Splunk 統合に関する FAQ

Splunk とは何ですか?

Splunk は、大量のログ データを調査するためのプラットフォームです。近年では、サイバーセキュリティチームがネットワーク セキュリティを管理するための主要なツールの 1 つとなっています。

クライアントは Splunk でどのような種類のデータを使用しますか?

内部ネットワーク、システム、およびアプリケーション ログは、受信および送信ネットワーク トラフィックに関連付けられた IP アドレス、ドメイン、ファイル ハッシュ、および URL のレコードを生成します。また、クライアントは定期的にVulnerabilityスキャンの結果を Splunk に入力して、パッチ作業を優先します。

Splunk で監視されるログを生成するネットワーク ハードウェアの種類は何ですか?

• エンドポイントセキュリティソリューション（Carbon Black、Symantec、Tanium、McAfee、Kaspersky、Trend Micro、Microsoft、Crowdstrike、FireEye HX、Cylance、ClamAVなど）は、エンドポイントシステムに対するマルウェアやユーザーによる不正使用などのリスクを特定し、ブロックするのに役立ちます。クライアントは通常、これらのサービスからハッシュを収集できます。
• ファイアウォール（Cisco PIX、Cisco ASA、Juniper（SSP）、SonicWall、IPTablesなど）は、情報源と宛先アドレスに関するルールに基づいてパケットを許可または拒否することで、ネットワーク境界でネットワークトラフィックを制御します。クライアントは通常、これらのアプライアンスやサービスからIPアドレスを収集できます。
• Palo Alto Networks、Cisco Firepower、Juniper NRX、Checkpoint、Fortinetが提供する次世代ファイアウォールは、従来のファイアウォールと同様のセキュリティサービスを提供しますが、アダプティブルールやネットフローといったより動的な機能も備えています。クライアントは通常、これらのアプライアンスからIPアドレス、ドメイン、ハッシュを収集できます。
• F5、Imperva、Akamai、Cloudflareなどのアプリケーションファイアウォールは、ネットワークファイアウォールと同様の動作をしますが、アプリケーションエンドポイントへのアクセス制御を提供します。クライアントは通常、これらのサービスからIPアドレスを収集できます。
• Symantec（Bluecoat）、ZScaler、McAfee、Cisco WSA、HAproxy、Squid、Proofpoint Proxy DLPなどが提供する プロキシは 、 中間サーバーを介してWebトラフィックを管理します。これにより、組織はインターネットへのトラフィックを単一のサーバーまたは限られた数のサーバーに集約し、コンテンツの監視と管理を強化できます。クライアントは通常、これらのアプライアンスからIP、ドメイン、ハッシュを収集できます。
• 内部DNSリゾルバには、Bind、Infoblox、Microsoft DNSサービスなどがあります。クライアントはこれらのサーバーを利用して、管理する内部および外部ドメインの権威ある名前解決を提供します。これらのサービスのログは、DNSトンネリングやゾーン転送といったDNSの不正利用を特定するのに役立ちます。クライアントは通常、これらのサービスからドメイン情報を収集できます。
• FireEye NX、SourceFire（Cisco）、Tenable、McAfee、SNORT、Bro、Security Onion、IBMなどが提供する侵入検知システム/侵入防止システム（IDS/IPS）は、様々なTTPsを用いて不正なネットワークアクセスを検知または防止します。クライアントは通常、これらのアプライアンスからIPアドレス、ドメイン、ハッシュ、脆弱性情報を収集できます。
• Apache、Tomcat、Microsoft IIS、JBoss、NginxなどのサーバーのWebサーバーログは、 Webサーバー上の不審なアクティビティや悪意のあるアクティビティを特定するために使用できる情報を提供します。クライアントは通常、これらのログからIPアドレスを収集できます。
• Qualys、Tenable、Rapid7などのVulnerabilityスキャナーは、ネットワークホスト上の脆弱性を特定し、脆弱性リスクを定量化します。クライアントは通常、これらのサービスからVulnerabilityレポートを収集できます。このレポートには、影響を受けるデバイスの数と種類（エンドユーザーマシンとサーバー）など、クライアント環境で発見された脆弱性に関する情報が表形式で記載されています。
• Proofpoint、Forcepoint、McAfee、SMTP、Ironport（ESA）などの メールゲートウェイを 利用することで、組織はフィッシング、スパム、悪意のある添付ファイルなどのメールの不正利用を監視し、送信メールと添付ファイルを分析することでデータ損失を防ぐことができます。クライアントは通常、これらのサービスからドメインとハッシュを収集できます。

