Security is
Bigdata
Change
Monitoring Server/Network
Management
Service
Desk
Cloud
/Virtualization
Management
JAWSDAYS
2013 DAY2
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security Trend = 5th Domain
2
第5の戦場
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security Trend = Who & Why
3
攻撃元を特定・対策
一般的脅威
への
技術的対策
標的型脅威
への
技術的対策
標的型脅威
への
戦略的対策
Firewall, Anti-virus (Host/GW), Anti-spam, Web Filter, IDPS, Host IPS, Next-gen. Firewall, Others
DDoS Protection, Data Security
FireEye
攻撃者に着目, Who & Why, 対策
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security Trend = Matching
4
攻撃を止めず、監視し攻撃元、
攻撃手法を分析、対策=CrowdStrike
・0Dayアタックトレース
・入口監視
・情報収集
サーバ発見
・出口監視
セキュリティログ収集、レポート、監査
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
CrowdStrike> Active Defense
5
攻撃者の時間とコストを増大させる
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
CrowdStrike>Intelligence
攻撃者判定サービス
• Malwareから攻撃者を判定するサービス
攻撃者別サービス
• 当該攻撃者に関するレポート(随時アップデート)
攻撃者の組織、技術、戦術、プロシージャに関する情報
関連するバイナリー、技術的対策
• 当該攻撃者からの攻撃を検知するシグネチャ(Snort/Yara)
• 攻撃アラートサービス
• ポータル(予定)
DNSサービス
• DNSによる攻撃者サイトへのアクセス防止サービス
個別コンサルティング
• 攻撃者への対策の個別コンサルティング
6
クラウドストライク社のサービス
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
CrowdStrikeとFireEyeの連携 ① 攻撃の検知
・FireEyeで従来のソリューションをすり抜けてきた攻撃を検知
② 攻撃者の特定
・検知したマルウェアの検体をクラウドストライク社で解析し、攻撃者を特定
③ 特定された攻撃者からの攻撃の継続的な検知
・特定された攻撃者の動向は、クラウドストライク社及びFireEyeが継続的に追跡し、その攻撃者の攻撃の傾向を把握
ユーザーへその情報を提供
④ 戦略的対策の提案
・攻撃者の背景、傾向等から
戦略的な対策を立案、提案
7
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security = Virtual Servers
未公開ページへアクセス
ID,passwd 再発行偽装ページ
宣伝コメント、不正URLコメント記入
電子メール収集
マルウェアダウンロードサーバの設置★
攻撃用サーバの設置
裏チャットサーバの設置
More…
★次のスライド注目!
8
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security = 0day
9
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html
今朝発表: OCJP-098: 【警告】 285件日本国内の
ウェブサイトが「Darkleech Apache Module」に
感染されて、IEでアクセスすると「Blackhole」 マルウェア感染サイトに転送されています!
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Virtual
Physical
Cloud
ITデータ=ビッグデータ
Energy
Manufacturing
Shipping RFID
Web Services
Developers
App Support
Telecoms
Networking
Desktops
Servers
Security
Databases
Storage
Messaging
Online Shopping
Carts
Clickstream
GPS/Cellular Online
Services
モバイル・センサー・ GSM・組込 コアIT環境 ヒューマンデータ、O2O
10
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data. 11
みんなグーグルを使ってる
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data. 12
システムログは膨大だ
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data. 13
+
2つあわせたら便利かも?
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data. 14
+
=
良いアイディア!
15
Spelunking = 洞窟探検
Splunk = ITシステムの探索
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Splunk> ITデータをワンストップで
すべてのログを
時系列表示
イベントグラフ
検索窓でアドホック検索
ダッシュボードで閲覧
定型レポート自動配信
モバイルから監視パネルまで
16
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Splunkの利点 – システム・クラウド内マシンの横断分析
サービスデスク
IPアドレスで1時間 以内でのWeb セッションとユーザIDを検索
3分以内のDBエラー もしくは権限ミスの ログを検索
1分以内の管理権限のない社員で 権限変更ログを検索
Trouble
Ticket
問題箇所発見まで
わずか10分
サービスデスク ネットワーク 管理者
データベースエンジニア
アプリケーション開発者 権限チェック
システム 管理者
14
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
VISA:迅速なトラブルシューティング
Network
Operations VISA USA
“SplunkはVISAのネットワーク
デバイスの60%をカバー
しています。解析時間は
月間7-21日短縮しました。”
15
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Vodafone:驚異の時間短縮
Director Operations
vodafone
“Splunk はvodafoneの
エスカレーションタイムを90%
短縮し、問題発見時間を67%短縮しました。”
16
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
CISCO:予防的セキュリティ監視とフォレンジック
17
“CISCOでは
ログソースを迅速に統合・
関係付けることができるように
なり、以前は不可能だった
監視・応答シナリオが
可能になりました。”
CSIRT Manager
CISCO Systems
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security=Bigdata
21
30 Indexers - Amazon Extra Large
Instances
8 vCPU, 8 GB of RAM each
物理サーバ群
AWS AWS AWS AWS AWS
2 Search Heads :
8 vCPU, 8 GB of RAM each
2 Search Heads: 4-way, 4 cores,
8GB RAM
10 Indexers: 4-way,
4 cores, 8 GB RAM
“Splunkはスケールアウト
できるためAWSと社内サーバの
ハイブリッドクラウド環境を
横断し、ゲームサイトの
稼働状況、セキュリティ
管理を実現できました。“
BIG Social
game company
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Security Compliance =Bigdata
FISMA
デロイト社:システム監査のツールとしてSplunkを利用
PCI,FISMA,SOX,HIPPA,SOXへの対応実績および
COBIT、ITIL、NIST IT フレームワークをサポート
NISPOM chapter8,DCID 6/3適用実績
セキュリティ機器用
テンプレートの用意
22
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
IT Data = Big Data
23
1TB/day
2.5TB/day
16TB/day 4TB/day
1.5TB/day
6TB/day
ウェブ 解析
アプリ 管理
コンプライアンス
セキュリティ
IT オペレーション
ビジネス分析
マーケ
ティング 経営層 開発部門
運用チーム 監査
Social
Game
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
ダッシュボード共有=Big Dataの可視化
Webマスター
シスアド
NW管理者
CIO,役員
セキュリティチーム サーバー運用チーム
IT 部門
監査
Webアプリ
Expanding Use Cases
運用・ 開発
ユーザ ヘルプデスク
24
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
http://bit.ly/gosplunk
SCPでtgzをEC2にコピー
gunzip解凍
%cd ~hoge/opt/splunk
./splunk start
*nix.appをセットアップ
サーバモニタリング完成!
Splunk> 5分でインストール!
25
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Splunk> ログの収集、検索、使い方
26
ブログ見て下さい!
「うなぎ屋 splunk」で検索!
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
AWSの全リージョンの課金をモニタリング
Splunk for AWS.app
27
Copyright © 2013, Splunk Inc. Macnica Networks Corp. Listen to your data.
Splunk for Amazon Cloudwatch notifications
28
Good Luck!
マクニカネットワークス株式会社
Splunkチーム
045-476-1960
http://www.macnica.net/splunk/