今回は、Splunk Enterprise Security (ES) の運用効率を大きく高めてくれるアプリ「Detection Insights」を触ってみたので、機能概要や設定方法についてご紹介させていただきます。
🎯 Detection Insightsとは?
Detection Insights(正式名:SA-DetectionInsights) は、ESに設定された検知ルールの状態を一元的に可視化・分析・最適化できるSplunkbaseアプリです。
ルールの最適化等々設定を総合的に可視化・最適化するためのダッシュボード。
例えばDetection Detailsの項目ではFalsePositiveの数だけでなく、各ルールに対してのIssue(どちらかというと改善ポイント)を提示してくれる。
例) CHKDET0020 RBAのリスクスコア (risk_score) が設定されていない など。
🛠 設定方法
Splunkbaseから「Detection Insights」をインストール
https://splunkbase.splunk.com/app/7066
Enterprise Security環境で起動
🚀 主要なダッシュボードと機能
Detection Insightsには、検知ルールの最適化に役立つ複数のタブが用意されています。
1.Overview
このタブでは、現在有効になっているセキュリティ検出の数と、利用可能な検出の合計数が一目で確認できます。また、基本的な「チェック」の数も表示されます。
2.Detection Details
現在有効化されている検知ルールの詳細情報を可視化するタブです。
ここでは、以下の重要な項目を確認・分析できます。
- 有効化された検知ルールの一覧
- 誤検知率 (False Positive)を見てルールの精度を評価
- Potential Issueの多いルールを特定し修正を検討
- 適切なリスクスコア & MITRE ATT&CK マッピングがされているか確認
- トリガー設定 (Trigger alert, Trigger Mode) や RBA 設定 (Threat Object) を最適化
試しに一つ展開してみると、、
右側のIssueDetailsで下記の項目が出ていました。
- Not as per Naming Convention
- Trigger alert when should be set to: Number of Results
- Trigger is not set to: For Each Result
- Search is not properly formatted
- RBA - No Threat Object Defined
- Detection is missing SPL comments
3.Triggering Details
各検知ルールがいつ、どのようにトリガーされたかを可視化し、「検知ルールの発生頻度と精度」を評価するためのダッシュボードです。
ここでは、以下の重要な項目を確認・分析できます。
-
Rule Type
-
True Positive / False Positiv
-
Triggering Trend
4.Data Model Details
Splunkのデータモデルの状態とパフォーマンスを可視化します。
ここでは、以下の重要な項目を確認・分析できます。
- 未使用のデータモデルの特定
- アクセラレーションの有効/無効
- Index Allowlistの設定
- 更新頻度の確認
- ストレージ使用量の最適化
5.MITRE ATT&CK Details
検出結果がMITREセキュリティフレームワークにどのようにマッピングされているかに関する情報を取得します。
6.Risk Based Alerting Details
Risk Object(リスクオブジェクト)とThreat Object(脅威オブジェクト)の設定状況を可視化し、適切なリスク管理が行われているかを確認します。
ここでは、以下の重要な項目を確認・分析できます。
- Risk Factorsの設定状況
- Risk Messageの確認
- Risk Object/Threat Objectの最適化
7.Scheduling Details
Splunkに設定されたCorrelation Search(相関検索)のスケジューリング状況を可視化します。
ここでは、以下の重要な項目を確認・分析できます。
- Scheduled Next Run で、次に実行予定の検索を把握
- リアルタイム検索の負荷抑制
- スケジュールの偏りチェック
*検索の実行状況
8.Performance Details
検索パフォーマンスを分析し、スケジュールされた検索の負荷や並列実行の影響を可視化します。
ここでは、以下の重要な項目を確認・分析できます。
- 検索リソースの負荷分析
- スケジュール検索の最適化
- ダッシュボード検索の最適化
9.Audit
Security Detectionルールが適切に設定され、問題なく動作しているかを監査するために使用されます。
ここでは、以下の重要な項目を確認・分析できます。
- 検知ルールの適用状況の監査
- 問題のある検知ルールの特定: 成功率が低いルールやFailed Checksが多いルールを特定し、優先的に修正します。
- 設定の最適化
10.Configuration
検知ルールに適用されている監査チェックの設定を管理します。
ここでは、以下の重要な項目を確認・分析できます。
- 有効/無効な監査チェックの確認
- 各監査チェックの評価基準
- 監査の最適化
11.Prerequisites
Splunk Enterprise Securityの検知機能を適切に動作させるための前提条件が満たされているかを確認します。
ここでは、以下の重要な項目を確認・分析できます。
- ビジュアライゼーションのインストール状況
- ルックアップデータの生成状況
まとめ
Security Detection Insightsは、Splunk Enterprise Securityの検知ルールの設定状況、スケジュール、パフォーマンス、リスクベースのアラート設定を総合的に可視化・最適化するための強力なダッシュボードです。
このAppを効果的に活用することで、アラートの精度向上、リスク管理の最適化、システム負荷の軽減を実現し、より効果的なセキュリティ運用へと繋げることができます。ぜひお試しください!
ソース
https://splunkbase.splunk.com/app/7066
https://splunk.github.io/Splunk_App_for_Detection_Insights/