Splunk Attack Analyzerでクレデンシャルフィッシングとマルウェア攻撃の脅威分析を自動化

Splunkの統合されたセキュリティ運用エクスペリエンスに新機能が追加されました！Splunk Attack Analyzer (旧称Twinwave)を使えば、マルウェア脅威やクレデンシャルフィッシングが疑われる不審な挙動を自動的に分析できます。関連するフォレンジックデータを特定、抽出して、タイムリーで的確な判断に役立てることもできます。

多くのSOCアナリストが今日でも、脅威を分析して対処するために多数のセキュリティツールを切り替えながら調査を行うという非効率な作業に煩わされています。悪質な活動の全体像や、巧妙に仕組まれた一連の脅威の関連性を把握できないこともよくあります。 

このような状況では、クレデンシャルフィッシングやマルウェア脅威の調査を行うときに、データ、ファイル、URLを手動で相関付けてインサイトを導出する必要があり、結論を出して対策を講じるまでに時間がかかります。分析や検出のために従来のサンドボックス手法を使用することもよくありますが、これらのツールの多くは、幅広い侵入ベクトルを悪用する最新の複雑な攻撃に対応していません。また、サンドボックスを使用しても、悪質なコンテンツにアクセスして分析するという手作業が残るため、それが調査において効率の低下、問題の見落とし、判断の誤りを招く可能性があります。

脅威アナリストの負担を軽減

Splunk Attack Analyzerは、脅威の分析と関連するデジタルフォレンジックを自動化して、アナリストの時間を節約し、SOCの運用効率を向上させることにより、組織が攻撃に先手を打てるよう支援します。独自のテクノロジーによってクレデンシャルフィッシングやマルウェア脅威を分析することで、検出精度を最大限に高め、アナリストが確実かつスムーズに対応できるようにします。 

Splunk Attack Analyzerは、悪質なコンテンツへのアクセス、ファイルのダウンロード、さらにはアーカイブのパスワード入力まで、攻撃チェーンのさまざまな侵入ベクトルを自動的に検出し、そこから送り込まれたペイロードを分析します。

特長

Splunk Attack Analyzerに不審なサンプルが送信されると、実行されている攻撃の対策手順や関連するインテリジェンスとコンテキストがアナリストにただちに表示されます。アナリストは、このインサイトに基づいて、攻撃がどのように展開されているかをすばやく明確に理解できます。結論を出すためにデータを手動で相関付ける必要はありません。これにより、時間を節約して、イベントのバックログをすばやく確認し、アラートを正確に処理できます。

また、Splunk Attack Analyzer内に直接、独立した環境をシームレスに構築して、アナリストや組織のセキュリティを確保しながら、URLやファイルなどの悪質なコンテンツにアクセスすることもできます。個人情報を危険にさらすことなく、フィッシングが疑われるサイトやファイルに直接アクセスして詳細な調査を実行できます。

脅威分析と対応ワークフローをエンドツーエンドで完全に自動化

フィッシング攻撃の増加と多様化に伴ってアラートも急増し、SOCは日常的にトリアージに追われています。この問題を解決するには、脅威分析と対応ワークフローをエンドツーエンドで完全に自動化できるソリューションが必要です。Splunk Attack AnalyzerをSplunk SOARに統合して使えば、SOCアナリストが手動で調査を行ったり、複数の脅威分析製品をまたぐ複雑なプレイブックを作成したりしなくても、検出されたIOC (侵害の痕跡)を自動的に分析できます。Splunk Attack Analyzerで実際の脅威が確認されると、Splunk SOARによって、組織を守るために適切な対応プレイブックが実行されます。Splunk SOARとSplunk Attack Analyzerを組み合わせることで、SOCは世界トップレベルの唯一無二の分析能力を手に入れ、セキュリティ運用プロセスの効果と効率を向上させて、現在および将来の脅威に対応できます。 

Splunk Attack Analyzerの詳細

脅威分析を自動化しましょう。Splunkならそれが可能です！詳しくは、Splunk Attack AnalyzerのWebページをご覧になるか、担当のアカウントマネージャーにお問い合わせください。

このブログはこちらの英語ブログの翻訳、横田 聡によるレビューです。