Splunk SOARでセキュリティ運用の自動化はじめました

とあるセキュリティ担当者の日常

「Aさん、全社共通のSpamメールボックスにメールが届いていたから確認をお願いします。」

「･･･また新手の攻撃キャンペーンでもはじまったか？」と内心面倒だったが、Aは忙しい業務の傍らでSpamメールボックスに届いた不審なメールの中身をチェックしはじめた。

「まずはメール本文を読んでみるか。日本語も上手だし、一見、正規のメールにも見えるな。文面だけでは判断できないので、本文内に記載されたURLのレピュテーション評価をしておこう」

「念の為、URL内のDomainについてもDomainレピュテーションサービスを使ってチェックしておこう。」

（本文内のURLとDomainの数だけ、レピュテーションサービスサイトにコピー＆ペーストを繰り返す…）

「URL/Domainのレピュテーション評価でいくつか黒判定をしているようだ。一応、URLに代行アクセスしてくれるScreenshotサービスでwebサイトの様子を見てみよう」

「よし。これは正規のサービスを装ったフィッシングメールと判断して、全社に不審メールに関する注意アナウンスを出そう。」

（その後、Aさんはリスク管理室と連携し、注意アナウンスを出した。）

対応内容から見えてくる課題

ここまでの調査にかかった時間は30分程度かもしれません。しかしユーザーからSpamボックスにメールが転送された時間は昨日の19時頃。昨日はチームの歓送迎会などもあり早めに業務を切り上げていた。全社アナウンスをした時にはすでにユーザがメールを開いていて、攻撃者による侵害が始まっているかもしれません。 日中の忙しい業務の中「人」に依存したマニュアル調査には以下の課題があります。

• 担当する人によって調査に使うツールやサービスが異なるため調査結果にブレが生じる
• 日中9-17時以外の夜間・休日に初動対応が取れないため対応が後手になる
• 単調な作業にモチベーションがあがらない

これらの課題を解決し、平準化された運用フローを確立するための支援ツールとしてSOAR（Security Orchestration Automation & Response）のSplunk SOARがあります。

Splunk SOARであれば上記のような不審なメールの調査フローもプレイブックを元に自動で回すことによって、数十秒で処理を完結することができます。

今年に入ってSplunk JapanではSplunk SOAR Hands-Onを数回開催し、沢山のセキュリティ運用担当のお客様にご参加いただきました。その中で頂いたご意見として「自分達でplaybookを準備できるようになるまでに色々な具体例を紹介してほしい」がありました。

そこで今後は本Blogにて再利用のしやすい以下、代表的なプレイブックを紹介していきたいと思います。

Splunk SOARはCommunity版であれば無償で1日100アクションまで利用可能です。

まずはSplunk SOAR Communityに登録してOVAイメージをダウンロードして試してみてください。

Splunk SOAR関連情報

Splunk SOAR Community登録＆ダウンロードはこちらから。

Splunk SOARの検証環境を準備するために参考となる日本語記事をご案内いたします。

参考記事：SOARやろうぜ！無償のSplunk SOAR Community版使って。~準備編~

ガイド：「SOAR導入ガイド」

ホワイトペーパー：「SOARに必要な10の機能」

詳細を聞きたい方は、Splunk Japan営業までご相談ください。