DMZとは何ですか?

• セキュリティ アーキテクチャ内の領域で、ファイアウォールを介してパブリック アクセス可能なネットワークへの外部からの受信トラフィックが許可されます。受信トラフィックと送信トラフィックの両方がファイアウォールによって仲介されます。

通常、どのデータ タイプが受信または送信されますか?

• IPアドレスは、ネットワークにトラフィックを送信し、内部マシンが応答するIPアドレスとして、受信ログで最も頻繁に観察されます。

• 受信IPデータは通常、DMZ、外部に面したアプリケーションサーバー、およびアプリケーションファイアウォールへのファイアウォールで観察されます。
• 送信IPデータは通常、プロキシとファイアウォールで観測されます
• ドメインとURLは通常、システム内部から発信されるネットワークトラフィックとして観察され、
• 一部の企業では、独自の DNS サーバーを使用して内部的にドメインを IP アドレスに解決します。これらのログには、内部マシンが通信しようとしているドメインと関連するIPアドレスが含まれます。
• ハッシュは、内部マシンが Web からファイルをダウンロードするときに受信され、内部システムが外部エンドポイントと通信するときに送信されます。送信トラフィックに悪意のあるファイルが存在する場合、内部マシンが感染していることを示します。

どのようなユースケースをサポートしていますか?

大まかに言うと、5 つの主なユースケースをサポートしています。

• エンリッチメント: Splunk ユーザーが個々のインジケーターを調査するときに、インテリジェンス カードのコンテンツを動的に取得して表示できるようにします。何らかの理由でアラートがトリガーされたために調査されている指標の詳細なコンテキストを提供します
• 相関関係: Recorded Futureリスクリストの1つに一致するクライアントログの指標に基づいて「注目すべきイベント」を生成します。
• 相関検索では、利用可能なすべてのクライアント ログ データに対して盲目的に相関するのではなく、ログの情報ソースを考慮する必要があります。たとえば、「承認された」ファイアウォール トラフィックのみを Recorded Future リスクリストに相関させる必要があります。一方、アラートを発生させる IPS/IDS トラフィックのみを Recorded Future 相関に推奨します。より詳細な議論には専門サービスが役立ちます。
• Vulnerability評価（Splunk Enterpriseのみ）：クライアントの脆弱性スキャンとリスクスコア、およびNVDリリース前の公開情報、実際のエクスプロイトなどに関する関連認識を組み合わせて、最も影響の大きい脆弱性を評価します。
• アラートのレビュー: Splunk で受信できるようにRecorded Futureアラートを構成する
• SOC 表示: Recorded Future のリスク リストとアラートの概要情報を、視覚的および表形式のオブジェクトで表示します (Splunk Enterprise のみ)

これらに関する詳細は、インテリジェンス目標文書（近日中にリンクを提供予定）に記載されています。

理解しておく必要がある Splunk のメジャー バージョンは何ですか?

