https://www.splunk.com
  • Splunkサイト
    • Splunk Answers
    • ブログ
    • Community
    • .conf
    • Developers
    • Documentation
    • Splunk.com
    • Splunkbase
    • サポート
    • トレーニング
    • User Groups
    • ビデオ
https://www.splunk.com
  • ブログ
  • カテゴリー
    カテゴリー
    • .conf & SplunkLive!
    • DevOps
    • 業種・業界
    • IT
    • 経営陣
    • Learn
    • パートナー
    • データプラットフォーム
    • セキュリティ
    • Splunk Life
    • Tips
    Category Spot Image
    電子書籍
    外形監視のベストプラクティス Synthetic Monitoringの紹介

    Webサイトのパフォーマンスが広告収入、ユーザーエンゲージメント、SEOランキングに与える影響、外形監視を使ったソリューションを紹介

    詳細はこちら
  • ライター
    ライター
    • Splunk
    • Guest
    • 江藤 愛
    • 大谷 和紀
    • 甲斐 逸郎
    • 加藤 教克
    • 塚本 政彦
    • 仲間 力
    • 野村 健
    • 村田 達宣
    • 矢崎 誠二
    • 山内 一洋
    • 山村 悟史
    • 横田 聡
    • Gary Steele
    • Spiros Xanthos
    • Garth Fort
    • Simon Davies
    • Ryan Kovar
    • Jane Wong
    • ライター一覧
    Author Spot Image
    電子書籍
    SIEM導入ガイド

    適切なSIEMソリューションがどのように役立つかを解説した最新版

    電子書籍を読む
  • メール配信
  • 無料トライアル
https://www.splunk.com 無料トライアル
ブログ
カテゴリー
  • .conf & SplunkLive!
  • DevOps
  • 業種・業界
  • IT
  • 経営陣
  • Learn
  • パートナー
  • データプラットフォーム
  • セキュリティ
  • Splunk Life
  • Tips
ライター
  • Splunk
  • Guest
  • 江藤 愛
  • 大谷 和紀
  • 甲斐 逸郎
  • 加藤 教克
  • 塚本 政彦
  • 仲間 力
  • 野村 健
  • 村田 達宣
  • 矢崎 誠二
  • 山内 一洋
  • 山村 悟史
  • 横田 聡
  • Gary Steele
  • Spiros Xanthos
  • Garth Fort
  • Simon Davies
  • Ryan Kovar
  • Jane Wong
  • ライター一覧
メール配信
Splunkサイト
  • Splunk Answers
  • ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunk.com
  • Splunkbase
  • サポート
  • トレーニング
  • User Groups
  • ビデオ
SECURITY

CVEを制する者は脆弱性対策を制する:リモートワークをセキュアに

Share:

現在、多くの企業・組織で従業員の大半が在宅勤務(リモートワーク)をしていると思います。もちろんリモートワークによる社外から社内ネットワークへの全てのVPNアクセスを管理することが最優先ですが、それ以外の脆弱性監視はどうなっていますか?今後の企業のセキュリティの一環として、脆弱性対策を行う事が不可欠になってきています。

社外からのVPN接続の急増に加え、Slack、Dropbox、Google G Suite、およびタスク管理ツールのTrelloといったSaaSベースのコラボレーションソフトウェアの使用も広がっています。IT担当者は、社用PCにインストールしてもよいアプリケーションに関して厳格なポリシーを導入するだけでなく、そうしたアプリケーションに関連する脆弱性も継続的に監視する必要があります。アプリケーションの脆弱性が発見されると、翌日にはすでにその脆弱性を悪用するコードを書くことができる攻撃者がこれまで何度も報告されてきました。

特に確認すべき項目:

  • リモートワーク対応で、今まで使っていなかったVPNコンセントレータを設置するなら、パッチが適用されているかどうかを確認すること、VPN関連の脆弱性も監視しておきましょう(最新の脆弱性情報:CVE-2020-5180およびCVE-2020-6760)。

  • リモートワークへのシフトで利用が急増するソフトウェアに関する脆弱性情報の監視:Google Docs (CVE-2019-7250)、Zoom、Slack

  • NIST脆弱性情報データベース(NVD):VPN

ランサムウェア脆弱性のイメージNessusやQualisといったベンダーが提供している脆弱性スキャンは、ネットワークの攻撃対象領域を理解する上で重要です。そして、脆弱性スキャンを実行する際は、最新の脆弱性チェックを適用してください。適切な脆弱性チェックを適用して脆弱性スキャンを実行すると、スキャン結果とVPN脆弱性を見ることができます。Splunkの無料App、Splunk Security Essentials(SSE)には、CVE(共通脆弱性識別子)サーチができる優れたサンプルサーチが用意されています。SSEの全てのフィルター設定をオンにして(FilterをClearして)「vulnerabilities」で検索すると「Ransomware Vulnerabilities (ランサムウェア脆弱性)」というサンプルユースケースが出てきます。(Journey: Stage 4、Security Use Case: Security Monitoring/Compliance、Category: Vulnerability)

(右の画像内の訳:「ランサムウェア脆弱性」このユースケースは、Nessusなどのソリューションが生成する脆弱性管理ログをサーチし、社内システム環境の中でランサムウェアに脆弱なホストを特定します。[サンプルサーチ文あり])



SSE画面右上の「View」欄で、SPLモードをLive Dataモードに切り替えると、SPLが下図のように変わります。

新しい脆弱性が発見・スキャンされたら、ここに検索したいCVEを入力してサーチを実行します。

さらに、現在Splunk Enterprise Security(ES)をお使いでしたら、ESのユースケースライブラリに63のAnalytic Stories (分析ストーリー)が公開されていることをご存知の方もいらっしゃると思います。これらはSplunkのセキュリティリサーチチームが提供しています。
Splunkでのデータ抽出設定のイメージ

ここで、SpectreとMeltdownという2つの脆弱性に関するAnalytic Storyを見てみましょう。

分析ストーリー:SpectreとMeltdown


関するCVEが含まれていますが、この記事では特にこれらのCVEに焦点を当てるわけではありません。このサンプルSPLはtstatsコマンドを使用したもので、NIST(アメリカ国立標準技術研究所)が公開している脆弱性情報データベース(https://nvd.nist.gov/)に登録されている最新の脆弱性を簡単に検索することができます。このサンプルSPLは、お手持ちのデータソースを基にご自身のニーズに合わせて自由に編集可能です。tstasコマンドを使うので、対象データはCIM(共通情報モデル)に準拠した形式にし、さらに正しいTA(Technology add-on)を適用した上で、データモデルにデータを入力する必要があります。

Analytic Story Detailsのイメージ

  • https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Tstats
  • https://docs.splunk.com/Documentation/CIM/latest/User/Overview
     

ESCUのイメージ

サンプルサーチ文には、SpectreとMeltdownに脆弱なシステムとSpectre-Meltdown Windowsパッチが適用な可能なシステムが含まれています。ここで必要になるデータソースはEDRツールと、QualysやNessusのような脆弱性スキャナです。

2020年に本格化した新しいリモートワークの時代における組織の守り方に関する、より実践的なガイドは、こちらをクリックしてください。


Thanks to the contributors of this blog post, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.

March 17, 2020
George Panousopoulos
Posted by

George Panousopoulos

George is a Global Security Strategist at Splunk based out of London, UK. An engineer at heart, George loves solving problems, navigating complexity and watching people around the globe trying to pronounce his last name.

TAGS
Splunk Enterprise Splunk Enterprise Security Security Monitoring Security Analysis and Response Risk Mitigation
Show All Tags
Show Less Tags

Related Posts

SPLUNK ON TWITTER
  • @Splunk
  • @splunkanswers
  • @SplunkforGood
  • @SplunkDocs
  • @splunkdev
  • @splunkgov
SPLUNK ON FACEBOOK
  • @Facebook
SPLUNK ON INSTAGRAM
  • Follow us on Instagram
SPLUNK ON LINKEDIN
  • Follow us on LinkedIn
SPLUNK ON YOUTUBE
  • Subscribe to our Channel
SPLUNK ON SLIDESHARE
  • Follow us on SlideShare
Splunk製品
  • Splunk Cloud Platform
  • Splunk Enterprise
  • Splunk IT Service Intelligence
  • Splunk On-Call
  • Splunk Enterprise Security
  • Splunk SOAR
  • Splunk Infrastructure Monitoring
  • Splunk APM
ソリューション
  • オブザーバビリティ
  • セキュリティ
  • プラットフォーム
お客様事例
リソース
  • 電子書籍
  • アナリストレポート
  • ホワイトペーパー
  • ウェビナー
  • ビデオ
お問い合わせ
  • サポート
  • 営業へのお問い合わせ
Splunk Sites
  • Splunk Answers
  • 日本語ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunkbase
  • SplunkLive!
  • T-shirt Store
  • トレーニング
  • User Groups
Splunk
Sitemap | Privacy
© 2005-2023 Splunk Inc. All rights reserved.
Splunk、Splunk>およびTurn Data Into Doingは、米国およびその他の国におけるSplunk Inc.の商標または登録商標です。他のすべてのブランド名、製品名、または商標は、それぞれの所有者に帰属します。