あなたはSOCで働くセキュリティアナリストだとします。セキュリティツールの1つで、問題発生の可能性を知らせるアラートが発生しました。これから何が起こるでしょうか?
- アラートは見る見るうちに増えて80件以上に達し、終業時間までに半分も対処できそうにありません。
- 残念ながら、一部のセキュリティツールはこういったアラートの分析と優先順位付けには力不足のようです。
- アラートに脅威インテリジェンスが関連付けられていないでしょうか?残念ではありますが、手作業で対処しなければなりません。
- イベントに関するコンテキストがアラートに含まれるのでは?という期待も裏切られました。
- その間にも時間は過ぎていきます。調査を開始し、20以上のセキュリティツールや管理コンソールを切り替えながら状況を把握し、アラートをトリアージします。
- 各種のツールを駆使して対策を実行しますが、操作は手作業で行わなければなりません。
- 45分以上苦戦してようやく最初の問題を解決し、ケースをクローズして、順番待ちしている次のアラートの対応に取り掛かります。
何が起こったのかを検討してみましょう。
あなたは脅威の検出、調査、対応(TDIR:Threat Detection, Investigation, and Response)のステップをいつもどおりにこなしました。しかし、その道のりは容易ではありませんでした。手作業に多くの時間と労力を費やしたはずです。
この状況を改善するために何ができるでしょうか?検出、調査、対応はできましたが、もっとすばやく効率的に行うには?30%の誤検知率を劇的に下げて、できるだけゼロに近づけるには?アラートの量を80%削減するには?45分かかっていたプロセスを45秒以内に短縮するには、どうすればよいでしょうか?
検出と調査
まずは、最高レベルのSIEMソリューションを使用して、脅威を検出し、データを分析する必要があります。Splunk Enterprise Securityは、ガートナー社、Forrester社、IDC社の3大調査会社の主要SIEMレポートすべてでリーダーに選出された唯一のSIEMソリューションです。だからといって、Splunkはその栄誉に安住してそれ以上の努力を怠ることはありません。常にスピード感を持ってイノベーションを起こし続けています。
- Splunk Enterprise Securityは、セキュリティ状況を詳細に可視化して、より迅速で的確な意思決定を支援します。新機能には、インシデントの影響範囲の迅速な特定と的確な対応をサポートする脅威トポロジーの表示や、セキュリティフレームワークを組み込むことでワークフローの効率を向上させるMITRE ATT&CKフレームワークの表示などがあります。
- リスクベースアラートも強化されているため、アラートの忠実度と優先順位の判断が向上し、アラートを最大で80%削減できます。
- 買収したTruSTARが「脅威インテリジェンス管理」という名称でSplunk Enterprise Securityに統合されました。その結果、アラートが常に脅威インテリジェンスによってあらかじめ補強され、調査時間を短縮できるようになりました。
- Splunk脅威調査チームは引き続き、組織が最新の技法で新たな脅威に対応するために役立つ、機械学習を活用した新しいサーチと検出機能をリリースしています。
- もちろん、これで終わりではありません。Splunk Ideasサイトでお客様から寄せられたリクエストを参考に、現在もさまざまな新機能の開発や既存機能の強化に取り組んでいます。いつでもリクエストをお寄せください!
さて、脅威を検出して調査を開始したとしましょう。攻撃を詳しく分析して理解し、迅速な対応につなげなければなりません。そこで登場するのが、脅威分析を自動化して、検出を回避する複雑な攻撃チェーンもすばやく解明する、Splunk Attack Analyzer (旧TwinWave)です。Splunk Attack Analyzerを使用すると、マルウェアや認証情報フィッシングのフォレンジックや攻撃技法を包括的に可視化して、これらの脅威のプロセス分析を効率化できます。Splunk Attack Analyzerには以下の特徴があります。
- 認証情報フィッシングでもマルウェアでも、統合されたサンドボックスソリューションなどの多層型の検出テクニックで効率的かつ確実に検出します。
- レポート作成時に脅威アーティファクトの特定時点のアーカイブを表示するなど、脅威フォレンジックで攻撃の技術的な詳細を確認できます。
- Splunk SOARをはじめとするSOAR製品と直接統合して、脅威の分析と対応に関するワークフローをエンドツーエンドで完全に自動化できます。
Splunk Attack Analyzerは、従来のサンドボックステクノロジーとは異なる斬新なアプローチで、脅威分析を自動化するための業界屈指のテクノロジーを提供します。悪質なコンテンツへのアクセス、ファイルのダウンロード、さらにはアーカイブのパスワード入力まで、攻撃チェーンのさまざまな侵入ベクトルを自動的に検出し、そこから送り込まれたペイロードを分析します。
Splunk Attack Analyzerについて詳しくは、Splunk Attack AnalyzerのWebサイトをご覧ください。
対応
次は、対策を実行しますが、手作業で行うのでしょうか?もちろん違います!オーケストレーションと自動化による対応を可能にするSplunk SOARなら、セキュリティワークフローの一環としてさまざまな調査と対策を自動的に実行できます。オーケストラを指揮するように、Splunk SOARは自動化プレイブックを使って各種のツールに指示を出し、あらかじめ定義されたプロセスに沿ってアクションを次々に実行します。これで、今まで45分かかっていたプロセスを45秒に短縮できます。Splunk SOARの最新のイノベーションには以下のものが含まれます。
- 新しい事前構築済みプレイブックを使って、一般的なセキュリティユースケースに対応できます。たとえば、IDレピュテーション分析によってフィッシングを未然に防止したり、複数のセキュリティテクノロジーを使って脅威ハンティングを行い、環境内のデータソースでアーティファクトを検出したりできます。
- Splunk SOARに対応した400以上のテクノロジーインテグレーションを利用できます。もちろん、今後も続々と追加されます!
- プレイブックの実行状況や実行結果など、SOARに関する主要な情報が、統合セキュリティ運用インターフェイスであるSplunk Mission Controlに統合されます。
すべてを統合
ここまでご説明したとおり、Splunkのセキュリティツールを使えば、脅威の検出、調査、対応のスピードと効果を向上させることができます。さらに今後は、セキュリティ運用に関わるすべてのワークフローを統合して、1つの画面で管理できます。Splunkは2023年3月、Splunk Mission Controlの新機能と機能強化を発表しました。このクラウドベースの管理コンソールを使えば、SIEM、SOAR、脅威インテリジェンス、分析を1つの画面に統合して、ワークフローを合理化し、SOCの効率を向上させることができます。Splunk Mission Controlには以下の特徴があります。
- 検出、調査、対応機能を統合して、リスクの特定と問題の解決にかかる時間を短縮します。
- 調査と対応のプロセスを対応テンプレートにコード化し、自動化および再利用できるようにして、セキュリティワークフローを効率化します。
- セキュリティ業務を自動化してスピードと効率を向上させ、セキュリティプロセスを最新化して、チームを支援します。
.conf23に参加する方は必見!
今週ラスベガスで開催される.conf23に参加される場合は、Splunkのセキュリティテクノロジーのすべてがわかる充実のブレイクアウトセッションとハンズオンワークショップをぜひチェックしてください。Splunkの最新のイノベーションで喫緊のセキュリティ課題を解決する方法について詳しくは、.conf23のAppまたはWebサイトにログインし、上記のセキュリティテクノロジーを検索してください。皆様の興味を引くセッションがきっと見つかります。主なセッションをいくつかご紹介します。
- SEC1413A - A Comprehensive Guide to Splunk Security: What's New and What's Next? (Splunkセキュリティ総合ガイド:最新情報と将来の展望)
- SEC1310A - A Beginner’s Guide to Splunk® Mission Control: Houston, We Don’t Have a Problem (Splunk® Mission Controlビギナーガイド:ヒューストン、こちらは問題ありません)
- SEC1312A - Reach Liftoff With Splunk® Mission Control - A Hands-on Workshop (Splunk® Mission Controlで離陸準備 - ハンズオンワークショップ)
- SEC1412A - Introduction to Splunk® Attack Analyzer (Splunk® Attack Analyzerのご紹介)
- SEC1979B - Get Hands-on With Splunk® Enterprise Security (Splunk® Enterprise Securityハンズオン)
- SEC1349B - Automation Games - A Hands-on Workshop with Splunk SOAR (自動化ゲーム - Splunk SOARハンズオンワークショップ)
- SEC1691B - Unleashing the Power of UBA: What's New and What's Next (UBAの能力を解き放つ:最新情報と将来の展望)
.conf23でお会いしましょう!
#splunkconf23のハッシュタグが付いたツイートをぜひご確認ください。