Amazon Security Lakeの一般提供開始とOCSFの新しいリリース候補(RC)の登場でOCSFが本格始動へ

Paul Agbabian

セキュリティイメージセキュリティコミュニティの皆様、ついにOCSFが本格的に動き出します。前回のブログでは、ベンダーに依存しない共通の分類法を提供して、形式の異なるデータの正規化を支援するオープンソースプロジェクト、Open Cybersecurity Schema Framework (OCSF)の躍進についてご報告しました。今回は、OCSFが新たに達成した重要な成果をご紹介します。

Amazon Security LakeとSplunk Add-On for AWSの一般提供開始

2022年11月のAWS re:Inventでパブリックプレビューが発表されたAmazon Security Lakeの一般提供が開始されました。Amazon Security Lakeでは、データスキーマにOCSF、ストレージ形式にParquetを使って、Amazon VPC、AWS CloudTrail、Amazon Route 53、Amazon S3、AWS Lambdaなどのアマゾンウェブサービス(AWS)やサードパーティのソリューションを含む80種類のソースのセキュリティデータを統合できます。

Splunkは、AWS Amazon Security Lakeのローンチパートナー兼OCSFステアリングコミッティのフェローメンバーとして、Splunk Add-On for AWS v.7.0の一般提供を開始しました。このアドオンにより、Amazon Security LakeのデータをSplunkプラットフォームに取り込み、詳細な分析に利用できます。Splunk Enterprise Securityでも、Amazon Security Lakeのデータを活用してストリーミング分析を実行し、内部脅威、認証情報の悪用、ラテラルムーブメント、Living off the Land攻撃などの兆候を示す不審な挙動をリアルタイムで検出できます。

SplunkプラットフォームとAmazon Security Lakeをご利用になる場合は、Splunk Add-On for AWSの導入をご検討ください。インストールガイド(英語)とリリースノート(英語)もご活用ください。

OCSF RC 3のパブリックレビュー開始

OCSFオープンコンソーシアムは、これまでの努力の成果として、リリース候補3(RC3)のパブリックレビューを開始しました。この新しいスキーマバージョンは、業界やメンバーがこのリリースに自社製品を対応させるために短期間で評価した後、一般提供リリース(1.0 GA)として公開される予定です。1.xのリリーストレインでは、スキーマに新しいクラス、オブジェクト、カテゴリが追加される予定で、いずれもRC3や1.0 GAとの後方互換性が維持されます。

この数週間に、RC3のリリースに向けたいくつかの重要な変更が行われました。まず「Access Control」カテゴリに代わる「Identity and Access Management」カテゴリが追加され、主要なクラウドプラットフォームとデスクトップオペレーティングシステムのイベントのモデル化を改良するために、新規クラスの追加といくつかのクラスの更新が行われました。また、スキーマ、スキーマブラウザ、APIサーバーに、LinuxとWindowsのオペレーティングシステム固有の拡張機能が追加されました(詳しくはこちらをご覧ください)。さらに、スキーマブラウザの機能が拡張され、MITRE D3FENDのオブジェクト参照用のリンク、特定のイベントクラスのオブジェクト間の関係を示す相関関係グラフ、属性やオブジェクトの相互参照と同様の、プロファイルの詳細と相互参照が追加されました。

私はよく、OCSFメンバーやその他の関係者から、プログラムやサービスのイベントに適したイベントクラスの選び方を尋ねられます。詳しい回答は、OCSFドキュメントリポジトリのスキーマに関するFAQで「How do I create a typical OCSF event?(一般的なOCSFイベントを作成するにはどうすればよいですか？)」の項に記載していますが、簡単に言えば、まず、目的のイベントに最適なOCSFカテゴリ(「Identity and Access Management」カテゴリなど)を選択してから、そのイベントの種類が適切に定義されているクラスを選択します。すべてのOCSFイベントには、該当するイベントクラスの具体的なアクティビティの種類を示すactivity_id列挙が含まれます。そのあと、そのクラスに適用できるプロファイル(「Security Control」、「Cloud」など)を1つ以上選択します。プロファイルを選択することで、標準クラスに具体的なコンテキストを追加できます。

適切なイベントクラスが見つからない場合は、フレームワークの機能を使っていつでもスキーマを拡張できます。その方法については、こちらをご覧ください。または、OCSFに参加してコアスキーマの開発にご協力いただくこともできます。ご興味のある方は、info@ocsf.ioまでご連絡ください。

OCSF RC3のパブリックレビューはこちらから入手できます。ぜひお試しいただき、GitHubまたはSlackのOCSFメンバーワークスペースからご感想をお寄せください(こちらのSlackワークスペースにまだご参加いただいていない方で、参加をご希望の場合は、info@ocsf.ioにご連絡ください)。

このブログはこちらの英語ブログの翻訳、前園曙宏によるレビューです。

Paul Agbabian

Paul is responsible for technology strategy and architecture for the Security business unit at Splunk. Prior to joining Splunk, Paul was a Broadcom Fellow and the Global CTO and Chief Architect of the Symantec Enterprise Security Business Unit.

セキュリティ 2 分程度

Boss of the SOC v4を使って社内CTFをやってみた

「Boss of the SOC?」はじめて聞いた方もいると思いますが、セキュリティのBlue Team(防御側)を想定したクイズ形式のCTFイベントです。日本SE全員で社内CTFのドライラン（完全リモート）を実施しました。自己学習または社内CTFにBOTSコンテンツを使いたい方への参考情報をご覧ください。

セキュリティ 7 分程度

脆弱性、脅威、リスクの基本

「脆弱性」、「脅威」、「リスク」はよく一緒に使用されますが、サイバーセキュリティにおいては異なる概念を示します。

セキュリティ 5 分程度

Splunkで脅威ハンティング：アクティブなハンターのためのハンズオンチュートリアル

Splunkを使った脅威ハンティングに興味がある方や、悪者を見つけ出すスキルに磨きをかけたい方のために、このブログ記事では、Splunkでハンティングをする場合に役立つ、エキスパートによる記事をご紹介します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

Amazon Security Lakeの一般提供開始とOCSFの新しいリリース候補(RC)の登場でOCSFが本格始動へ

Amazon Security LakeとSplunk Add-On for AWSの一般提供開始

OCSF RC 3のパブリックレビュー開始

関連記事

Boss of the SOC v4を使って社内CTFをやってみた

脆弱性、脅威、リスクの基本

Splunkで脅威ハンティング：アクティブなハンターのためのハンズオンチュートリアル

Splunkについて

ブログのメール配信

XでSplunkとつながる

FacebookでSplunkとつながる