LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@torippy1024

【Splunk】Splunk Enterprise Securityについてざっくりまとめる

Posted at

こんにちは。torippy1024です。
本日は、Splunkのセキュリティ機能であるEnterprise Securityについてざっくりまとめます。

Splunkの目玉製品らしいです。理由は後述します。

Splunk Enterprise Security(Splunk ES)とは

Splunk Enterprise Securityとは、Splunkが提供するセキュリティ製品です。

SIEM(Security Information and Event Management)と呼ばれる製品で、FWや認証サーバーなど、複数の機器からログを収集し、データを正規化(共通化・標準化)した状態で保存し、横断的にログを分析したり、システム上のセキュリティに関する脅威や問題に関するルールを作成し、リアルタイムに検出・対応するための製品です。

公式サイト:
https://www.splunk.com/ja_jp/products/enterprise-security.html

ガートナーのマジッククアドラントにおいて10年連続「リーダー」として認定されており、SIEM分野においては非常に強い製品です。
https://www.splunk.com/ja_jp/form/gartner-siem-magic-quadrant.html

Splunk Enterprise Securityは、SplunkのPremium Appと呼ばれるAppです。
Splunkには、App/Add-onと呼ばれる機能を追加できるアプリやアドオンがあります。
App/Add-onの多くは無償なのですが、中でも、一部は有償で高機能なものが存在しており、その代表的なものがSplunk Enterprise Securityです。
https://splunkbase.splunk.com/app/263

他に、Splunk SOAR(旧Splunk Phantom)やSplunk IT Service IntelligenceなどもPremium Appの一つです。

何がどうすごいのか

Splunkがセキュリティ製品であるSIEMとして評価されている理由は、「Splunkのコア機能であるログの収集・分析といった機能が絶妙にSIEMに必要な機能とマッチしていた」ためではないかと個人的には考えています。

l_bit202001221556493461.jpg

(https://www.sbbit.jp/article/cont1/37328 「今さら聞けないSIEMとは何か? 導入事例からクラウド時代の役割まで徹底解説」より引用)

Splunkは、多種多様な機器から、あらゆるログをテキストデータとしてそのまま溜め込み、Fieldと呼ばれるKey-Valueペアによってデータの構造化なしに検索ができることを売りとしている製品です。

これに対して、SIEMに必要な機能には以下があります。

  • FWやスイッチ等のネットワーク製品、アプライアンスも含む認証系の製品、サーバー、クラウドサービスなどの多種多様な機器や製品に対応している必要がある
  • リアルタイムに製品が出力したログを取得できる必要がある
  • 多種多様な機器のログを横断的に検索できる必要がある

Splunkは、上記のような特徴を最初から持っており、ログの保存、分析、正規化、ルールといった機能にうまくマッチしていたため、SIEM製品として強力な存在となっていたと考えられます。

Splunk Enterprise Securityの主な機能

では、Splunk Enterprise Securityでできる具体的な機能は何か?を調べてみたのですが、なかなかインターネット上でいい感じにまとまっている記事がありません。

英語ですが、以下の記事に機能の一覧とデモ動画が載っていましたので、主な機能について、こちらをベースに日本語で解説してみることにします。
https://www.splunk.com/en_us/products/splunk-enterprise-security-features.html

Security Posture dashboard

順番が前後しますが、Enterprise Securityをログインした時のトップページがSecurity Postureなので、ここから理解を始めるのが良いと思います。

過去24時間において組織上で発生したイベントについて、指標や傾向を表示するダッシュボードです。
どちらかというと経営層より現場向けのダッシュボードであるため、機能の一覧では最上位に示されていないのだと思いますが、現場の人間からみればこのダッシュボードを最初に見るのが良いと思います。

参考URL:
https://docs.splunk.com/Documentation/ES/latest/User/SecurityPosturedashboard

Investigation Workbench

参考URLを見ても文字ばかりで、操作してみないとよくわからないのですが、おそらくSOCにとっては一番重要な機能がこのInvestigation Workbench(調査ワークベンチ)だと思います。

