.conf & .conf Go

10月 25日, 2021

6 分程度

Splunkのセキュリティ製品で検出、調査、対応を迅速化

Jane Wong

2020年は歴史的にも大きな変化がもたらされた年でした。そして昨年は私たちも、クラウドへの大規模な世界的移行が一夜にして行われたかのようだと述べました。しかし、この「一夜にして」行われたと思われた移行は現在も進行中であり、昨年からの課題は引き続き残ったままであることがわかってきました。その中でも、複雑化するハイブリッドおよびマルチクラウドインフラは重要な課題の1つです。もちろん、セキュリティの可視化の欠如やそれがもたらす攻撃対象の拡大といった課題は言うまでもありません。

『2021年のセキュリティの現状』で実施された調査によると、デジタルトランスフォーメーションのスピードアップは最優先の課題として取り組まれていなかったようで、84%の組織が過去2年間に重大なセキュリティインシデントを経験しています。それだけでなく、49%の回答者がこの2年間でセキュリティ要件に対応することがより困難になったと回答しています。また、76%の回答者がリモートワーカーの保護は困難であり、SOCチームの対応が後れを取るのも無理はないと回答しています。

組織は今、エコシステム全体を可視化できない、SOCでアラートが大量に発生している、情報のコンテキスト化や自動化が進まないといった問題に直面しています。デジタルトランスフォーメーションを効果的に進めるにはセキュリティが不可欠であり、それを実現するのもセキュリティです。Splunkはそのための支援を行っています。

セキュリティのためのSplunk

Splunkは、脅威の滞留時間や解決時間の短縮が強く求められていると考えています。そこで今週の.conf21では、脅威に対抗し、トランスフォーメーションを安全に進めるための機能紹介や告知を行います。

Enterprise Security Cloud

Enterprise Security Cloudでは、以前に発表した機能の改善を引き続き行うと同時に、現在のSOCに欠かせない新機能を追加しています。その新機能をご紹介します。

Executive Summaryダッシュボード

Enterprise Securityでは、使用しているセキュリティプログラムの実行状況についての多くのメトリクスが提供されます。新しいExecutive Summaryダッシュボードには、SOCの全般的な健全性に関するインサイトを示すKPI (重要業績評価指標)が表示されるため、CISOやその他のシニアリーダーに対するレポートを容易に作成できます。

Executive Summaryダッシュボードでは、以下の項目を素早く確認することができます。

平均トリアージ時間
平均解決時間
調査件数
リスクベースアラートの傾向
その他

セキュリティ運用ダッシュボード

Executive Summaryダッシュボードと同様、セキュリティ運用ダッシュボードでも主要なインサイトを取得できますが、このダッシュボードではSOCマネージャーやチームリーダー向けの詳細な分析が表示されます。以前のEnterprise Securityには、インシデントレビューのディスポジション機能がありました。この機能を使用すると、イベントが真陽性、誤検知、良性の陽性のいずれであるかを記録することができます。新しいバージョンでは、このデータを経時的に表示およびレポートして、デフォルトの4つのディスポジションタイプそれぞれの要因となる関連ソースを詳しく調べることができます。これによって、詳しく調査すべきイベントと無視しても良いイベントを判断できるようになります。

クラウドセキュリティ監視ダッシュボード

また、クラウドセキュリティ監視ダッシュボードの機能も拡張されています。これによってAWSセキュリティグループやAWS IAMアクティビティなどの新しいダッシュボードが追加され、アマゾンウェブサービス環境の可視化機能が強化されただけでなく、Microsoft 365のデータを取得する新しいダッシュボードも追加されました。

リアルタイムの自動コンテンツ更新

製品内にリアルタイムの自動コンテンツ更新機能が追加されました。Splunk脅威調査チームによる最新のセキュリティコンテンツが利用可能になると、それをワンクリックで取り込むことができます。

Security Cloudの行動分析機能(プレビュー)

Splunk Security Cloudの行動分析機能(現在はプレビュー)では、ストリーミングセキュリティ分析機能を使用した脅威検出が可能で、未知の脅威およびユーザーやエンティティの異常な行動を検出できます。また、クラウドのSIEMに、サーチベースの相関分析やバッチ分析といった従来の機能に加えて、リアルタイムのサーチと分析の機能が加わることで、平均検出時間を短縮し、行動に関するリスクベースで精度の高いアラートの追跡に多くの時間を割くことができるようになります。

Splunk Security Essentials

Splunk Security Essentialsでは事前構築済みの検出機能と分析ストーリーを利用できます。分析ストーリーとは、Splunk Security Essentialsのセキュリティユースケースにおける攻撃やイベントなどに対応する検出機能をグループ化したものです。また、.conf21までには、Splunk Security Essentials 3.4.0で、MITRE ATT&CKによる業界基準の推奨検出方法の導入とカスタムコンテンツマッピングの拡張が行われます。さらに、有用なSplunkbaseアドオンを見つけるための新機能も追加され、現在の環境でより多くのセキュリティコンテンツを利用できるようになります。

SOAR

Splunk SOARを使用すれば、コーディングできない初心者からSOARの上級ユーザーまで、誰でも自動化を実現できます。Splunkは、価値実現までの時間を短縮できるように、ユーザーエクスペリエンスの変更と改善に注力しています。

