View
12
Download
0
Category
Preview:
Citation preview
Splunkセキュリティポートフォリオ全体像ご紹介:もう悩まない ! 要件が無いならセキュリティのベストプラクティスを活用し省力化
Taki Nakamura | Sales Engineer
Masaharu Morikawa | Sr. Sales Engineer
6/8/2018 | Tokyo
#SplunkLive
© 2018 SPLUNK INC.
弊社のプレゼンテーションには、弊社の将来の事象または予想される業績に関する将来予測記述を含むことがあり
ます。当該記述は、現在弊社が知っている要因に基づく弊社の現在の予測および推定を反映するものであることと、
実際の事象または結果が著しく異なる可能性があることをご了承ください。実際の結果が弊社の将来予測記述に含
まれるものとは異なる場合、その重要な要因については、SEC を含む弊社の文書をお調べください。
このプレゼンテーションに含まれる将来予測記述は、プレゼンテーション実施日時において述べられたものです。プレ
ゼンテーション実施後に見直しが行われた場合、このプレゼンテーションに現在のまたは正確な情報が含まれないこ
とがあります。弊社は、弊社が述べることがある将来予測記述を更新する義務を負いません。また、弊社のロード
マップに関する情報で、弊社の一般的な製品方針の概要が示されていますが、この情報は予告なしにいつでも変更
されることがあります。これはあくまで参照用であって、契約またはその他の約定に組み込まれないものとします。
Splunkは、記述されている特徴または機能を開発する義務も、かかる特徴または機能を将来のリリースに含める義
務も負いません。
Splunk、Splunk>、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk LightおよびSPLは、Splunk Inc.の米国およびその他の国における商標または
登録商標です。他のすべてのブランド名、製品名、もしくは商標は、それぞれの所有者に帰属します。© 2018 Splunk Inc.無断複写・転載を禁じます。
免責事項
このスライドは、すべてのサードパーティープレゼンテーションの際に必須です。
© 2017 SPLUNK INC.
1.セキュリティチャレンジ
2.セキュリティ全体を強化するには?
3.どのようにしてSplunkが役立つのか?
Splunk Security Essentials
Splunk User Behavior Analytics
Splunk Enterprise Security
What Can You Expect From This Session?
セキュリティ チャレンジ高度な脅威
現在のセキュリティ課題
進化する脅威 管理の煩雑化 スキル不足
3兆ドル2021年までに予想されるサイバー犯罪の世界的
なコスト
70+管理アプリ
3.5 億ドル2021年までに充足されていないサイバーセキュリティの業
務が75%増加
インシデントレスポンスにおける各社の状況の理解企業名 イベント
A社不正アクセス約42万件
B社不正アクセス約125万件
C社内部持ち出し約3500万件
D社不正アクセス約4000人
1~7日後1〜7日前 公開当日 8〜29日後 30日後以降
発生(約1年前)
発覚(2週間前)
緊急対策本部設置(10日前)
公表(Web)
記者会見
記者会見
記者会見謝罪広告 記者会見複数回にわたるプレスリリース/Web公表
発生(5日前)
発覚(2日前)
記者会見 記者会見
8〜29日前30日前以前
発生(11ヶ月前)
発覚/対策本部設置クレジットカード使用停止調査期間へ調査依頼(23日前)
公表(Web/メール)
記者会見
発生/発覚(23日前) 記者会見
発覚後10日間不審メール受信/2通開封
調査結果公開追跡調査により判明した約1万人の被害者を公表(58日後)
調査結果公開(81日後)
GDPRでは…✓ 72時間以内に通知
実施方法・タイミングは平時から整備されておらず、アドホックな対応
情報流出による損害額漏洩事業者・情報 影響範囲 金額相場 総額(推定)
流通業 42万人 カード発行代含む 8億円
流通業 793万人 パスポート再発行代含む 100億以上
流通業 2895万人 500円分の電子マネーor図書カードor寄付
144億7500万円
流通業 1万2000人 1000円相当 1200万円保険業 1万8000人 1万円/3000円 5億〜18億
エンターテイメント 14万9000人 500円相当 7450万円金融業 4万9000人 1万円の商品券 4億9000万円
流通業 2万8000人 1000円相当 2800万円流通業 12万3000人 1000円相当 1億23000万円製造業 864万人 500円 43億2000万円
エンターテインメント 12万2000人 500円 6100万円
金融業 47万8000人 500円 2億3900万円製造業 1万6000人 500円相当 8000万円流通業 7万5000人 500円 3750万円
通信 451万7000人 500円の金券 22億5850万円
流通業 会員約115万人 5000円の商品券 57億5000万円
流通業 会員約18万人 1000円のクオ・カード 1億8000万円
GDPRでは…✓ 制裁金は売上高の4%か2000万ユーロ(約26億円)
▶ 複数の攻撃経路を使用する攻撃
▶ 発見、排除、原因究明が困難
▶ 利用される経路は、フィッシング、マルウェアに感染した Web サイト、総当たり攻撃、ソーシャルエンジニアリング、ゼロデイ脆弱性など
▶ 1 つまたは複数のシステムを侵害し、持続性と通信チャネルを確立
高度な脅威とは?
