セキュリティ

10月 11日, 2024

3 分程度

<第2回>Splunkでセキュリティダッシュボードを作成しよう！データの取り込み(その1)

本記事では、「Splunkでセキュリティダッシュボードを作成しよう！」シリーズにおける第2回として、ダッシュボードのソースであるデータの取り込み手法の検討について紹介します。

第1回：全体概要（ゴールと内容の説明）　
第2回：データの取り込み(その1)　←今ここ
第3回：データの取り込み(その2)
第4回：フィールド抽出と正規化
第5回：SPLの書き方(その1)
第6回：SPLの書き方(その2)
第7回：検索の高速化
第8回：Dashboard Studioでダッシュボードを作成(その1)
第9回：Dashboard Studioでダッシュボードを作成(その2)
第10回：Dashboard Studioでダッシュボードを作成(その3)

1. データの取り込み手法の検討

一般に、ダッシュボードを設計・作成する際は、ダッシュボードのユースケースを想定し、ユースケースに合わせた要件を抽出した上で、必要なデータを取り込む必要があります。Splunkは多様なデータ取り込み手法があり、拡張機能(App、Add-on)を用いることで簡単に実装することができます。新たにデータを追加する際、どのようにデータを取り込むかについては下記Stepを踏むことで効率的に進めることができます。

ⅰ. SplunkbaseやwebでAdd-onを探し、Add-onに記載の方法を採用
ⅱ. (Add-onがない場合)Universal Forwarder (UF) +自前でフィールド抽出やソースタイプ定義をすることを検討

本記事で作成するダッシュボードに必要なログは下記の3種類です。これらログの取り込み方法について検討します。

Azureのsigninログ
IDS / IPS (Juniper) のアラートログ (syslogに集約している場合を想定)
外部で公開されているセキュリティに関する情報 (RSSフィード)

データ取り込みの方法は、まずiの方法で実現できないか検討します。splunkbaseにアクセスし製品名(Azure、Juniper)や手法(RSS)で検索します。

splunkbase

Azureについては複数のApps (40種類)がヒットします。

azureの検索結果

データ取り込みに関わるAppsは“Add-on”と名称がついているものです。Splunk Add on for Microsoft Azureと表示されたAdd-onを開きます。

Splunk Add on for Microsoft Azure

SummaryとDetailsのタブを確認し、このAdd-onが今回の用途で使用できるか確認します。DetailsにGitHubへのリンクが記載されていたので、詳細を確認します。

GitHub

docのinstallationページにこのAdd-onをどのSplunkコンポーネントにインストールするか、が書かれていました。Splunk Cloud、Search Head (オンプレの場合)、またはHeavy ForwarderにこのAdd-onをインストールすることでデータ取得ができると記載されています。App/Add-onによってインストール先のSplunkコンポーネントが異なるため、App/Add-onごとにインストール先を確認しておくことが必要となります。

doc

ここまでで、AzureログはAdd-onを用いて取得できることがわかりました。

次にIDS / IPS (Juniper) のアラートログについて調べます。juniperと検索すると2つのAppsがヒットしました。

juniperの検索結果

Azureの場合と同様、Add-onと表示されているAppを選択するとDetailsにdocリンクが記載されていました。

Splunk Add-on for Juniper

Add-on for Juniperのdocでは、Search HeadおよびIndexer(Heavy Forwarderを使わずUniversal Forwarderを使用する場合)に、このAdd-onをインストールすることでデータ取得ができると記載されています。実環境上にApp/Add-onを導入する際は、これらAppのインストール先を最初に把握してから作業をする必要があります。

doc

最後に、外部で公開されているセキュリティに関する情報 (RSSフィード)について調べます。splunkbaseにてRSSと検索すると複数の候補がヒットしました。この中からsyndication Input (RSS/ATOM/RDF) がデータ取り込みに使用できることが説明文から読み取れたため、詳細を確認します。

rssの検索結果

このAppについてはSplunk Supportではないためdocのリンクはありませんが、作成者のGitHubのリンクがあります。また、ページの説明から、このAppをインストールすることでSplunkのUIからInput設定(データ取り込み設定)を作成できることがわかります。このデータソースは、外部ソースから直接Splunkにデータを転送することができそうです。

Syndication Input

以上によって、今回の3種類のログを取り込むために使用するAdd-onと、そのインストール先がわかりました。

次回、これらデータの取り込みを行うための手順について紹介することにします。

倉浪晃一(Kuranami Koichi)

2024年入社。入社前は、日系SIerにてクラウドサービスの開発・運用、外資系SIerにてITインフラの提案活動に従事。「運用がわかるプリセールス」として、製品導入後の運用保守も見据えた提案を行うことがモットー。異なるフォーマットのログを手間をかけずに取り込み運用業務の改善ができる、という点に興味をもち入社。趣味はお笑いライブ鑑賞。

セキュリティ 3 分程度

CVEを制する者は脆弱性対策を制する：リモートワークをセキュアに

リモートワークを行うには、社外から社内ネットワークへの全てのVPNアクセスを管理することが最優先です。しかし、それ以外のAppなどの脆弱性監視が疎かになっていませんか。脆弱性をチェックするための方法をご紹介します。

セキュリティ 2 分程度

<第1回>Splunkでセキュリティダッシュボードを作成しよう！全体概要

「Splunkでセキュリティダッシュボードを作成しよう！」シリーズにて10回に分けてセキュリティをはじめとした様々なデータを取り込み、データの分析手法、およびダッシュボードの作成方法を紹介します。本記事では、このシリーズで作成するダッシュボードのゴールと、各回で説明する内容についてお伝えします。

セキュリティ 13 分程度

クラウドアカウント乗っ取りの検出：脅威調査リリース(2022年10月)

Splunkの脅威調査チームが、Azure、アマゾンウェブサービス(AWS)、GCPで利用可能なテレメトリとそのデータをSplunkに取り込む際のオプションの詳細について説明します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

<第2回>Splunkでセキュリティダッシュボードを作成しよう！データの取り込み(その1)

1. データの取り込み手法の検討

関連記事

CVEを制する者は脆弱性対策を制する：リモートワークをセキュアに

<第1回>Splunkでセキュリティダッシュボードを作成しよう！全体概要

クラウドアカウント乗っ取りの検出：脅威調査リリース(2022年10月)

Splunkについて

ブログのメール配信

XでSplunkとつながる

FacebookでSplunkとつながる