Splunk Security EssentialsでセキュリティデータジャーニーとMITRE ATT&CKベンチマークの活用をレベルアップ

Splunk Security Essentials (SSE)は、導入済みのSplunk Cloud Platform、Splunk Enterprise、Splunk Enterprise Securityの能力を補強し、組織のセキュリティ成熟度がどの段階にあってもセキュリティプログラムを強化するために役立つAppです。このAppを使えば、MITRE ATT&CKフレームワークやサイバーキルチェーンに対応した事前構築済みのセキュリティコンテンツを含む充実したライブラリを活用して、簡単にセキュリティ態勢を可視化し、組織のニーズを満たす新しいコンテンツを見つけて導入できます。また、規範的なセキュリティデータ成熟度フレームワークに基づいて現在の成熟度を評価でき、成熟度を上げるために利用できる推奨のデータソースやセキュリティコンテンツを確認できます。

Splunkは3月、セキュリティプログラムの成熟度向上を加速させるのに役立つSSEバージョン3.8.0をリリースしました。このバージョンの注目点は以下のとおりです。

• セキュリティデータの成熟度向上ジャーニーが新しくなり、6つのステージの代わりに4つのレベルが取り入れられました。
• セキュリティコンテンツのサーチと読み込みが速くなりました。 
• 新しいMITRE ATT&CKベンチマークダッシュボードを使って、上位20の技法に対する検出ルールの対応度を評価できるようになりました。

以下では、それぞれの点について詳しくご紹介します。

新しくなったセキュリティデータジャーニー 

以前のSSEのセキュリティデータジャーニーは6つのステージに分かれていました。SSE 3.8.0では、Splunkセキュリティ成熟方法論(S2M2)に基づいて6つの「ステージ」から4つの「レベル」に改められ、デジタルレジリエンスに関するSplunkのプリスクリプティブバリューパス(PVP)に沿ったセキュリティ運用を実現するための規範的な成果が基準として取り入れられています。 

セキュリティユースケースは業界とともに進化しており、データと検出の関係がより密接になっています。それに伴って、セキュリティデータの成熟度向上を加速させることが求められています。このような状況を受け、Splunkのエキスパートは、セキュリティデータジャーニーの4つのレベルを通じて、これらの課題に対応できるように取り組んできました。テクノロジーの進化と環境の急速な変化のおかげで、セキュリティプログラムを強化し、ツール、データ、製品を統合して成熟度を向上させることが以前よりも容易になっています。では、その4つのレベルを以下に説明します。 

^{図1：セキュリティプログラムの成熟度向上を目指す新しいセキュリティデータジャーニーの4つのレベル}

レベル1 - 基本的なデータインサイトの獲得
このレベルでは、セキュリティインフラの基本コンポーネント(サーバーやセキュリティ管理システムなど)によって生成されるマシンデータと、資産やIDの参照データの収集に取り組みます。このデータを共通情報モデル(CIM)と組み合わせて使えば、ネットワーク内のシステムとユーザーを追跡し、重要なインフラを検出する仕組みを確立できます。SOC (セキュリティオペレーションセンター)を正式に構築する予定がない場合でも、データを正規化することで調査を効率的に行うことができ、アナリストの効率を向上させることができます。

レベル2 - データの探索と自動化
このレベルでは、データソースを増やして、検出機能を拡充し、簡単な対応作業を自動化します。エンドポイント、クラウド、DNSのデータと、脅威インテリジェンスフィードを組み合わせて、可視性を向上させ、より詳細なコンテキストを獲得することで、脅威を早期に検出し、インシデント対応を強化できます。世界レベルの脅威ハンターになると、DNSと詳細なエンドポイントデータを利用してネットワークに潜む異常を発見して追跡します。また、パスワードのリセット/ロックアウト、悪質なIPのブロックなど、定型的な作業を洗い出して、可能な限り自動化します。Splunkの共通情報モデル(CIM)を使ってデータを正規化すれば、セキュリティイベントの相関付けを大規模かつ迅速に行うことができます。

レベル3 - インサイトと分析の強化
データソースをさらに増やして、アプリケーション層のアクティビティの可視性を向上させることで脅威検出を強化するとともに、振る舞い分析を取り入れ、監視対象の攻撃対象領域を拡大します。これにより、内部脅威の検出が可能になり、インシデントの対応と調査にさらに多くの詳細ログを利用できるほか、特にOT/ICS環境において、ポリシーの適用とコンプライアンスの向上につなげることができます。

レベル4 - 統合型TDIRの確立
拡充したデータソースと、より高度な自動化により、可視化の穴を最小限に抑え、SOCとソフトウェア開発ライフサイクル内でリスクベースの統合されたTDIR (脅威の検出、調査、対応)ワークフローを構築します。 

Splunkのセキュリティ製品は、これらの各レベルでセキュリティ監視の強化とカバー範囲の拡大を支援します。セキュリティデータジャーニーの4つのレベルに沿って、基本的な監視から、データソースを増やして自動化を取り入れたより高度な監視、さらに、Splunk Enterprise Security、Splunk SOAR、Splunk UBAなどのプレミアム製品を利用した包括的なソリューションへとレベルアップできます。SSEの新しいセキュリティコンテンツページでは、組織のセキュリティレベルに応じてコンテンツをフィルタリングすることで、セキュリティプログラムの計画と整備に役立つコンテンツをすばやく見つけることができます。 