Visual Playbook Editor

新しいVisual Playbook Editorではインターフェイスがシンプルになり、セキュリティタスクの自動化がこれまで以上に簡単になりました。主な変更点は以下のとおりです。

視認性と操作性の向上
プレイブックの縦方向表示
カスタムコードへの依存度を低減

SplunkbaseのApp

Splunk SOARのAppがSplunkbaseから利用できるようになりました。Splunkbaseは、Splunkのパートナーとコミュニティによって構築されたテクニカルインテグレーションの大規模なエコシステムであり、SOARの機能を拡張するためのワンストップショップとして利用できます。

App Editor

新しいApp Editorでは、既存のAppの表示、テスト、拡張、編集に加えて、新規のAppの作成をSOARのユーザーインターフェイスから簡単に実行できます。これによって以下が実現します。

すべての開発工程を1つのUIで行い、時間と労力を削減
コードの表示と追加、動作のテスト、ログによる結果の確認とトラブルシューティングを簡単に実行
Appの機能をさらに詳細に可視化し、ユースケースにあわせて変更

TruSTAR Intelligence Management

TruSTAR Intelligence Managementを使用すると、企業内および企業間のデータサイロを解消し、セキュリティの効果をビジネス目標と整合させ、サイバーレジリエンスと運用効率を向上させることができます。SplunkとTruSTARの統合が継続されることで、両社のユーザーには以下のようなメリットがあります。

インテリジェンスソースのノイズを低減し、アラートの優先順位付けを改善
チーム、ツール、パートナー間で脅威インテリジェンスデータを簡単に共有
インテリジェンスの正規化に基づくエンリッチメントにより、Splunk SOARプレイブックの効率が向上

SURGe

セキュリティ脅威の複雑さは急激に高まっていますが、専門家の知識、洗練されたプロセス、最先端のテクノロジーを利用できれば、組織は常にプロアクティブにビジネスを保護できます。SURGeは、コンテキストに基づく情報とインシデント初動対応テクニックをタイムリーに提供することで、注目度が高く一刻を争うサイバー攻撃にセキュリティチームが速やかに対応できるように支援します。SURGeによるテクニカルガイダンスをタイムリーに活用することで、セキュリティチームは混乱の中でも状況を正確に把握して、平均検出時間と平均対応時間を短縮できます。

SURGeを利用すると以下のことが実現します。

インシデントの初動対応テクニックによってブルーチームを支援
信頼できる脅威インテリジェンスを利用して脅威に先手を打つ
Splunkの人材、プロセス、テクノロジーを活用してビジネスを保護

注目度の高いサイバー攻撃について通知を受け取りたい場合は、アラート通知に登録して、SURGeによるインシデントの初動対応ガイドを入手してください。

Splunkがクラウド時代のセキュリティ体制構築をどのように支援するのか、もっと詳しくお確かめになってみませんか？20,000人を超えるSplunkのお客様とパートナーとご一緒に、.conf21のオンデマンド配信で、Splunkのセキュリティポートフォリオ全体にわたるアップデートや詳細なデモをぜひご覧ください。

#splunkconf21のハッシュタグが付いたツイートをぜひご確認ください。

@splunkをフォロー

このブログはこちらの英語ブログの翻訳、横田聡によるレビューです。

タグ

Splunk Enterprise Security Splunk SOAR

Jane Wong

Jane is the VP of Products for the Splunk security product portfolio, including Splunk Enterprise Security (SIEM), Splunk Phantom (SOAR), Splunk User Behavior Analytics (UEBA), and several emerging cloud security services that are foundational to the pursuit of Splunk’s disruptive vision to make machine data accessible, usable, and valuable for everyone. At Splunk we are committed to our strong sense of purpose to deliver "aha" moments for our customers based on their data.

Jane is passionate about security and over the past decade has led teams building market-leading products in Data Loss Prevention, Network and Endpoint security. Most recently, Jane led the email product portfolio as the VP of Engineering and Product Management at Symantec. Earlier in her career, Jane held various engineering roles at enterprise technology companies, earning several patents. Jane holds a BS from the University of London.

.conf & .conf Go 3 分程度

2023年Splunk Partner Awards受賞者発表！

.conf23で2023年Splunk Global/Regional Partner Awardsの受賞者が発表されました。受賞した皆様、おめでとうございます！

.conf & .conf Go 6 分程度

Splunkオブザーバビリティソリューションの最新イノベーションで実現する統一感のあるエクスペリエンスで検出、調査、対応をスピードアップ

Splunkは、統合されたソリューションによってトラブルシューティングを一層強化し、IT運用チームとエンジニアリングチームが本番環境での障害に十分に備え、的確に対応できるようにするための、一連のイノベーションをリリースします。

.conf & .conf Go 1 分程度

すべての人、組織がデータを活用できる世界へ - SplunkLive! Virtualへようこそ。

まもなく、SplunkLive! Virtualが実施されます。SplunkLive! APACの開催は2021年6月1日（火）10:00 - 14:30 (日本時間) を予定しております。今年もまた皆様にSplunkの様々なソリューションをご紹介するコンテンツをお届けできることを大変嬉しく思います。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら