ログで基盤を整える：ログデータ、ビッグデータ、Splunk Asset and Risk Intelligence

Jerald Perry

Splunk Asset and Risk Intelligence

リスクとコンプライアンスに特化

このブログシリーズの第1回では、ビッグデータとログデータの類似点について説明しました。そして、ログデータには実は大きな価値があることを学びました。この認識の転換を通じて、誰も楽しみにしていない反動的な事後分析プロセスだけでなく、先手を打って優位性を得るためにもログデータを活用できることを理解しました。この点で、Splunk Asset and Risk Intelligence (ARI)は真価を発揮し、最高レベルのエクスペリエンスを提供します。ARIは、Splunk内にある既存のすべてのデータを活用して、資産管理をはじめとするさまざまな機能を提供します。このような機能は、コンプライアンス違反の回避、リスクへの未然の対応、脆弱性の検出、ソフトウェアの追跡などに役立ちます。

Splunkを、データベースを売るだけの会社と過小評価する競合企業もありますが、それは完全に誤りです。Splunkは、ログデータ管理テクノロジーを活用してさまざまなタスクを行えるようにする専用プラットフォームです。つまり、Splunkは目的特化型のプラットフォームであり、データベースのみを提供する会社ではありません。Splunk Asset and Risk Intelligenceはまさに、特定の目的に特化した機能を提供するツールです。

資産の検出

Splunk Asset and Risk Intelligence (ARI)は、ネットワーク、エンドポイント、クラウド、スキャンツールなど、さまざまなソースから収集したデータを統合し、資産とIDの包括的なインベントリを作成して継続的に更新します。これにより、古い情報を排除して、資産の状況をより正確かつ一元的に把握できます。また、複数のソースからのデータを分析することによってパターンを特定し、異なるシステムから報告された資産を相関付けて1つのビューにまとめることで、資産インベントリの一貫性を確保します。さらに、セキュリティイベントの完全な履歴を提供し、各イベントに関連する資産を特定して、その変化や他の資産とのやり取りを経時的に追跡します。これにより、リスクを軽減し、潜在的な盲点を洗い出すことができます。

ARIでは、組織のネットワークに接続されているすべてのエンティティを明確に把握できます。デバイス、ユーザー、クラウドサービスに関する情報が自動的に収集されるため、インベントリを常に最新の状態に保つことができます。また、これらの最新情報が単一のインベントリにまとめられるため、手作業で資産を追跡して旧式のスプレッドシートで管理する必要はありません。そのため、古いソフトウェアや不審なユーザーアカウントなどのセキュリティリスクをすばやく特定し、潜在的な問題に迅速に対処できます。ARIの資産検出機能を使えば、セキュリティの脅威を回避し、システムを安全に保つことができます。

ネットワーク資産の調査

こちらまたは上の画像をクリックすると、Splunk Asset and Risk Intelligenceのガイド付きデモをご覧いただけます。

Splunk Asset and Risk Intelligenceでは、ログファイル、ネットワークデバイス、クラウドサービス、ワークステーション、サーバー、データベースなど、さまざまなソースからのデータを統合して資産インベントリが作成されます。調査ダッシュボードでは、調査に役立つ包括的なコンテキストが提供され、健全性チェック、地理情報、データソース、検出された脆弱性、ソフトウェアなど、資産に関する重要なデータポイントが可視化されます。これらの脆弱性に基づいて、このダッシュボードに表示されるリスクスコアのフィルターとルールを設定できます。この点については後ほど詳しく説明します。

ネットワーク資産調査ダッシュボードには、資産に関連付けられているすべてのIPアドレスが表示されるため、リスクの発生時に影響が及ぶ可能性がある範囲を明確に把握できます。また、資産にログインしたすべてのユーザーと、各ユーザーが資産を利用した時間も表示されるため、IPアドレスやユーザーを簡単に絞り込んで詳細な調査を行うことができます。

このように、Splunk Asset and Risk Intelligenceは、資産を包括的に可視化および管理したい組織にとって強力なソリューションです。すべての資産を自動的に検出、追跡、分析して、リスクのプロアクティブな特定と緩和、セキュリティ態勢の最適化、脅威にさらされる可能性の回避を支援します。ARIを使用すれば、最新のITインフラの複雑さを克服し、詳細なコンテキストを取得して資産を可視化し、価値あるリソースを保護することができます。

このシリーズの第3回では、ARIによって潜在的な脆弱性を検出し、リスクスコアのフィルターとルールを使って特に重大な脅威に先手を打つ方法を紹介します。

このブログはこちらの英語ブログの翻訳、山村悟史によるレビューです。

Jerald Perry

Jerald Perry is a seasoned technical marketing leader with an extensive background in systems integration, cloud architecture, and cyber security. Here at Splunk, he currently trains and enables resources for many products within the Splunk portfolio. Jerald has also performed public engagements at some of the largest tech conferences, such as Blackhat, RSA, and AWS RE: Invent. Jerald spends much of his time working cross-departmentally to help increase product adoption and improve demo effectiveness.

セキュリティ 2 分程度

ログで基盤を整える：ログデータ、ビッグデータ、Splunk Asset and Risk Intelligence

Splunk Asset and Risk Intelligence

リスクとコンプライアンスに特化

資産の検出

ネットワーク資産の調査

関連記事

セキュリティコミュニティWEST-SECとコラボレーションSplunk Workshopを実施

Splunk、Open Cybersecurity Schema Framework (OCSF)プロジェクトへの参加を発表

Splunk主催のCTFイベント “Boss of The SOC v8” 開催レポート