SplunkとRecorded Future社の提携が生み出すメリット

Splunkは、Recorded Future社との提携を発表しました。そこで、このコラボレーションがどれほどエキサイティングなものであるかを皆様にぜひお伝えしたいと思います。

「脅威インテリジェンス」という言葉を聞いたとき、私たちは、それがどのようなものであり、それによって何ができるかを完全に理解していると思い込んでいることがあります。それはネットワークデータと照合すべきIPやドメインをまとめたただのリストだと思っていませんか？

それは間違いです。

Recorded Future App for Splunkをすでにご利用の方は、この1年間でこのAppが驚異的な進化を遂げたことをご存じでしょう。私はRecorded Future社のチームと組んでリスクベースアラート(RBA)をアプリにシームレスに統合する作業を始めたときから、その充実した機能と直感的な設計に圧倒されました。そして、すべてのIOCに個別のルールが設定され、IP、ドメイン、URL、脆弱性、ハッシュからなぜその総合スコアが生成されたのかがわかるようになっているのを見て感動しました。このようなRBA風の情報集約やまとまったコンテキストこそ、アナリストが正確な判断を効率的に下すために切望しているものだからです。

私のことをご存じでない方もいらっしゃると思いますが、私はリスクベースアラートの重要性を伝える者として、これが今後、Splunk AppsにRBAを統合する際の基準になると考えています。このよく整理されて豊富なコンテキストを備えた脅威インテリジェンスとRBAの組み合わせは、とてつもないパワーを秘めています。

その他、最近開発された機能をいくつかご紹介します。

Recorded FutureEnrichment/Threat Hunt Adaptive Response Actions

既存の重要イベント内のフィールドを補強します。または、1回のみの履歴サーチを実行して、そのコンテキストをアラートに自動的に統合します。

Recorded FutureのSigma + YARA Ruleset

適切なデータがあれば、関連するSplunkデータを指定するだけでルールを適用できます。独自のSPLを記述することなく、100以上の検出ルールを追加できます。

Recorded Future Playbook Alerts

ドメイン登録情報、ロゴ検出、タイポスクワッティングなど、IOCを継続的に監視し、アラートに関連情報を自動的に追加して、アラートを常に最新の状態に保ちます。

提供されるすべての機能に精通しなくても、組み込みの各種ダッシュボードで、Recorded Futureの脅威インテリジェンスインジケーターを環境内で検出したり、個々のIOCの詳細や相互のつながりを調べたりできます。

このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。