Splunkは、Recorded Future社との提携を発表しました。そこで、このコラボレーションがどれほどエキサイティングなものであるかを皆様にぜひお伝えしたいと思います。
「脅威インテリジェンス」という言葉を聞いたとき、私たちは、それがどのようなものであり、それによって何ができるかを完全に理解していると思い込んでいることがあります。それはネットワークデータと照合すべきIPやドメインをまとめたただのリストだと思っていませんか?
それは間違いです。
Recorded Future App for Splunkをすでにご利用の方は、この1年間でこのAppが驚異的な進化を遂げたことをご存じでしょう。私はRecorded Future社のチームと組んでリスクベースアラート(RBA)をアプリにシームレスに統合する作業を始めたときから、その充実した機能と直感的な設計に圧倒されました。そして、すべてのIOCに個別のルールが設定され、IP、ドメイン、URL、脆弱性、ハッシュからなぜその総合スコアが生成されたのかがわかるようになっているのを見て感動しました。このようなRBA風の情報集約やまとまったコンテキストこそ、アナリストが正確な判断を効率的に下すために切望しているものだからです。
私のことをご存じでない方もいらっしゃると思いますが、私はリスクベースアラートの重要性を伝える者として、これが今後、Splunk AppsにRBAを統合する際の基準になると考えています。このよく整理されて豊富なコンテキストを備えた脅威インテリジェンスとRBAの組み合わせは、とてつもないパワーを秘めています。
その他、最近開発された機能をいくつかご紹介します。
Recorded FutureEnrichment/Threat Hunt Adaptive Response Actions
既存の重要イベント内のフィールドを補強します。または、1回のみの履歴サーチを実行して、そのコンテキストをアラートに自動的に統合します。
Recorded FutureのSigma + YARA Ruleset
適切なデータがあれば、関連するSplunkデータを指定するだけでルールを適用できます。独自のSPLを記述することなく、100以上の検出ルールを追加できます。
Recorded Future Playbook Alerts
ドメイン登録情報、ロゴ検出、タイポスクワッティングなど、IOCを継続的に監視し、アラートに関連情報を自動的に追加して、アラートを常に最新の状態に保ちます。
提供されるすべての機能に精通しなくても、組み込みの各種ダッシュボードで、Recorded Futureの脅威インテリジェンスインジケーターを環境内で検出したり、個々のIOCの詳細や相互のつながりを調べたりできます。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。