いくつものチームからなる大規模なセキュリティ運用センター(SOC)には、大量のセキュリティイベントが発生した際にも迅速に意思決定を行えるようにする手段が必要です。
ほんの数週間前にリリースされたSplunk Enterprise Security 7.2では、インシデントレビューダッシュボードに重要イベントの調査をカスタマイズできる機能がオプションとして導入されました。このオプションを使えば表のフィルタリングや並べ替えによってインシデントレビューダッシュボードをカスタマイズしたり設定したりすることができるため、アナリストは特に重要なイベントを簡単に見つけて迅速に調査できます。また、カスタマイズしたインシデントレビューダッシュボードのビューを保存して、他のEnterprise Securityのアナリストと共有することもできます。保存したビューを使えば、さまざまなユースケースを担当するアナリストが重要イベントのカスタムビューを他のインシデント調査担当者と共有でき、重要イベントの対応を連携して円滑に行えるようになります。さらにSplunk Enterprise Securityの管理者も、すべてのユーザーに対してデフォルトのビューを設定するなど、アナリストにとってのインシデントレビューの使い勝手をこれまでにないレベルで制御できるようになりました。
Splunk Enterprise Security 7.3では、この改良されたアナリスト向け機能がデフォルトになりました。
この新しいワークフローにスムーズに移行できるよう、ガイドに沿って新機能を設定できるインタラクティブなオンボーディング機能も製品内に組み込んでいます。
Splunk Ideasを中心に発展し続けるSplunk Enterprise Security
お客様からのフィードバックは、Splunk Enterprise Securityのイノベーションと機能の向上の原動力です。本リリースでは、インシデントレビューにドリルダウンダッシュボードを追加し、コンテンツエンジニアがインシデントワークフローからSplunkのダッシュボードを直接ドリルダウンできるようになりました。今後は、ドリルダウンダッシュボードリンクをいくつも作成し、そのリンクから特定の重要イベントを調査できるようになります。アナリストはこのような機能を利用することで調査中に重要な詳細情報にシームレスにアクセスできるようになり、手作業による負荷も軽減されます。
またコンテンツエンジニアは、ドリルダウンリンクのテキストのカスタマイズや、トークンとしてダッシュボードに渡されるフィールドの設定も行えるようになります。このこれまでにない柔軟性によって、カスタムダッシュボードのユースケースは無限に広がりました。世界最先端のSOCでこの機能がどのように活用されていくのか、楽しみでなりません。
お客様からは、Splunkにデータがリアルタイムで転送されないケースがまれにあり、コントロールできない状況にあるが、こうしたデータフィードについてもEnterprise Securityで脅威や異常がないか確認したいという要望もありました。そこで本リリースでは、リアルタイムではなく常に遅れて到着するデータソースに対して、管理者がイベント時ではなくインデックス時に特定の相関ルールを実行できるようになるインデックス時相関サーチが追加されました。この拡張により、Splunkではデータの発生場所、日時に関係なく、包括的な可視性が引き続き確保されます。
リスクベースアラートがさらにパワフルに
リスクベースアラートは、MITRE ATT&CKフレームワークとエンティティのリスクスコアに沿ってセキュリティ脅威に優先順位を付けられるようにする革新的なアプローチで、SOCにおける偽陽性の調査を最大80%削減し、真陽性のインシデントの調査と修復に必要な時間を50%短縮します。Splunk Enterprise Security 7.3では、リスクイベントのタイムラインが更新され、ドリルダウンサーチ、ドリルダウンダッシュボード、「原因となったイベント」が追加されました。これによってアナリストは、リスクNotableへの対応時に、リスクイベントについてコンテキストに即した情報を迅速に収集できるようになりました。
Splunk Enterprise Security 7.3に新たに追加された機能は次のとおりです。
- ドリルダウンサーチは、Splunk Enterprise Securityのインシデントレビューダッシュボードに以前から搭載されている機能です。先頃リリースしたSplunk Enterprise Security 7.2では、複数のドリルダウンサーチが新たにサポートされたことによって、コンテンツエンジニアはすぐに使えるサーチをいくつも用意して、追加情報を収集するためのオプションをアナリストに必要なだけ提供できるようになりました。本リリースでは、リスクイベントのタイムラインですべてのドリルダウンサーチを利用できます(用意されている場合)。
- 本リリースで導入された新しいドリルダウンダッシュボードは、インシデントレビューダッシュボードだけでなく、リスクイベントのタイムラインにも表示されるようになりました(該当する場合)。
- 「原因となったイベント」が、リスクイベントのタイムラインに詳細情報とともに表示されるようになり、アナリストはリスクイベントに関連するRawイベントを確認できるようになりました。この機能は、ドリルダウンサーチやドリルダウンダッシュボードが定義されていなくても利用できます。そのため、アナリストはリスクイベントに関する情報をさらに収集できます。
また、Splunk Cloudで運用中のSplunk Enterprise Securityに含まれる、クラウドベースのストリーミング分析によって生成されたリスクイベントも、「原因となったイベント」の改良によって改善される予定です。
Splunk Enterprise Security 7.3へのアップグレード
クラウド環境でもオンプレミス環境でも、今すぐSplunk Enterprise Security 7.3にアップデートできます。
私たちはお客様の声に耳を傾けています。アイデアやリクエストがありましたら、Splunk Ideasまでぜひお寄せください。
Splunk Enterprise Security 7.3について詳しくは、リリースノートをご覧ください。
Splunkのメリットをどうぞお試しください。
このブログはこちらの英語ブログの翻訳、阿部 浩人によるレビューです。