いくつものビジネスシーンでsplunkがご活用いただけます。
| 脅威種別 | 想定する脅威 | 情シスの課題 | splunk導入目的 |
|---|---|---|---|
| 外部 |
外部からの内部偵察 (標的型攻撃) |
巧妙な標的型メールに添付されたあるいはURLリンク先のマルウェアを検出する仕組みがない | マルウェアの検出状況を効率よく把握したい、そんな仕組みを作りたい |
| 内部 |
内部における異常検知 (内部犯行による情報漏洩) |
誰がいつどこにアクセスしたのか 把握する仕組みがない |
内部犯行を可視化し、抑止効果を期待する |
GSXのコンサルタントは、実際のサイバーセキュリティインシデント対応やサイバーセキュリティ研究所の研究結果等を基に、実践的なログ分析システムのコンサルティングや構築をご提供いたします。
お客様のシステム内に潜む脅威と脆弱性を調査し、予測されるリスクを分析します。
お客様のセキュリティルール、システム構成に応じてログ分析シナリオを検討し、ログ分析業務をご支援いたします。
[作業概要]
・過去のインシデント
状況調査
・ネットワーク環境
調査
・セキュリティ対策
状況調査
[成果物]
・スコープ定義
・概要構成図
[作業概要]
・被攻撃シナリオ
作成
・被攻撃シナリオ
選定
[成果物]
・攻撃シナリオ
[作業概要]
・攻撃シナリオと
セキュリティ対策の
マッピング
・セキュリティ対応方針の
策定
[成果物]
・攻撃シナリオと
対応マトリックス
[作業概要]
・ログ分析シナリオ作成
・ログ分析に必要なログ、
項目の提示
[成果物]
・ログ分析シナリオ
・ログ項目一覧
[作業概要]
・splunk上に作成した
シナリオを実装
[成果物]
・操作手順書
アラートルール設定
検索で利用した検索式を保存して、そのままアラートルールとして利用。
サーチタイミング設定
設定した任意のタイミングでサーチ実行
単位:リアルタイム / 分 / 時間 / 日
アラートアクション
アラートルールにヒットした場合、下記アクションを実行
E-mail通知 / スクリプト実行 / RSS 外部システムとの自動連携が可能
アラートメッセージの管理
アラート一覧を管理画面から確認可能
モバイル インテリジェンス(MINT)|Splunk Stream
アマゾン ウェブ サービス(AWS)|VMware および仮想化
Unix と Linux|Microsoft Exchange|DB Connect|ODBC
Splunk Analytics for Hadoop など
ダッシュボード項目が定義されたAppによりデータ取込みからダッシュボード化まで容易に実現
「金融機関向け App for Splunk」は、「Splunk」に実装可能なセキュリティレポートやダッシュボードのサンプルをApp※としてGSXが独自に提供し、セキュリティログ分析を目的として「Splunk」を導入する金融機関様がセキュリティ用途に特化した形で監視強化や運用負荷軽減を実施するためにご利用いただくことを想定しております。
※Appとは
Splunk社やユーザコミュニティなどから提供される各種アプリケーション、デバイス用の公開テンプレートです。Appを利用することにより、Splunkにおけるログ分析、ダッシュボード、レポート作成などが効率的に行えます。
「金融機関向け App for Splunk」でセキュリティ監視強化と運用負荷軽減の実現を
「金融機関向け App for Splunk」概要について
金融機関向け App for Splunkは、マシンデータ分析プラットフォーム「Splunk」のセキュリティ利用を支援するサンプルAppです。
本Appでは、以下の概要をベースにGSX独自のカスタマイズを実施しています。
IPA「高度標的型攻撃に向けたシステム設計ガイド」
JPCERT/CC「ログを活用したActive Directoryに対する攻撃の検知と対策」
JPCERT/CC「高度サイバー攻撃への対処におけるログの活用と分析方法」
またお客様のSplunk環境に取り込まれているイベントログ等のデータに対し以下のダッシュボード機能を提供します。
現在の状況ダッシュボード ※下図参照
攻撃検出状況、イベントの概要、不正検知状況、外部からの情報提供(金融ISAC、JPCERT/CC)、IPA(重要セキュリティ情報)を表示するダッシュボート
資産管理ダッシュボート
AD上に登録されているアカウントの一覧を表示するダッシュボート
変更管理ダッシュボート ※下図参照
アカウントの変更状況等を表示するダッシュボート
アクセス管理ダッシュボート
サーバへのリモートデスクトップ接続状況等を表示するダッシュボート
攻撃分析ダッシュボード
JPCERT 公表の「ログを活用したActive Directoryに対する攻撃の検知と対策」の分析ロジックを参考にしたダッシュボード
脅威情報分析ダッシュボード ※下図参照
金融ISAC、オープンな脅威情報(OSINT)に該当する不正通信等の分析を行えるダッシュボード
関連性分析ダッシュボート
不審なイベントの調査を支援するダッシュボート
脅威情報としては下記の2種情報を取得の上、活用しています。
プレミアム脅威情報(金融ISAC、JPCERT/CC)
金融ISAC、JPCERT/CCから提供される脅威情報を登録することができます。
オープン脅威情報(OSINT)
「Macnica CSIRT App Basic」を使用して、自動でOSINTの情報を取得しています。
「金融機関向けApp for Splunk」導入に向けたカスタマイズについて
お客様の既存環境へのカスタマイズを有償にて承ります。
・「金融機関向けApp for Splunk」導入に向けた既存環境の調査または調査支援
・「金融機関向けApp for Splunk」導入作業または導入作業支援
・「金融機関向けApp for Splunk」のカスタマイズ
・「金融機関向けApp for Splunk」操作トレーニング など
詳しくはこちらからお問い合わせください。
「金融機関向けApp for Splunk」のお申し込みはこちらから
・データのドリルダウン
・各種トラブルシューティング
・障害原因分析
・インシデント調査
・リアルタイムレポート
・ライブダッシュボード
・イベントの相関分析
・イベントの監視・アラート
・トランザクションの追跡
・SLAのトラッキング
・ベースライン・しきい値の設定
・傾向分析
・過去からのパターン分析
・各種レポーティング