ユーザー名やユーザーID、機器のホスト名、IPアドレスなどのアーティファクトをキーとして、関連するイベントなどを一括で横断検索して調査するための画面です。

参考URL:
https://docs.splunk.com/Documentation/ES/7.3.2/User/InvestigationWorkbench

Risk Based Alerting (RBA)

Enterprise Securityの特徴的な機能です。

単純に、発生したイベントに対して重要度を割り当てて、重要度が高いイベントに対してアラートを発生させる、というロジックではなく、守るべきオブジェクト(ユーザーや機器など)に対して、リスクがあるイベントが発生したらリスクを加算させ、そのリスクが一定以上になったらアラートを発生させる、というアルゴリズムでアラートを発生させる機能です。

この機能によって、やたらよくわからないアラートが発生していてノイズになっている、という状況を打破し、重要なアラートに注力して対応することが可能になります。

参考URL:
https://docs.splunk.com/Documentation/ES/7.3.2/RBA/Overview

Adaptive Response Actions(適応応答アクション)

発生した注目すべきイベント(Notable Event)などに対して、手動または自動で実行させるためのアクションをまとめたものです。
ping、nbtstat、nslookupを実行したり、メールやチャット通知をするなどを設定できます。Pythonを使って自前のスクリプトを作成することもできます。

適応応答アクションという呼び方が正式名称かは不明です。
できれば、英語でそのままAdaptive Response Actionsと呼んだ方が認識祖語が発生しないと思います。

参考URL:
https://docs.splunk.com/Documentation/ES/7.3.2/Admin/Setupadaptiveresponse
https://dev.splunk.com/enterprise/docs/devtools/enterprisesecurity/adaptiveresponseframework/createadaptiveresponseaction

ES Content Updates(ESCU) and Use Case Library

Enterprise Securityでは、アラートの検出、調査、対応、そしてセキュリティフレームワークにおけるTTPs(Tactics、Techniques、Procedures)を、Splunk ES コンテンツとしてまとめており、それらをアップデートする機能をES Content Updates(ESCU)と呼んでいます。

また、ESを使い方の例を集めたユースケースライブラリという機能もあります。

参考URL:
https://docs.splunk.com/Documentation/ES/7.3.2/Admin/Usecasecontentlibrary
https://splunkbase.splunk.com/app/3449
https://github.com/splunk/security_content

MITRE ATT&CK Framework Matrix

Enterprise Securityでは、さまざまな脅威インテリジェンス(Threat intelligence)から情報を取得し、それらインテリジェンス情報を発生している注目すべきイベント(Botable Event)内で参考情報として追加表示させることができます。

この中にはグローバルセキュリティフレームワークであるMITRE ATT&CKフレームワークが含まれています。
このフレームワークを利用することで、グローバルスタンダードの考え方を使用して、セキュリティ運用を行うことが可能となります。

参考URL:
https://docs.splunk.com/Documentation/ES/7.3.2/Admin/Includedthreatintelsources

Enteprise Securityを導入にすることによるメリット

いろいろ調べてみたのですが、Enterprise Securityを使うためのメリットには以下が挙げられると思いました。

  • 大量のアラートをシステム横断的に効率よく調査する
  • 全てのアラートを対処し続けるのではなく守るべき対象(オブジェクト)に対して高リスクとなるアラートに注力して対応する
  • SOAR製品などと連動して運用作業を自動化する
  • グローバルスタンダードフレームワークに沿ったセキュリティ運用を行う

最後に

Enterprise Securityは、Splunkのログ収集・分析機能を活かし、セキュリティ運用を高度化できる製品です。
一方で、機能が多く、MITRE ATT&CK Frameworkとは何か、それがEnterprise Securityの相関サーチなどの機能や運用作業とどう関連しているのか等を理解しないまま使用しても効果が薄くなってしまいます。
このためユーザー側にもそこそこセキュリティやSplunkに関する知識(SPLなど)が必要となる製品だなあ、と感じました。
(まあセキュリティのプラットフォーム製品なので当然と言えば当然なのかもしれませんが・・・・・・)

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?