検出のためには、早期の発見と分析が必要
高度な脅威検出モデル:キルチェーンおよび ATT&CK
偵察 武器化 配送 エクスプロイト
インストール C&C 目的実行
困難
Mitre 社の ATT&CK
Confidential – Internal Distribution Only
WAF & App Security
Threat Intelligence
Cloud Security
Endpoints
Orchestration
Network
Web Proxy Firewall
Identity and Access
10111110101010000011110111110110111110101001000101111011111010100110
分析主導型セキュリティ
リスクベース分析 脅威インテリジェンスの活用による
精度の高い調査
データとの技術融合
10111110101010000011110111110110111110101001000101111011111010100110x
セキュリティ ポートフォリオ
マシンデータをビジネス価値へ変換
13
そのままのデータをインデックス化:あらゆるデータソース、種類、ボリューム
オンラインサービス ウェブサービ
ス
サーバー セキュリティ GPS 測位
ストレージデスクトップ
ネットワーク
パッケージ化されたアプリケーション
カスタムアプリケーショ
ン
メッセージング
電気通信オンライン ショッピング カート
ウェブクリック
ストリーム
データベース
エネルギーメーター
通話詳細記録
スマートフォンと機器
RFID
オンプレミス
プライベートクラウド
パブリッククラウド
利用シーンアプリケーションデリバリー
セキュリティ、コンプライアンス、不正
IT 運用管理
ビジネス分析
産業データとIoT
分析主導型セキュリティ: ポートフォリオ
Enterprise Security
3rd Party Apps & Add-ons (1000+)
User Behavior Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
Network data
RDBMS (any) data Windows host data
Exchange data
ES Content Update
PCI Compliance
検索と調査 監視とアラートダッシュボードと
レポートインシデントと侵害対応
Splunk Security Apps & Add-ons
Security Essentials
App for AWS
ML Toolkit
Google Cloud
Microsoft Cloud
Windows Infrastructure
アノマリーの検出未知の脅威の
検出自動化とオーケストレー
ション脅威検出
セキュリティ運用
Phantom
Premium Solutions
Splunk Security Essentials
機械学習を使用すべき場合と使用すべきでない場合を見極める
Enterprise SecurityUser Behavior
Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
Network data
RDBMS (any) data Windows host data
Exchange data
ES Content Update
PCI Compliance
Splunk Security Apps & Add-ons
Security Essentials
App for AWS
ML Toolkit
Google Cloud
Microsoft Cloud
Windows Infrastructure
Phantom
Premium Solutions
ユースケース
内部脅威 サイバー脅威
通常よりも外部サイトへのファイルアップロードが多いブルートフォースアタックの検出:短期間でのログイン失敗ログからソースを特定
ダウンロードが多いマルウェア:ポートに大量にスキャンを実施していることを検出
退職者アカウントによるログイン高度な脅威:通常よりも大量にログインを実行している端末の特定
ADにないアカウントによるログインフィッシングメール:自社のメールアドレスから大量のメールを送信しているアカウントの特定
印刷枚数が通常時よりも多いフィッシングメール:自社のドメインに似たメールアドレスからの受信を検出
SFDCから通常時よりも多くエクスポートされている DNS悪用攻撃:大量のDNSトラフィックの検出
Splunkの分析主導型セキュリティにより強化:自社環境にいる攻撃者を特定✓ UEBA (ユーザーおよびエンティティ行動分析) 製品に多いユース
ケースが 50 以上、どれも Splunk Enterprise から無料で利用可能
✓ 外部からの攻撃と内部脅威に対応✓ 小規模企業から大規模企業まで網羅✓ アプリの検索結果を保存して、ES/UBA に送信
Splunk Security Essentialshttps://splunkbase.splunk.com/app/3435/
今すぐ無料でユースケースを解決。その後、Splunk UBA を利用して、機械学習による高度な検出を実行
Splunk Security Essentials自社環境にいる内部脅威や高度なスキルを持つ攻撃者を見つけ出す
ダウンロード:https://splunkbase.splunk.com/app/3435/
検出方法
初めて事象分析(統計情報を利用)
時系列の分析(標準偏差を利用)
一般的なSplunk の検索
Splunk Security Essentials でできること
SPLUNK SECURITY ESSENTIALS
Splunk Security Essentials は、多
くのユースケースをカバー。Splunk
Enterprise から無料で利用可能
▶ 自動的に異常を脅威に関連付け、キ
ルチェーンの中で可視化する
には?
