクティビティを強調表示します。このダッシュボードにより、アナリストは組織のセキュリティの健全性の概要をすばやく把握できます。
• インシデントのレビュー：このダッシュボードは、環境で特定された注目すべきイベントの詳細を調べるために使用されます。アナリストは、ダッシュボードから直接これらのイベントのトリアージ、割り当て、調査を行うことができ、インシデント対応プロセスを合理化します。
• 私の調査アナリストはこのダッシュボードを使用して、進行中の調査を追跡し、複数のインシデントを管理し、その進捗状況を文書化できます。すべての調査を一元的に表示できるため、関連するセキュリティ・イベントの追跡が容易になります。

セキュリティ・インテリジェンス・ダッシュボード

これらのダッシュボードは、セキュリティ・データの特定の側面に関する洞察を提供することで、インシデント調査を強化する。

• リスク分析：このダッシュボードは、デバイス、ユーザ、システムに割り当てられたリスクスコアを視覚化し、セキュリティチームがリスクの高いエンティティに焦点を当て、それに応じて調査の優先順位を決定するのに役立ちます。
• プロトコル・インテリジェンス：パケット・キャプチャ・ソースからのデータを表示し、疑わしいDNSアクティビティ、異常な電子メール・トラフィック、使用されている一般的でないプロトコルなど、ネットワーク・トラフィックに関する洞察を提供します。これにより、潜在的に有害なネットワーク動作を特定できます。
• 脅威インテリジェンス：統合された脅威インテリジェンス・フィードからのデータを使用して、このダッシュボードは環境内の既知の悪意のあるアクターを特定し、進行中の調査に追加のコンテキストを提供します。
• ユーザーインテリジェンス：このダッシュボードは、ユーザーの行動、資産の変更、アクセスパターンの調査など、ユーザーと資産の活動を追跡するのに役立ち、内部脅威や侵害されたアカウントの検出に役立ちます。
• ウェブインテリジェンス：アナリストは、Webトラフィックを分析し、異常なHTTPカテゴリを特定し、疑わしいユーザーエージェントやドメインを検出できます。このダッシュボードは、外部とのやり取りや潜在的なウェブベースの脅威を監視する上で非常に重要です。

セキュリティ・ドメイン・ダッシュボード

これらのドメイン別ダッシュボードは、組織のセキュリティ環境における重要な領域を監視し、イベントを要約して、より深く調査するためのツールを提供します。

• アクセス・ダッシュボード：これらのダッシュボードは、ログイン試行、アクセス制御違反、デフォルトアカウントのアクティビティなど、認証およびアクセス関連のイベントを追跡します。不正アクセスの試行やアクセス制御の設定ミスを特定するのに役立ちます。
• エンドポイントダッシュボード：エンドポイントのセキュリティに焦点を当てたダッシュボードは、マルウェア感染、パッチ・ステータス、システム構成などのデータを提供します。アナリストは、ネットワーク全体のエンドポイントの健全性とセキュリティ状態を監視できます。
• ネットワーク・ダッシュボード：これらのダッシュボードは、ファイアウォール、ルーター、侵入検知システム（IDS）、その他のネットワーク・デバイスからのネットワーク・トラフィックを監視します。ネットワーク・フロー、脆弱性、プロトコルの使用状況を把握し、異常なトラフィック・パターンや潜在的な侵害の検出に役立ちます。
• アイデンティティ・ダッシュボード：これらのダッシュボードは、アセットおよび ID リストからのデータを表示し、セッションの種類と ID 管理に焦点を当てます。ユーザー認証とアセット関係を追跡するために不可欠です。

Splunk Enterprise セキュリティの制限

Splunk Enterprise Security (ES) は脅威の検知とインシデント管理のためのツールを提供しますが、組織が認識すべきいくつかの制限があります。これらの課題は、G2プラットフォームのユーザーによって共有されました：

• 高コスト：Splunk ES は、特に大企業にとっては高額になる可能性があります。各ユーザーにライセンスが必要であり、コストは消費量に基づくため、組織の規模が拡大するにつれて大きく膨らむ可能性があります。
• 複雑なライセンスモデル：ライセンシングの仕組みは、管理とコントロールが難しいと思われがちで、組織によってはコストを効果的に最適化することが難しい。
• リソースを大量に消費する：複雑なクエリを処理する場合、システムリソースを大量に消費する可能性があり、パフォーマンスの低下や運用オーバーヘッドの増加につながります。
• パフォーマンスの遅延：ユーザーがログ表示に遅延を感じることがあり、プラットフォームがデータを取得するのに予想以上に時間がかかることがあります。
• 限定的な無料版：Splunk の無料版は利用可能だが、非常に限られた機能しか提供しないため、ほとんどのエンタープライズレベルのユースケースでは実用的ではない。
• 学習曲線：特に Splunk Programming Language (SPL) を効果的に使用するには専門的な知識が必要です。
• ウェブアプリケーションの安定性：デスクトップ・アプリケーションは、特にリソースを大量に消費する操作中にクラッシュすることがあるウェブ・インターフェイスよりも、一般的にパフォーマンスが優れています。

Exabeam：Splunkに代わる究極のソリューション

セキュリティ情報・イベント管理（SIEM）ソリューションのリーディング・プロバイダーであるExabeamは、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

主な特徴

• スケーラブルなログ収集と管理：オープンプラットフォームは、ログのオンボーディングを70％高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
• 行動分析：高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
• 脅威対応の自動化：インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
• 状況に応じたインシデント調査：Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
• SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
• NetMonによるネットワークの可視化：ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。

詳細はこちらExabeam Fusion SIEM