Embed Size (px)
Citation preview
© 2 0 1 9 S P L U N K I N C .© 2 0 1 9 S P L U N K I N C .
[A-2]
無償のセキュリティ神Apps10選
今日から使える。セキュリティ監視の第一歩
Splunk Services Japan 合同会社Senior Sales Engineer 横田 聡, CISSP
2019.09.06 Ver1.0
© 2 0 1 9 S P L U N K I N C .
During the course of this presentation, we may make forward-looking statements regarding future events or the
expected performance of the company. We caution you that such statements reflect our current
expectations and estimates based on factors currently known to us and that actual events or results could differ
materially. For important factors that may cause actual results to differ from those contained in our forward-looking
statements, please review our filings with the SEC.
The forward-looking statements made in this presentation are being made as of the time and date of its live
presentation. If reviewed after its live presentation, this presentation may not contain current or accurate information.
We do not assume any obligation to update any forward-looking statements we may make. In addition, any information
about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for
informational purposes only and shall not be incorporated into any contract or other commitment. Splunk undertakes
no obligation either to develop the features or functionality described or to include any such feature or functionality in
a future release.
Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in the United States
and other countries. All other brand names, product names, or trademarks belong to their respective owners. © 2019 Splunk Inc. All rights reserved.
Forward-Looking Statements
THIS SLIDE IS REQUIRED FOR ALL 3 PARTY PRESENTATIONS.
© 2 0 1 9 S P L U N K I N C .
►対象:
これからSplunkを使ってセキュリティ運用を始めようとしている方へ
►内容:
無償でセキュリティ運用に使えるSplunkのApps 10選をご紹介
本セッションについて
© 2 0 1 9 S P L U N K I N C .
Splunk Appsとは
© 2 0 1 9 S P L U N K I N C .
豊富なSplunk Apps・他社製品との連携Splunk Appsサイトで約1500種類のアプリケーションが利用可能
モニタリング
API
SDK UI
サーバー・ストレージネットワーク
サーバー仮想化
オペレーションシステム
カスタムアプリケーション
ビジネスアプリケーション
クラウドサービス
トラブルチケットヘルプデスク
モバイルアプリケーション
Web IntelligenceStream
固定スキーマなし – どんなデータでもそのまま投入
© 2 0 1 9 S P L U N K I N C .
スポンサー様のAppsもたくさん!
MOTEXさんも、SKYさんもAppsあります!
© 2 0 1 9 S P L U N K I N C .
► Splunk Apps は、Splunk に適用すれば多くの業務や役割ですぐに効果を得られるように設計されています。Apps によって、ユーザーの操作は簡素化と最適化が行われると同時に、Splunk プラットフォームのデータや機能はフルにアクセスできます。
• ビルトインダッシュボード、レポート、アラート、ワークフロー
• パワーユーザー向けの綿密なデータ分析
• ポイントアンドクリックの分析をビジネスユーザーへ
► Splunk Add onは、あらゆるソースからデータをインポートして拡充し、充実したデータセットを作成。Apps 内で直接分析したり利用したりできる状態となります。また、Add onを使うと、Splunk プラットフォームを特定のニーズに応じて拡張することもできます。
• 何百もの共通ソースによるオンボードデータ
• フィールドを自動選択、特定、タグ付け
• 別の情報ソースを用いてデータを拡充
AppsとAdd-Onの違いhttps://www.splunk.com/ja_jp/products/apps-and-add-ons.html
ダッシュボード フィールド定義&取込モジュール
© 2 0 1 9 S P L U N K I N C .
Apps/Add-Onを使う際の注意点
誰が作ったものか?
どれくらい使われているのか?
困ったときは誰に聞くのか?
Appの更新を知るには?
© 2 0 1 9 S P L U N K I N C .
セキュリティに役立つ神Apps
© 2 0 1 9 S P L U N K I N C .
身近な課題別にAppsをご紹介セキュリティ監視設計の各ステップに有効なAppsを紹介
データ取り込み データ保存 可視化 分析とレポート アラート
Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用
対象データ毎のAdd-On活用
「UF(転送Agent)をインストールできないからネットワーク上でモニターして収集したい」
高速検索可能なサマリを作成
「中長期に渡る傾向を分析するための集計サマリを作成したい」
既存ダッシュボードの活用
「ゼロからダッシュボード作るにもヒントがほしい!」
分析ルール/レポートの作成
「セキュリティの監視ルールはできる所から始めたい。」「トポロジーを使った関連マップを作りたい。」
アラート連携
「アラート管理したい」「モバイルから見たい」
管理/メンテナンス
「社内アセットリストをGUIで更新したい」
© 2 0 1 9 S P L U N K I N C .