▶ 未知の脅威を検出するには?
User Behavior analytic50 以上のユースケース
アプリケーションログ
ネットワーク
ログ
エンドポイント
ログ
サーバーログ
ID ログ
新しいサーバーへの初めてのログイン
印刷ページ数の増加
インタラクティブなログオンの増加
新しい AD ドメインの検出
ログインされたホストの数の増加
Security Essentials ユースケースサンプル
概要
ユースケース
データソースセキュリティ影響
予想されるアラート量
サンプルサーチ
User Behavior Analytics
機械学習を利用した高度な脅威検出
Enterprise SecurityUser Behavior
Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
Network data
RDBMS (any) data Windows host data
Exchange data
ES Content Update
PCI Compliance
Splunk Security Apps & Add-ons
Security Essentials
App for AWS
ML Toolkit
Google Cloud
Microsoft Cloud
Windows Infrastructure
Phantom
Premium Solutions
© 2017 SPLUNK INC.
59% の従業員が会社を辞める際にデータを持ち出している
知っていますか?
Source: Andra Zaharia. “10 Alarming Cyber Security Facts that Threaten Your Data.” Heimdal Security. 12 May 2016.
Splunk User Behavior Analytics の柱5 つの主な柱
行動ベースラインおよび行動モデリング
教師なし機械学習リアルタイム、ビッグ データ アーキテクチャ
異常検出 脅威検出
マシンデータ向けのプラットフォーム
Splunk UBA の仕組み
50 以上の異常を分類
30 以上の脅威を分類
機械
学習
疑わしいデータ移動
通常と異なるマシンアクセス
逃げる恐れのあるユーザー
通常と異なるネットワークアクティビティ
マシン生成ビーコン
機械学習
横展開移動
疑わしい振る舞い
侵害されたアカウント
データの持ち出し漏洩
マルウェアのアクティビティ
アプリケーション
ログ
ネットワークログ
エンドポイントログ
サーバーログ
ID ログ
UBA:高度な脅威検出のユースケース
侵害されたユーザーアカウントを検出
侵害されたエンドポイントを検出
データの持ち出しを検出
内部脅威者によるアクセスの悪用 (権限の悪用を含む)
調査のための情報を提供
A
B
C
D
E
Enterprise Security
Enterprise SecurityUser Behavior
Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
Network data
RDBMS (any) data Windows host data
Exchange data
ES Content Update
PCI Compliance
Splunk Security Apps & Add-ons
Security Essentials
App for AWS
ML Toolkit
Google Cloud
Microsoft Cloud
Windows Infrastructure
Phantom
Premium Solutions
セキュリティ調査は煩雑
インシデントレスポンスにおける各社の状況の理解企業名 イベント
A社不正アクセス約42万件
B社不正アクセス約125万件
C社内部持ち出し約3500万件
D社不正アクセス約4000人
1~7日後1〜7日前 公開当日 8〜29日後 30日後以降
発生(約1年前)
発覚(2週間前)
緊急対策本部設置(10日前)
公表(Web)
記者会見
記者会見
記者会見謝罪広告 記者会見複数回にわたるプレスリリース/Web公表
発生(5日前)
発覚(2日前)
記者会見 記者会見
8〜29日前30日前以前
発生(11ヶ月前)
発覚/対策本部設置クレジットカード使用停止調査期間へ調査依頼(23日前)
公表(Web/メール)
記者会見
発生/発覚(23日前) 記者会見
発覚後10日間不審メール受信/2通開封
調査結果公開追跡調査により判明した約1万人の被害者を公表(58日後)
調査結果公開(81日後)
GDPRでは…✓ 72時間以内に通知
脅威!
