URLの自動脅威分析でSIEMイベント処理を強化する

Splunkは、Splunk Add-on for Splunk Attack AnalyzerとSplunk App for Splunk Attack Analyzerのバージョン1.1をリリースしました。これらのAppにより、セキュリティ運用のエクスペリエンスの統合を強化できます。

今回のリリースの注目点は、URLの脅威分析の判定を自動で実行し、その結果をSplunk Enterprise Security (ES)の重要イベントに取り込む機能です。これにより、SOCチームはセキュリティ対策をさらに強化できます。

この統合により、監視と分析機能の性能と効率が新たなレベルに引き上げられます。URLの詳細な調査を自動化することで、サイバー攻撃の侵入経路としてよく使われる、Webトラフィックに潜む潜在的な脅威をすばやく検出し、対応できます。 

Splunk Attack Analyzerで疑わしい脅威の分析を自動化

Splunk Attack Analyzerを使えば、マルウェア脅威やクレデンシャルフィッシングが疑われる不審な挙動を自動的に分析できます。煩雑な手動のワークフローを必要とする他の分析ツールとは異なり、このソリューションでは複雑な攻撃チェーンの各ステップを自動的に追跡して分析し、問題のペイロードを特定できます。

また、Splunk Attack Analyzerでは、結果を判定し、フォレンジックデータを抽出して、現在の脅威に関するインテリジェンスやコンテキストとともに表示します。そのため、SOCチームは、攻撃者がどのような活動を行っているかをすばやく明確に理解できます。 

業界屈指のSIEMソリューションであるSplunk Enterprise Securityでは、忠実度の高いアラートが重要イベントとして表示されます。これがインシデント調査の出発点になります。重要イベントは重大度によって簡単に並べ替えることができるため、セキュリティインシデントの優先順位をすばやく判断して修復に取り掛かることができます。

生成された重要イベントに対して、アダプティブレスポンスアクションを手動または自動で実行することもできます。これにより、重要イベントを調査した後の対応と修復も迅速に行えます。 

脅威分析を実行するURLオブジェクトを自動送信

Splunk Add-on for Splunk Attack Analyzerでは、アダプティブレスポンスアクションを使って、重要イベント内のURLオブジェクトを分析のためにSplunk Attack Analyzerに自動的に送信できます。 

分析後、URLの判定結果が重要イベントの履歴に直接配信され、セキュリティアナリストに以下のような詳細が提供されます。

• 全体の判定とスコア 
• 攻撃チェーンの分析で実行された各ステップのアクション

重要イベントの履歴でジョブリンクをクリックし、Splunk Attack Analyzerのユーザーインターフェイスに分析結果を表示して、以下の詳細なインサイトを確認することもできます。

• 分析の実行に使われたエンジン 
• 分析された個々のリソース

URLの自動脅威分析をSplunk ESに組み込むというプロアクティブなアプローチにより、悪質なアクティビティを迅速に検出できます。また、ESの重要イベントに関する詳細なインサイトを補強することで、的確でタイムリーな意思決定を情報に基づいて行うことができます。

サイバー脅威のスピードと複雑さが高まり続ける時代に、この統合によってより包括的で俊敏かつ効果的なセキュリティ態勢が実現するだけでなく、Splunk Attack AnalyzerのURL判定をSplunk Enterprise Securityの堅牢なフレームワークにシームレスに組み込むことができ、大きな価値をもたらします。 

今すぐバージョン1.1にアップグレード 

• Splunk Add-on for Splunk Attack AnalyzerとSplunk App for Splunk Attack Analyzerのバージョン1.1は、Splunkbaseからダウンロードできます。
• 機能の詳細については、Splunk App for Splunk Attack AnalyzerまたはAdd-on for Splunk Attack Analyzerのリリースノートをご覧ください。 

Splunk Attack Analyzerについて 

Splunk Attack Analyzerについて詳しくは、製品ページまたは製品概要をご覧ください。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。