• Splunk Enterprise または「Core Splunk」が基本プラットフォームです。非常に柔軟に構成できるため、さまざまなユースケースをサポートできます。企業は通常、社内の業務プロセスをサポートするダッシュボード/ワークフローを構成するために Splunk の専門家を雇用するか、外部委託しています。
• 当社の Splunk Enterprise アプリは、Splunk Enterprise を導入している組織にとって概念実証となることがよくあります。クライアントは、当社の相関関係とエンリッチメントのページを参照し、必要な機能を独自のダッシュボードに統合する可能性があります。
• すべてのユースケースをサポート
• Splunk Enterprise Security (Splunk ES) は、セキュリティ強化のために Splunk Enterprise に追加された機能セットです。 Splunk ES には、全体的なセキュリティポスチャー、インシデント応答、脅威監視、その他のユースケースを監視するためのダッシュボードが事前設定されています。 また、セキュリティ関連データを正規化して使用と分析を容易にするために、いくつかのカスタム データ モデルも使用します。多くの組織は、セキュリティ情報およびイベント管理 (SIEM) プラットフォームとして Splunk ES を使用しています。
• Splunk ES は最小限の構成機能をサポートします。Splunk ES との統合には、ほとんど構成が必要ではなく、機能も制限されています。
• Splunk ES ユーザーには、両方のアプリを使用することをお勧めします。Splunk ES アプリではデフォルトの機能を活用し、Splunk Enterprise アプリではより幅広いユースケースをサポートします。
• 相関関係とエンリッチメントのユースケースがサポートされています。
• Splunk Cloud は、Splunk ES および Splunk アプリのサポートを含め、Splunk Enterprise と同じサービスを提供しますが、データの保存と処理をクラウドベースのサービスに移行します。これにより、クライアントの Splunk インストール用にオンプレミスのアプライアンスをインストールする必要がなくなります。Splunk のスタッフは Splunk Cloud のインスタンスも管理するため、アプリのインストール (およびその他のアプリケーションのメンテナンス) には、クライアントが Splunk にチケットを提出する必要があります。さらに、Splunk は認定されたアプリのみを Splunk Cloud インスタンスにインストールしますが、認定されていないアプリはクライアントの判断で Splunk のオンプレミス インスタンスにインストールできます。さらに、Splunk Cloud のスクリプトをカスタマイズする場合は、最大 4 週間かかるレビュー サイクルが必要になります。

Splunk 統合に関連する Recorded Future の機能は何ですか?

1. 動的エンリッチメントは、インジケーターのコンテキストを取得するための Connect API 機能を介してサポートされます。
2. Recorded Futureからのリスクリストは、相関関係をサポートするためにConnect APIを使用してダウンロードされます。
1. 基本リスクリストはスケジュールに従ってダウンロードされ、デフォルトの相関ダッシュボードに使用されます。カスタムダッシュボードにも統合できます。
2. カスタム構成を必要とする追加のユースケースでは、 より長いリスクリストが 利用可能です。
3. FUSIONを使用すると、必要に応じRecorded Future 、クライアント、およびサードパーティのフィードを統合してカスタマイズされたリスクリストを作成し、これらのカスタムフィードをSplunkに配信することができます。
4. Splunkアプリ
1. 当社では、 Recorded Future Add-on for Splunk ES と Recorded Future App for Splunk という 2 つの Splunk アプリを出荷しています 。
2. これらのアプリはConnect APIとFusion APIにアクセスします

Splunk の統合はモジュールによってどのように異なりますか?

Splunk 統合は、任意Recorded Futureモジュール、またはモジュールの組み合わせと一緒に購入できますが、購入した統合に応じて、統合のさまざまな部分が機能したり機能しなかったりします。 さらに説明すると、各モジュールがサポートするさまざまなユースケースがあり、Splunk 統合をモジュールと組み合わせて購入すると、それらのモジュール固有のユースケースが有効になります。一つの考え方は、Splunk で利用可能なすべての機能をすべてのモジュールにわたって 1 つのアプリケーションにパッケージ化したということです。さまざまな機能を有効にするかどうかは、クライアントがサインアップ（および支払い）したサブスクリプションによって異なります。

どの Splunk 統合機能がどのモジュールで動作するかを示す表を以下に示します。

Splunk について詳しくはどこで知ることができますか?

https://www.splunk.com/en_us/view/education/SP-CAAAAH9