セキュリティ調査決定的証拠が得られることは少ない
偵察 武器化 配信 エクスプロイト インストール C&C 目的実行
CVE-2017-9805脆弱性スキャン -> ES
悪用の検出IDS/IPS -> ES
マルウェアの配信AV- 横方向移動 -> SE/ES
複数のログインエラー横方向移動 -> UBA
スキャンアクティビティ横方向移動 -> UBA
疑わしいアカウントアクティビティ横方向移動 -> UBA
疑わしいネットワークアクティビティ横方向移動 -> UBA
疑わしいドメイン通信感染、送信 -> UBA
マルウェアによるデータの持ち出し異常を検出してブラックリストに登録、社内の異常な活動 -> UBA
UBA が脅威の調査の確度を高め、調査範囲を拡大
「状況証拠」は得られるが、「動かぬ証拠」が必ず得られるわけではなく、被害すら特定できない場合もある
Splunk Enterprise Security
重要イベントフレームワーク
セキュリティワークフローをサポート アダプティブ レスポンス
フレームワーク
警告活動 セキュリティに関する豊富なコンテキスト
資産および ID フレームワーク
脅威インテリジェンスフレームワーク
脅威インテリジェンス
リスクフレームワーク
リスクベース分析 すぐに使えるセキュリティコンテンツ表示/レポート/ルール
レビュー 特定1 2 3 4判断 行動および対応プロセス
監視 対応検出機能 調査
ダッシュボード
1リスクベースのセキュリティ
迅速なインシデントレビューと調査
インシデントレビューとインシデント対応を効率化
アセットとユーザーを可視化して調査
▶ 機能
• Raw イベント、アクション、注釈 (検索、表示、フィルター、イベントステータス) を統合
• イベント相互の時間的関係を表示
• 調査レポートの作成と管理
▶ 利点
• 攻撃の詳細情報や多段階の攻撃に対する調査活動を、より正確に理解、可視化、通知
調査のタイムライン
▶ 収集、共有、および対応をまとめて自動化することで、調査を強化し、修復に要する時間を短縮
▶ ワークフローベースのコンテキストと自動化された意思決定 (人間による支援もあり) により、運用効率を向上
▶ コンテキストを利用し、Enterprise Security とアダプティブレスポンスのパートナーとの間でデータを共有およびやり取りすることで、新しいインサイトを獲得
アダプティブレスポンス:分析に基づく意思決定、自動化
▶ 様々なセキュリティリスクの検出、調査、コンテキスト化を合理化
▶ Analytic Storiesは脅威を検出する方法、調査する場所、意思決定をナビゲートして次のアクションを実行する方法に関して実践的なガイダンスを提供
▶ 脆弱性、高度な脅威検出と対応の課題に対処するための追加の分析機能を提供することにより、Splunk ESを強化します。
Splunk ES Content Updatehttps://splunkbase.splunk.com/app/3449/
SplunkEnterprise Security
Demo
まとめ
分析主導型セキュリティ: ポートフォリオ
Enterprise Security
3rd Party Apps & Add-ons (1000+)
User Behavior Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
Network data
RDBMS (any) data Windows host data
Exchange data
ES Content Update
PCI Compliance
検索と調査 監視とアラートダッシュボードと
レポートインシデントと侵害対応
Splunk Security Apps & Add-ons
Security Essentials
App for AWS
ML Toolkit
Google Cloud
Microsoft Cloud
Windows Infrastructure
アノマリーの検出未知の脅威の
検出自動化とオーケストレー
ション脅威検出
セキュリティ運用
Phantom
Premium Solutions
分析主導型セキュリティ: ポートフォリオ
Enterprise Security
User Behavior Analytics
オペレーショナルインテリジェンスのためのプラットフォーム
検索と調査 監視とアラートダッシュボードと
レポートインシデントと侵害対応
Security Essentials
アノマリーの検出未知の脅威の
検出自動化とオーケストレー
ション脅威検出
セキュリティ運用
事象を検知✓ 無料
✓ 50以上のユースケース✓ 小規模から大規模環
境で利用可能
脅威を検知し迅速な調査を可能に
✓ 相関サーチ✓ 優先順位付け✓ 調査時間の短縮
蓄積した振る舞いから異常を検知
✓ 機械学習アルゴリズム✓ 複数のエンティティ分析
6/20(水) Splunk for DevOpsで淀みない開発プロセスを実現 〜 オートメーションのその先へ 〜
6/27(水) メトリックとログで始める新時代のサーバー監視の始め方
オンラインセミナー 開催予定
※ 日程、内容は予告なく変更する場合があります。※ オンラインセミナーや、その他の今後のイベントは、弊社サイトのイベントページをご参照ください。
https://www.splunk.com/ja_jp/about-us/events.html
セキュリティ調査のやり方 簡単解説インシデント検知のノウハウを活用する Security EssentialsSplunk ソリューションによる AWS セキュリティの強化
Splunk で実現する IT サービス可視化IT トラブルシュートのやり方簡単解説マシンデータだからできる超シンプル、超強力なシステム運用
オンデマンド オンラインセミナー (近日公開)
.conf18 登録開始!
.conf18 | October 1 – 4, 2018Splunk University | September 29 – October 1
フロリダ州 オーランド |ウォルトディズニーワールドスワン&ドルフィンリゾート
3日間のイノベーション体験ITビジョナリーによる基調講演
Splunkのテクノロジーパートナー講演
先進的なお客様の事例講演&最新デモ
スペシャル版トレーニング
ハンズオントレーニング
日本のお客様講演も!
300以上のテクニカルセッションビジネスアナリティクス
Development
IoT
IT 運用
セキュリティ・コンプライアンス
Foundations
世界の最新事例や技術動向を体感できる3日間!!
© 2 0 1 8 S P L U N K I N C .
#SplunkLive
ご清聴ありがとうございました
Recommended