無償のセキュリティ神Apps 10選監視設計の各ステップに有効なAppを紹介
データ取り込み データ保存 可視化 分析とレポート アラート
Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用
対象データ毎のAdd-On活用
高速検索可能なサマリを作成
既存ダッシュボードの活用
分析ルール/レポートの作成
アラート連携
管理/メンテナンス
© 2 0 1 9 S P L U N K I N C .
データ取込編
© 2 0 1 9 S P L U N K I N C .
► How to use
• Splunkのstream appを使ってWireデータを可視化
► 推奨利用シーン
• webサーバには直接UFを導入できないがWebリクエストをリアルタイムに取得したい
• dnsサーバに対するクエリログをリアルタイムに取得したい
► 関連App
• Splunk Essentials for Wire Data
► 参考記事
• Splunk Streamを使って http通信のWire Dataを可視化https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454
①Splunk Stream「UF(転送Agent)をインストールできないからネットワーク上でモニターしてデータを収集したい」
© 2 0 1 9 S P L U N K I N C .
What is stream?Flow Data vs Splunk Stream
Flow-type Data
7. Application
6. Presentation
5. Session
4. Transport
3. Network
2. Data Link
1. Physical
Splunk Stream
7. Application
6. Presentation
5. Session
4. Transport
3. Network
2. Data Link
1. Physical
▶ ホストとホスト間の接続を示すことができますが、これらの会話の内容は記録されていない
イメージは、発着信履歴
▶ Splunk Streamは、 Wireデータをフルレイヤーを対象にすべて解析し、詳細な情報を含むイベントを生成します
イメージは、通話内容記録
ポイント:Splunk Streamは 全レイヤー層から必要なフィールドに限定して抽出することが可能
© 2 0 1 7 S P L U N K I N C .
収集方法は?I see data everywhere
(推奨)Stream専用ForwarderServerへ導入
End Users
SPAN or TAPFirewall
SplunkIndexers
Search head Linux - Universal Forwarder(Splunk_TA_Stream)
ServersInternet
© 2 0 1 9 S P L U N K I N C .
Demo : Splunk Stream
© 2 0 1 9 S P L U N K I N C .
データストレージ編
© 2 0 1 9 S P L U N K I N C .
► How to use
• CIMに準拠した高速化データモデルを新たに作成
► 推奨利用シーン
• 過去1年分のVPNやActive Directoryなどのあらゆる認証イベントの成功/失敗件数の傾向レポートを高速作成したい。
► 関連App
• -
► 参考記事
• SplunkのData Model Accelerationは何故早いのかhttps://speakerdeck.com/odorusatoshi/splunkfalsedata-model-accelerationhahe-gu-zao-ifalseka
② CIM(Common Information Model)「中長期に渡る傾向を分析するための集計サマリを作成したい」
© 2 0 1 9 S P L U N K I N C .
What is CIM?各レイヤー、各社で異なる製品を使っていても標準化(CIM化)によって相関検索が可能
NW
Serv
er
Endpoin
t
国産ベンダProxy 国産ベンダProxy
EDR(Sysmon)
本社(インターネット統合)
…
…
…
グループ統合アラート管理
インシデント調査効率化
Threat Intelligence
連携
グループA
DBファイルサーバ
ITSecurity,Compliance&Fraud
Monitor Detect Investigate Respond
Enterprise
ES
3rd PartySIEM
Augment&Replace
On-Premise,Cloud,Hybrid
MachineData
グループB グループC
src_ipが「10.1.0.2」を含むログをNW、サーバ、エンドポイント横断で検索。
グループBのパソコンがウイルス感染し、C&Cサーバと接続していることが判明
© 2 0 1 9 S P L U N K I N C .