_{図2：新しいセキュリティデータジャーニーと新しいSplunk Appログに対応したSSEのセキュリティコンテンツページ}

SSEセキュリティコンテンツの操作の高速化 

前バージョンのSSE 3.7.0では、セキュリティコンテンツページの読み込みを高速化するための大幅な改修が行われました。しかし、Splunk ES Content Update (ESCU) Appでコンテンツがさらに追加されてその数が1,800を超え、すべての読み込みに時間がかかるようになっていました。セキュリティコンテンツページはSSEの要であり、最もよく使うページでもあります。最新バージョンのSSE 3.8.0では、1,800以上の検出ルールやその他のセキュリティコンテンツを数秒で読み込めるようになりました。そのため、コンテンツをすばやく利用し、サーチ、フィルタリング、ブックマークなどの作業を快適に行えるようになっています。 

新しいMITRE ATT&CKベンチマーク 

Splunk SURGe本部の指針の1つは、実際の環境に即した極めて実用的な調査情報を提供することです。私たちは、ランサムウェアのような、世界にはびこる厄介な問題への対応に懸命に取り組んでいます。

年末のプロジェクトでは、Mandiant社、Red Canary社、CISAをはじめとするセキュリティ業界の重要組織が公開した大量の年間脅威レポートを徹底的に調査しました。これらのレポートには脅威の動向に関する最新の知見が盛り込まれており、セキュリティ戦略の指標となるため、世界中の企業が注目しています。SURGeチームは、これらのレポートをメタ分析して、共通点、相違点、関連するATT&CK技法に沿った脅威の状況の変化を特定し、さらなるインサイトを引き出しました。その結果から、各レポートの年間リストに多く登場する上位20の技法のリストを作成しました。このリストは、特に蔓延している攻撃技法への備えがどの程度できているかをチェックするために役立ちます。

SSE 3.8.0では、そこからさらに一歩前進し、MITRE ATT&CKベンチマークダッシュボードを導入しました。SURGeの調査結果を直接反映したこのダッシュボードでは、上位20の攻撃技法に対する現在の準備状況をすばやく確認できます。

_{図3：ATT&CKの全体上位20の技法が表示されたSSEのMITRE ATT&CKベンチマークダッシュボード}

上の例では、20の技法に対して、環境内に導入済みの検出ルールは1件であり、カバー範囲は5%であることがわかります。ここでSplunk脅威調査チームが提供している検出ルールを取り入れれば、カバー範囲を理論上90%まで上げることができます。

_{図4：主要なATT&CK技法のカバー範囲は現在5%で、理論上90%まで上げられることが示されたベンチマーク}

SURGeは前述の分析で、攻撃フロー内で組み合わせて使われる技法についても調査しました。この調査では、2020～2022年のCISAアラートを含むデータセットを使って、アラートに示された技法間に明確な統計的関連性があるかどうかを調べました。統計的な関連性がある場合、複数のMITRE ATT&CK技法を組み合わせて実行する特定の攻撃フローまたは攻撃ツールが存在する可能性があります。このダッシュボードには、こうした相関性のある技法を見つけ出す手段も実装されており、相関率の係数を75%に設定することで、元の20の技法に加えて13の技法を追加しました。計算によると、最初に抽出した20の技法には、CISAアラートの75%以上で別の13の技法が組み合わされています。つまり、一方が存在すればもう一方も存在する可能性が高いと言えます。そのため、いずれかの技法を検出するためのサーチを実行するときは、よく組み合わせて使われる相関性の高い技法も同時にサーチすると、より効果的であると考えられます。

_{図5：2020～2022年のCISAアラートを分析して新たな関連性が見つかった13のMITRE ATT&CK技法が示された表} 

特に注視すべき技法がわかったら、次に考えるべきは、どのような検出ルールを利用でき、そのためにどのようなデータが必要かです。もちろん、この情報もダッシュボードで簡単に確認できます。各技法の詳細とともに、Splunk脅威調査チームが開発したすぐに使えるコンテンツの中から適用可能な検出ルールと、それを利用するために必要なデータソースが示されます。特定の技法を検出するために役立つデータフィールドもわかります。

_{図6：「T1505.003 Web Shell」技法に関するインサイトと、「Filesystem」、「Processes」、「Web」データモデルのデータソース要件}

その他にも、このダッシュボードでは、各技法に対応するMITRE ATT&CKデータソースの集計を表示できます。特に多くの技法に対応するデータソースは、「Process: Process Creation (プロセス：プロセス作成)」、「Command: Command Execution (コマンド：コマンド実行)」、「Network Traffic: Network Traffic Content (ネットワークトラフィック：ネットワークトラフィックコンテンツ)」です。簡潔に言えば、「プロセス、コマンドライン、ネットワークをよく監視しましょう」ということです。画期的なインサイトではありませんが、常に留意すべき基本事項です。

_{図7：SURGeが抽出したATT&CK技法上位20に対応するデータソースと技法の集計}

セキュリティコンテンツを配信するための新しいエンドポイント 

ESCUのセキュリティコンテンツ配信エンドポイントをSplunkのガイダンスに合わせて変更しました。そのため、SSEバージョン3.7.1以前を使用している場合、サポートされるESCUのバージョンは4.22.0までになります。最新バージョンのESCUを使用するには、SSEをバージョン3.8.0にアップグレードする必要があります。

ここまでお読みになったら、後は実践するだけです。Splunk Security Essentialsのバージョン3.8.0はSplunkbaseからダウンロードできます。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。