Splunkのリスクベースアラート(RBA)ガイドの新たな改善版

こんにちは。皆さんお馴染みの検出エンジニアリング変革エバンジェリスト、Haylee Millsです。すでにリスクベースアラートの紹介動画をご覧になった方や、このテーマについて私があちこちで話してきた内容(以下を参照)を視聴された方もいらっしゃると思います。

• SEC1215B - Making Friends With Threat Object：Automation, Tuning, and Threat Hunting With Risk-Based Alerting (脅威オブジェクトを掘り下げる：リスクベースアラート機能による自動化、チューニング、脅威ハンティング)
• SEC1113A - Streamlining Analysis of Security Stories With Risk-Based Alerting (リスクベースアラート機能によるセキュリティストーリーの分析効率化)
• SEC1992B - Blue Team Academy：Cybersecurity Defense Analyst - Risk and Risk Notables for Analysts (ブルーチームアカデミー：サイバーセキュリティ防御アナリスト - アナリストのためのリスクとリスクNotableイベント)
• SEC1144C - Curating your Risk Ecology：Making RBA Magick (リスクエコロジーを整備する：RBAの驚きの効果)

まだご覧になっていない方も、今回はリスクベースアラートフレームワークでセキュリティ対策を成功に導く詳細ガイドの最新版をご紹介しますので、ぜひ最後までお読みください。2022年に初めてリリースされたこのガイドは、あらゆるスキルレベルのお客様を考慮して作成されました。というのも、従来のアラートとは異なるこの革新的な方法を活用するということは、スイッチを入れるだけで完了するような単純なソリューションではなく、セキュリティアプローチを変革するための製品で従業員に投資することを意味するからです。

なぜこの手法がこれほど強力なのかというと、次のことが可能になるからです。

• アラートの総数を削減し、発生するアラートの忠実度を向上させる。
• 社内の脅威インテリジェンスを定義して作成し、通常のアクティビティと異常なアクティビティを判別する。
• 以前からあるノイズの多いデータソースから高い価値を生み出す検出を実現する。MITRE ATT&CK、CIS18、Lockheed Martin社のCyber Kill Chainなど、一般的なサイバーセキュリティフレームワークにも対応する。
• 手動での分析や機械学習に活用できる、メタデータで強化されたオブジェクトやアクティビティの情報を含む、リスクがあるイベントの有用なライブラリを構築する。

新しくなった点

ガイド全体を見直し、RBAコミュニティによるRBA GitHubへの多数の貢献を関連箇所に反映させました。さらに、過去2年間に行われたお客様によるSplunk .confでのすばらしい講演や、SplunkのITセキュリティの達人Gabriel Vasseurからの有益なフィードバックと効果的なSPLも含めました。また、重要なポイントを十分に強調していなかったため、お客様から「きちんとガイドを読んだはずなのに要点が把握できなかった」というご意見を多数いただいていました。これを踏まえ、重要なポイントを強調するために、以下の「RBAの5つの基盤」を追加しました。

並行して構築する

RBAの各要素の開発が完全に終わっていなくても、次の作業に取り掛かることができます。CIMデータの正規化は重要ですし、データモデル(特に *高速化データモデル*)も、資産とIDのフレームワークも重要です。しかし、完璧を追い求めて良い結果を逃すことがないようにしましょう。これらの一部を強化すれば、RBAは改善されます。すべてが完全に仕上がってなくても、致命的な問題になるわけではありません。

脅威オブジェクトを構築する

脅威オブジェクトは、チューニング、SOARの強化、異常なアクティビティの検出に非常に役立ちます。最初から組み込みましょう。Outpost Security社のStuart McIntosh氏と私の.conf23での講演をご覧いただくと、その有用性をご理解いただけると思います。ぜひ参考にしてください。これまでに多くのお客様の問い合わせに対応してきましたが、相関サーチで脅威オブジェクトが具体的に定義されていれば、問題の診断、調整、修復がはるかに容易になるだろうということがあります。

さまざまなルールを構築する

RBAの価値を十分に引き出すには、さまざまなスコアとソースが必要です。リスクインデックスにデータソースが1つしかない場合や、スコアがどれも似たり寄ったりの場合、さまざまな要素が興味深い形でつながるというRBAの真価を活かせていないことになります。

シグネチャベースのソースを構築する

IDS、DLP、EDR、クラウドアラートログといったシグネチャベースのリスクイベントソースにより、多様なコンテンツを非常に迅速に取り込むことができます。これは前述のポイントと関連しています。これらのシグネチャベースのソースは、多数のアクティビティのタイプを迅速に可視化するからです。直接アラートで調査する対象を決め(たとえば「High」や「Critical」の重大度のもの)。それ以外はすべてリスクがあるイベントとして扱います。

ノイズの多いコンテンツをリスクに組み込む

RBAが最も効果を発揮することの1つに、アナリストのキューから無駄な作業を取り除くことが挙げられます。アナリストが、対応不要のアラートをクローズするのに大半の時間を費やしている場合、そうしたアラートはRBAに組み込むべきです。毎回何らかの対応をしながらアラートをクローズしているのであれば、それはSOARによる自動化の有力な候補となります。

次のアクション

この機会に、改訂された最新版のSplunkのリスクベースアラートガイドをダウンロードして、ぜひご活用ください。また、RBAコミュニティにもご参加ください。いつでも気軽にSlackで質問したり、毎月の相談会に参加したりできます。

このブログはこちらの英語ブログの翻訳、阿部 浩人によるレビューです。