CIMに準拠した高速化データモデルの作成方法各データモデルごとに高速化オプションを有効化するとデータモデルサマリが作成される
サマリー範囲指定期間分のデータモデルサマリを作成する。期間を超えたサマリは自動的に削除される。
高速化のステータス確認• ステータスが100%になれば、サマリー範囲期間分のデータモルサマリが作成されている。
• データモデルサマリは46.12MBのディスクを消費している事がわかる。
[設定] – [データモデル]に移動しAuthenticationデータモデルを編集
© 2 0 1 9 S P L U N K I N C .
可視化編
© 2 0 1 9 S P L U N K I N C .
► How to use
• 高速化データモデルを事前に作成しておき、InfoSec Appを追加するだけで可視化が可能。
► 推奨利用シーン
• ユーザ名、ホスト名を元にした調査ダッシュボードを手早く用意したい
• ネットワークトラフィックの傾向監視ダッシュボードを手早く用意したい
► 関連App
• Force Directed Visualization
• Punchcard visualization
• Splunk Common Information Model (CIM)
► 参考URL
• https://www.youtube.com/watch?v=v_po-rPjZfg
③ InfoSec App for Splunk「ゼロからダッシュボード作るにもヒントがほしい!」
© 2 0 1 9 S P L U N K I N C .
Demo : InfoSec App for Splunk
© 2 0 1 9 S P L U N K I N C .
► How to use
• AWSのログ(cloudtrail)をAdd-onを使って収集し、Appを使った可視化
► 推奨利用シーン
• AWSサービス内のコンポーネントの関連をトポロジーマップで可視化したい
• 不正なアクセスキーの利用が無いか可視化したい
► 関連App
• Splunk Add-on for Amazon Web Services
► 参考記事
• SplunkのAWS統合サービス「Splunk App for AWS」を試してみた by ハマコーさんhttps://dev.classmethod.jp/cloud/aws/splunk-app-for-aws/
④ Splunk App for AWS「 AWS環境のセキュリティ監視のためのダッシュボードがほしい!」
© 2 0 1 9 S P L U N K I N C .
推奨セキュリティ監視ポイント
トポロジー機能 Insights機能
確認のポイント野良インスタンスが存在していないか?(ポリシーのゆるいセキュリティグループに紐づく)
Problem:Security groups with rules that allow unrestricted access (0.0.0.0/0) to specific ports.
Solution:Restrict access to only those IP addresses that require it. To restrict access to a specific IP address, set the suffix to /32 (for example, 192.0.2.10/32).Be sure to delete overly permissive rules after creating rules that are more restrictive.
Details:Accessing to port 20 - 22 is unrestricted.
確認のポイント接続元IP制限が緩いセキュリティグループポリシーが存在しないか?
© 2 0 1 9 S P L U N K I N C .
分析とレポート編
© 2 0 1 9 S P L U N K I N C .
► How to use
• データソースを元に絞込んで有効なサーチ文を選択。試した後にスケジュールサーチに保存
► 推奨利用シーン
• Active Directoryに対する不正アクセスの兆候を気づくための監視ルールを適用したい
• エンドポイント上での通常と異なる不審なプロセスを検知したい
► 関連App
• -
► 参考記事
• 無償のSplunk Security Essentialの使い方!https://qiita.com/odorusatoshi/items/201af5bb1bbc40b832bc
⑤ Splunk Security Essential「セキュリティの監視ルールはできる所から始めたい。」
© 2 0 1 9 S P L U N K I N C .
Demo :Splunk Security Essential
© 2 0 1 9 S P L U N K I N C .
► How to use
• 機械学習(MLTK)と関連Appsをインストールしdns/proxyログからdomain情報を分析
► 推奨利用シーン
• マルウェアが外部通信に利用する際に利用するDGA生成ドメインを検知したい
► 関連App
• Splunk Machine Learning Toolkit 2.4
• URL Toolbox App
• 3D Scatterplot
• Parallel coordinates
► 参考記事
• DGA App for Splunk: Japanese (HowTo解説動画)https://youtu.be/8qwm79fGT20
⑥ DGA App for Splunk「セキュリティの監視ルールはできる所から始めたい。」
Advanced
© 2 0 1 9 S P L U N K I N C .
DGA App for Splunkの使い方日本語解説動画を是非ご視聴ください。
© 2 0 1 9 S P L U N K I N C .
