Splunkとは
splunkは、様々なマシンからログを集める、ソフトウェアツールです。
ログデータを取得してテキスト化することで、可視化できるようになり、問題の切り分けや分析ができるようになります。
マシン例:セキュリティ機器(IPS/IDS、WAF、FW、UTM)、各種サーバー、ネットワーク機器、アプリケーション
検知アラート設定や、事前の予兆から以上発見するする機能、リスク顕在化した際の原因追跡する機能も備わっています。
セキュリティ運用やIT運用、ビジネス分析に活用ができます。
・セキュリティでの活用例①:
WEBサーバ等に検知(この時点では正常か不正か不明)が発生した場合、IDSやWAFのsplunkでセキュリティ機器ログの確認。
検知時間に対象IPアドレスが各セキュリティ機器に検知しているかを確認。
検知している場合、攻撃手法(シグネチャ)や脅威度を確認して、遮断するか否かの切り分けを行う。
・セキュリティでの活用例②:
内部不正防止のために、社員使用PCに作業に対する閾値を決めてアラート設定を行う。
例:一定時間内に閾値以上の印刷をする。一定時間内に閾値以上のスクショをする。
アラート検知時には、splunkで複数の対象ログ抽出を行い、不正判断の切り分けを行う。
おまけ
splunkはSIEMというシステムの製品・サービスの1つです。
・SIEM(Security Information and Event Management)とは
⇒企業内に設置したセキュリティ機器やネットワーク機器のログを収集し、蓄積し、リアルタイムに分析を行うことで、未知の脅威や怪しいアクセスを検知するシステム。
使用することで、幅広いマシンからマシンデータを収集、解析、分析を行い、脅威となりうるものに遮断ができ、高度なセキュリティ運用が可能。
他製品例;Datadog、McAfee SIEM、Logstorage