セキュリティの状況をリアルタイムで高度に可視化し、脅威の検出を強化して、Splunk CloudやSplunk Enterpriseの能力を拡張します。
ユースケース
セキュリティ監視
あらゆるソースや形式のデータを集約して分析し、環境全体をエンドツーエンドで可視化して、インシデントの検出、調査、対応にかかる時間を短縮できます。
課題
環境全体を可視化できないことが、監視、調査、対応の妨げになる
セキュリティチームにとって、環境全体を可視化できないことは負担の増大につながります。多くの場合、データを集約して環境全体のセキュリティ態勢を監視する仕組みが整備されていないことが原因です。データがサイロ化していると、監視、脅威の検出、インシデント対応、レポートのいずれにおいても精度が下がりがちです。
解決策
環境全体をエンドツーエンドで可視化して脅威検出の精度を向上
リアルタイムでのセキュリティ態勢の可視化
あらゆるソースのデータを1日あたり数十テラバイト規模で監視して、エンドツーエンドの可視化を実現
サーチと分析
分散環境でもデータをシームレスにサーチして、調査と修復を迅速化
アラートの優先順位付け
データやアラートを相関付けてセキュリティ態勢に関するインサイトを獲得し、インシデントのコンテキストを把握
事前定義済みの幅広い検出手法
実績あるエキスパートが、MITRE ATT&CK、NIST、CIS 20、サイバーキルチェーンなど、業界標準のフレームワークに沿って開発したすぐに使える検出手法を活用して、脅威に先手を打つことができます。
最終的に、その使いやすさを十分に確認できたため、新たなSIEMとしてSplunk Enterprise Securityの選定に至りました。
あらゆるソースからあらゆるデータを取り込む
構造化データであるか非構造化データであるかを問わず、あらゆるソースのデータを1日あたり数十テラバイト規模で監視して、オンプレミス、ハイブリッド、マルチクラウドを含む環境全体をエンドツーエンドで可視化できます。これにより、データに基づく意思決定を支援して、リスクの低減と組織の保護につなげることができます。
Splunk Cloud Platformは、当社が導入しているウイルス対策ソフトウェアであれ、エンドポイント検出/対応ツールであれ、あらゆるソースからのログを処理します。アラートを生成してチケットをオープンし、オンコールSOCアナリストに通知するSplunkは、私たちのセキュリティ運用の基盤です
データを直感的に把握できる事前構築済みのダッシュボード
使いやすいダッシュボードで、セキュリティデータ、チームパフォーマンス、メトリクスを確認、把握して、セキュリティ監視とインシデント管理を効率化できます。
Splunkでデータを最大限に活用して、より高度なセキュリティイニシアチブの推進と、サイバーセキュリティ脅威に対するレジリエンスを実現しています
セキュリティ監視とは、情報セキュリティ、脆弱性、脅威の状況を常に把握して、組織のリスク管理に関する意思決定を支援するプロセスを指します。
MTTDは、SOCチームが1件のインシデントまたはセキュリティ違反を検出するまでにかかる平均時間を指します。MTTDが短いほど、チームのパフォーマンスが優れていると言えます。MTTDは、インシデントを迅速に検出して対応を開始し、顧客への影響を最小限に抑える能力を評価する指標として使われます。
MTTRは、平均解決時間(Mean Time to Resolution)とも呼ばれ、SOCチームが1件のインシデントを検出してから完全に解決するまでにかかる平均時間を指します。MTTRが短いほど、インシデント対応が迅速で効果的であることを示します。
MITRE ATT&CKは、サイバー攻撃で一般的に使用される戦術、技法、手順(TTP)をまとめた知識ベースで、攻撃者が使用する方法が文書化されており、実際の攻撃で確認、報告されているTTPのプレイブックとして参照されます。組織はMITRE ATT&CKに基づいて攻撃を分類し、リスクを評価します。攻撃者の行動を体系的に理解し、関連する脅威の検出方法を特定、実装することで、全体的なセキュリティ態勢を強化できます。