► How to use
• src、destの関係を含むデータを用意して、サーチ結果のビジュアライゼーションを利用
► 推奨利用シーン
• 不審なURLへの接続状況をトポロジーで可視化。更にトポロジーをクリックしてドリルダウン調査を行いたい
► 関連App
• -
⑦ Network Topology - Custom Visualization「トポロジーを使った関連マップを作りたい。」
© 2 0 1 9 S P L U N K I N C .
Demo :Network Topology -
Custom Visualization
© 2 0 1 9 S P L U N K I N C .
アラート/管理編
© 2 0 1 9 S P L U N K I N C .
► How to use
• Alert Manager Add-onとAlert Managerをインストールして、スケジュールサーチ結果のアラートアクション先に指定
► 推奨利用シーン
• スケジュールサーチのアラート発生時の簡易チケッティング機能として利用
► 関連App
• Alert Manager Add-on
⑧ Alert Manager「アラートを一元管理したい」
© 2 0 1 9 S P L U N K I N C .
► How to use
• 本Appをインストールして、iOSモバイルにSplunk Mobileをインストール。
► 推奨利用シーン
• 外出時のアラートチェックをパソコン開かずにmobileから確認したい
► 関連App
• Splunk Mobile (iOS)https://itunes.apple.com/us/app/splunk-mobile/id1420299852?mt=8
► 参考記事
• Splunk Mobile(Splunk Cloud Gateway)を使って旅先でPC開かずにアラートチェックhttps://qiita.com/odorusatoshi/items/779d3302cf73996a83e8
⑨ Splunk Cloud Gateway「モバイルからアラートを見たい」
© 2 0 1 9 S P L U N K I N C .
Demo :Splunk Cloud Gateway
© 2 0 1 9 S P L U N K I N C .
► How to use
• csvファイル(UTF-8)をLookup File Editorにアップロードして、GUIからも直接編集。
► 推奨利用シーン
• 社内のアセット情報のレコード修正をGUIから行いたい(IPアドレスレンジと利用グループの紐付け*比較的更新頻度は少ない*)
► 関連App
• -
► 参考記事
• Lookup Editorの使い方 by じゅのぶろさんhttp://jnox.hatenablog.com/entry/splunk/using-lookup-editor
⑩ Lookup File Editor「社内アセットリストをGUIで更新したい」
© 2 0 1 9 S P L U N K I N C .
本日紹介したApps最初の一歩に有効な無償Appsは抑えられましたか?
データ取り込み データ保存 可視化 分析とレポート アラート
Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用
①対象データ毎のAdd-Onの活用
②データの正規化(スキーマ定義)
③既存ダッシュボードの活用
④分析ルール/レポートの作成
⑤アラート連携
⑥管理/メンテナンス
© 2 0 1 9 S P L U N K I N C .
アンケートのご協力ありがとうございました。
あなたのおすすめAppを紹介してください!
© 2 0 1 9 S P L U N K I N C .
Next Security Session [A-3] 16:30〜
導入効果(検知力、調査効率)
投資
(ライセンス、リソース)
事後調査
アラート&傾向分析
継続的な脅威検知ルールの適用
機械学習による振る舞い検知
インシデント統合管理&チケッティング
自動化/オーケストレーション
Enterprise Security
User Behavior Analytics
Phantom
Premium Solution(有償)
ES Content Update投資(ライセンス、リソース)
© 2 0 1 9 S P L U N K I N C .
4 Days of Innovation 350 Education Sessions 20 Hours of Networking
“Hands down the most beneficial and attendee focused conference I have attended!”
– Michael Mills, Senior Consultant, Booz Allen Hamilton
本日、登録をお願いします!
conf.splunk.com
.conf19October 21-24, 2019
Splunk UniversityOctober19-21, 2019
Las Vegas, NVThe Venetian Sands Expo
October 21-24
© 2 0 1 9 S P L U N K I N C .
► 日付:11/7(木) 10:00-17:30
► 参加人数: 1チームあたり3-5名、全体100名程度
► 参加に必要なスキル
• セキュリティ運用における実務経験(SOC Tier3クラス)
• Splunk Enterpriseの操作(簡単なサーチコマンド)
► 参加費:無料
MEGA BOTS Tokyo (CTF)を開催します!日本一のセキュリティSplunk使いを決めます
詳細は近日公開予定
Global No1を決めるぜ!
© 2 0 1 9 S P L U N K I N C .© 2 0 1 9 S P L U N K I N C .
Thank You.
