Amazon Security Lakeの一般提供開始とOCSFの新しいリリース候補(RC)の登場でOCSFが本格始動へ

Paul Agbabian

セキュリティイメージセキュリティコミュニティの皆様、ついにOCSFが本格的に動き出します。前回のブログでは、ベンダーに依存しない共通の分類法を提供して、形式の異なるデータの正規化を支援するオープンソースプロジェクト、Open Cybersecurity Schema Framework (OCSF)の躍進についてご報告しました。今回は、OCSFが新たに達成した重要な成果をご紹介します。

Amazon Security LakeとSplunk Add-On for AWSの一般提供開始

2022年11月のAWS re:Inventでパブリックプレビューが発表されたAmazon Security Lakeの一般提供が開始されました。Amazon Security Lakeでは、データスキーマにOCSF、ストレージ形式にParquetを使って、Amazon VPC、AWS CloudTrail、Amazon Route 53、Amazon S3、AWS Lambdaなどのアマゾンウェブサービス(AWS)やサードパーティのソリューションを含む80種類のソースのセキュリティデータを統合できます。

Splunkは、AWS Amazon Security Lakeのローンチパートナー兼OCSFステアリングコミッティのフェローメンバーとして、Splunk Add-On for AWS v.7.0の一般提供を開始しました。このアドオンにより、Amazon Security LakeのデータをSplunkプラットフォームに取り込み、詳細な分析に利用できます。Splunk Enterprise Securityでも、Amazon Security Lakeのデータを活用してストリーミング分析を実行し、内部脅威、認証情報の悪用、ラテラルムーブメント、Living off the Land攻撃などの兆候を示す不審な挙動をリアルタイムで検出できます。

SplunkプラットフォームとAmazon Security Lakeをご利用になる場合は、Splunk Add-On for AWSの導入をご検討ください。インストールガイド(英語)とリリースノート(英語)もご活用ください。

OCSF RC 3のパブリックレビュー開始

OCSFオープンコンソーシアムは、これまでの努力の成果として、リリース候補3(RC3)のパブリックレビューを開始しました。この新しいスキーマバージョンは、業界やメンバーがこのリリースに自社製品を対応させるために短期間で評価した後、一般提供リリース(1.0 GA)として公開される予定です。1.xのリリーストレインでは、スキーマに新しいクラス、オブジェクト、カテゴリが追加される予定で、いずれもRC3や1.0 GAとの後方互換性が維持されます。

この数週間に、RC3のリリースに向けたいくつかの重要な変更が行われました。まず「Access Control」カテゴリに代わる「Identity and Access Management」カテゴリが追加され、主要なクラウドプラットフォームとデスクトップオペレーティングシステムのイベントのモデル化を改良するために、新規クラスの追加といくつかのクラスの更新が行われました。また、スキーマ、スキーマブラウザ、APIサーバーに、LinuxとWindowsのオペレーティングシステム固有の拡張機能が追加されました(詳しくはこちらをご覧ください)。さらに、スキーマブラウザの機能が拡張され、MITRE D3FENDのオブジェクト参照用のリンク、特定のイベントクラスのオブジェクト間の関係を示す相関関係グラフ、属性やオブジェクトの相互参照と同様の、プロファイルの詳細と相互参照が追加されました。

私はよく、OCSFメンバーやその他の関係者から、プログラムやサービスのイベントに適したイベントクラスの選び方を尋ねられます。詳しい回答は、OCSFドキュメントリポジトリのスキーマに関するFAQで「How do I create a typical OCSF event?(一般的なOCSFイベントを作成するにはどうすればよいですか？)」の項に記載していますが、簡単に言えば、まず、目的のイベントに最適なOCSFカテゴリ(「Identity and Access Management」カテゴリなど)を選択してから、そのイベントの種類が適切に定義されているクラスを選択します。すべてのOCSFイベントには、該当するイベントクラスの具体的なアクティビティの種類を示すactivity_id列挙が含まれます。そのあと、そのクラスに適用できるプロファイル(「Security Control」、「Cloud」など)を1つ以上選択します。プロファイルを選択することで、標準クラスに具体的なコンテキストを追加できます。

適切なイベントクラスが見つからない場合は、フレームワークの機能を使っていつでもスキーマを拡張できます。その方法については、こちらをご覧ください。または、OCSFに参加してコアスキーマの開発にご協力いただくこともできます。ご興味のある方は、info@ocsf.ioまでご連絡ください。

OCSF RC3のパブリックレビューはこちらから入手できます。ぜひお試しいただき、GitHubまたはSlackのOCSFメンバーワークスペースからご感想をお寄せください(こちらのSlackワークスペースにまだご参加いただいていない方で、参加をご希望の場合は、info@ocsf.ioにご連絡ください)。

このブログはこちらの英語ブログの翻訳、前園曙宏によるレビューです。

Paul Agbabian

Paul is responsible for technology strategy and architecture for the Security business unit at Splunk. Prior to joining Splunk, Paul was a Broadcom Fellow and the Global CTO and Chief Architect of the Symantec Enterprise Security Business Unit.

セキュリティ 21 分程度

CISクリティカルセキュリティコントロール：完全ガイド

CISクリティカルセキュリティコントロールは、組織が全体的なセキュリティ態勢を向上させるために実行できる対策をまとめたフレームワークです。

セキュリティ 6 分程度

内部不正とは？後回しになりがちな要因から対策のポイントまで

企業にとって大きなリスクとされる内部不正は対策の難しさから後回しとなりがちなのも現状です。本記事では、なぜ内部不正の対策は難しいのか、具体的に、どのようなリスクがあるのか、を解説するとともに、実際の事例や効果的な対策のポイントなどについて詳しく解説します。

セキュリティ 20 分程度

M365インベーダーハンティング：Midnight Blizzardの影を追う

Splunk脅威調査チームが、サイバーセキュリティチーム向けに、Microsoft社のブログで取り上げられている攻撃チェーンの概要と、その実践的な検出方法やハンティングのヒントをご紹介します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら