Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解企業名...

Splunkセキュリティポートフォリオ全体像ご紹介：もう悩まない ! 要件が無いならセキュリティのベストプラクティスを活用し省力化

Taki Nakamura | Sales Engineer

Masaharu Morikawa | Sr. Sales Engineer

6/8/2018 | Tokyo

#SplunkLive

© 2018 SPLUNK INC.

弊社のプレゼンテーションには、弊社の将来の事象または予想される業績に関する将来予測記述を含むことがあり

ます。当該記述は、現在弊社が知っている要因に基づく弊社の現在の予測および推定を反映するものであることと、

実際の事象または結果が著しく異なる可能性があることをご了承ください。実際の結果が弊社の将来予測記述に含

まれるものとは異なる場合、その重要な要因については、SEC を含む弊社の文書をお調べください。

このプレゼンテーションに含まれる将来予測記述は、プレゼンテーション実施日時において述べられたものです。プレ

ゼンテーション実施後に見直しが行われた場合、このプレゼンテーションに現在のまたは正確な情報が含まれないこ

とがあります。弊社は、弊社が述べることがある将来予測記述を更新する義務を負いません。また、弊社のロード

マップに関する情報で、弊社の一般的な製品方針の概要が示されていますが、この情報は予告なしにいつでも変更

されることがあります。これはあくまで参照用であって、契約またはその他の約定に組み込まれないものとします。

Splunkは、記述されている特徴または機能を開発する義務も、かかる特徴または機能を将来のリリースに含める義

務も負いません。

Splunk、Splunk>、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk LightおよびSPLは、Splunk Inc.の米国およびその他の国における商標または

登録商標です。他のすべてのブランド名、製品名、もしくは商標は、それぞれの所有者に帰属します。© 2018 Splunk Inc.無断複写・転載を禁じます。

免責事項

このスライドは、すべてのサードパーティープレゼンテーションの際に必須です。

© 2017 SPLUNK INC.

1.セキュリティチャレンジ

2.セキュリティ全体を強化するには？

3.どのようにしてSplunkが役立つのか？

Splunk Security Essentials

Splunk User Behavior Analytics

Splunk Enterprise Security

What Can You Expect From This Session?

セキュリティチャレンジ高度な脅威

現在のセキュリティ課題

進化する脅威管理の煩雑化スキル不足

3兆ドル2021年までに予想されるサイバー犯罪の世界的

なコスト

70+管理アプリ

3.5 億ドル2021年までに充足されていないサイバーセキュリティの業

務が75％増加

インシデントレスポンスにおける各社の状況の理解企業名イベント

A社不正アクセス約42万件

B社不正アクセス約125万件

C社内部持ち出し約3500万件

D社不正アクセス約4000人

1~7日後1〜7日前公開当日 8〜29日後 30日後以降

発生（約1年前）

発覚（2週間前）

緊急対策本部設置（10日前）

公表（Web)

記者会見

記者会見

記者会見謝罪広告記者会見複数回にわたるプレスリリース/Web公表

発生（5日前）

発覚（2日前）

記者会見記者会見

8〜29日前30日前以前

発生（11ヶ月前）

発覚/対策本部設置クレジットカード使用停止調査期間へ調査依頼（23日前）

公表（Web/メール)

記者会見

発生/発覚（23日前）記者会見

発覚後10日間不審メール受信/2通開封

調査結果公開追跡調査により判明した約1万人の被害者を公表（58日後）

調査結果公開（81日後）

GDPRでは…✓ 72時間以内に通知

実施方法・タイミングは平時から整備されておらず、アドホックな対応

情報流出による損害額漏洩事業者・情報影響範囲金額相場総額(推定）

流通業 42万人カード発行代含む８億円

流通業 793万人パスポート再発行代含む 100億以上

流通業２８９５万人５００円分の電子マネーor図書カードor寄付

144億7500万円

流通業１万２０００人１０００円相当 1200万円保険業１万８０００人１万円／３０００円 5億〜18億

エンターテイメント１４万９０００人５００円相当 7450万円金融業４万９０００人１万円の商品券 4億9000万円

流通業２万８０００人１０００円相当 2800万円流通業１２万３０００人１０００円相当 1億23000万円製造業８６４万人５００円 43億2000万円

エンターテインメント１２万２０００人５００円 6100万円

金融業４７万８０００人５００円 2億3900万円製造業１万６０００人５００円相当 8000万円流通業７万５０００人５００円 3750万円

通信４５１万７０００人５００円の金券 22億5850万円

流通業会員約１１５万人５０００円の商品券 57億5000万円

流通業会員約１８万人１０００円のクオ・カード 1億8000万円

GDPRでは…✓ 制裁金は売上高の4％か2000万ユーロ（約26億円）

▶ 複数の攻撃経路を使用する攻撃

▶ 発見、排除、原因究明が困難

▶ 利用される経路は、フィッシング、マルウェアに感染した Web サイト、総当たり攻撃、ソーシャルエンジニアリング、ゼロデイ脆弱性など

▶ 1 つまたは複数のシステムを侵害し、持続性と通信チャネルを確立

高度な脅威とは？

検出のためには、早期の発見と分析が必要

高度な脅威検出モデル：キルチェーンおよび ATT&CK

偵察武器化配送エクスプロイト

インストール C＆C 目的実行

困難

Mitre 社の ATT&CK

Confidential – Internal Distribution Only

WAF & App Security

Threat Intelligence

Cloud Security

Endpoints

Orchestration

Network

Web Proxy Firewall

Identity and Access

10111110101010000011110111110110111110101001000101111011111010100110

分析主導型セキュリティ

リスクベース分析脅威インテリジェンスの活用による

精度の高い調査

データとの技術融合

10111110101010000011110111110110111110101001000101111011111010100110x

セキュリティポートフォリオ

マシンデータをビジネス価値へ変換

13

そのままのデータをインデックス化：あらゆるデータソース、種類、ボリューム

オンラインサービスウェブサービ

ス

サーバーセキュリティ GPS 測位

ストレージデスクトップ

ネットワーク

パッケージ化されたアプリケーション

カスタムアプリケーショ

ン

メッセージング

電気通信オンラインショッピングカート

ウェブクリック

ストリーム

データベース

エネルギーメーター

通話詳細記録

スマートフォンと機器

RFID

オンプレミス

プライベートクラウド

パブリッククラウド

利用シーンアプリケーションデリバリー

セキュリティ、コンプライアンス、不正

IT 運用管理

ビジネス分析

産業データとIoT

分析主導型セキュリティ: ポートフォリオ

Enterprise Security

3rd Party Apps & Add-ons (1000+)

User Behavior Analytics

オペレーショナルインテリジェンスのためのプラットフォーム

Network data

RDBMS (any) data Windows host data

Exchange data

ES Content Update

PCI Compliance

検索と調査監視とアラートダッシュボードと

レポートインシデントと侵害対応

Splunk Security Apps & Add-ons

Security Essentials

App for AWS

ML Toolkit

Google Cloud

Microsoft Cloud

Windows Infrastructure

アノマリーの検出未知の脅威の

検出自動化とオーケストレー

ション脅威検出

セキュリティ運用

Phantom

Premium Solutions

Splunk Security Essentials

機械学習を使用すべき場合と使用すべきでない場合を見極める

Enterprise SecurityUser Behavior

Analytics


Network data


Exchange data

ES Content Update

PCI Compliance


Security Essentials

App for AWS

ML Toolkit

Google Cloud

Microsoft Cloud


Phantom

Premium Solutions

ユースケース

内部脅威サイバー脅威

通常よりも外部サイトへのファイルアップロードが多いブルートフォースアタックの検出：短期間でのログイン失敗ログからソースを特定

ダウンロードが多いマルウェア：ポートに大量にスキャンを実施していることを検出

退職者アカウントによるログイン高度な脅威：通常よりも大量にログインを実行している端末の特定

ADにないアカウントによるログインフィッシングメール：自社のメールアドレスから大量のメールを送信しているアカウントの特定

印刷枚数が通常時よりも多いフィッシングメール：自社のドメインに似たメールアドレスからの受信を検出

SFDCから通常時よりも多くエクスポートされている DNS悪用攻撃：大量のDNSトラフィックの検出

Splunkの分析主導型セキュリティにより強化:自社環境にいる攻撃者を特定✓ UEBA (ユーザーおよびエンティティ行動分析) 製品に多いユース

ケースが 50 以上、どれも Splunk Enterprise から無料で利用可能

✓ 外部からの攻撃と内部脅威に対応✓ 小規模企業から大規模企業まで網羅✓ アプリの検索結果を保存して、ES/UBA に送信

Splunk Security Essentialshttps://splunkbase.splunk.com/app/3435/

今すぐ無料でユースケースを解決。その後、Splunk UBA を利用して、機械学習による高度な検出を実行

Splunk Security Essentials自社環境にいる内部脅威や高度なスキルを持つ攻撃者を見つけ出す

ダウンロード：https://splunkbase.splunk.com/app/3435/

検出方法

初めて事象分析(統計情報を利用)

時系列の分析(標準偏差を利用)

一般的なSplunk の検索

https://splunkbase.splunk.com/app/3435/

Splunk Security Essentials でできること

SPLUNK SECURITY ESSENTIALS

Splunk Security Essentials は、多

くのユースケースをカバー。Splunk

Enterprise から無料で利用可能

▶ 自動的に異常を脅威に関連付け、キ

ルチェーンの中で可視化する

には？

▶ 未知の脅威を検出するには？

User Behavior analytic50 以上のユースケース

アプリケーションログ

ネットワーク

ログ

エンドポイント

ログ

サーバーログ

ID ログ

新しいサーバーへの初めてのログイン

印刷ページ数の増加

インタラクティブなログオンの増加

新しい AD ドメインの検出

ログインされたホストの数の増加

Security Essentials ユースケースサンプル

概要

ユースケース

データソースセキュリティ影響

予想されるアラート量

サンプルサーチ


機械学習を利用した高度な脅威検出


Analytics


Network data


Exchange data

ES Content Update

PCI Compliance


Security Essentials

App for AWS

ML Toolkit

Google Cloud

Microsoft Cloud


Phantom

Premium Solutions

© 2017 SPLUNK INC.

59% の従業員が会社を辞める際にデータを持ち出している

知っていますか?

Source: Andra Zaharia. “10 Alarming Cyber Security Facts that Threaten Your Data.” Heimdal Security. 12 May 2016.

Splunk User Behavior Analytics の柱5 つの主な柱

行動ベースラインおよび行動モデリング

教師なし機械学習リアルタイム、ビッグデータアーキテクチャ

異常検出脅威検出

マシンデータ向けのプラットフォーム

Splunk UBA の仕組み

50 以上の異常を分類

30 以上の脅威を分類

機械

学習

疑わしいデータ移動

通常と異なるマシンアクセス

逃げる恐れのあるユーザー

通常と異なるネットワークアクティビティ

マシン生成ビーコン

機械学習

横展開移動

疑わしい振る舞い

侵害されたアカウント

データの持ち出し漏洩

マルウェアのアクティビティ

アプリケーション

ログ

ネットワークログ

エンドポイントログ

サーバーログ

ID ログ

UBA：高度な脅威検出のユースケース

侵害されたユーザーアカウントを検出

侵害されたエンドポイントを検出

データの持ち出しを検出

内部脅威者によるアクセスの悪用 (権限の悪用を含む)

調査のための情報を提供

A

B

C

D

E

Enterprise Security


Analytics


Network data


Exchange data

ES Content Update

PCI Compliance


Security Essentials

App for AWS

ML Toolkit

Google Cloud

Microsoft Cloud


Phantom

Premium Solutions

セキュリティ調査は煩雑

インシデントレスポンスにおける各社の状況の理解企業名イベント

A社不正アクセス約42万件

B社不正アクセス約125万件

C社内部持ち出し約3500万件

D社不正アクセス約4000人

1~7日後1〜7日前公開当日 8〜29日後 30日後以降

発生（約1年前）

発覚（2週間前）

緊急対策本部設置（10日前）

公表（Web)

記者会見

記者会見

記者会見謝罪広告記者会見複数回にわたるプレスリリース/Web公表

発生（5日前）

発覚（2日前）

記者会見記者会見

8〜29日前30日前以前

発生（11ヶ月前）

発覚/対策本部設置クレジットカード使用停止調査期間へ調査依頼（23日前）

公表（Web/メール)

記者会見

発生/発覚（23日前）記者会見

発覚後10日間不審メール受信/2通開封

調査結果公開追跡調査により判明した約1万人の被害者を公表（58日後）

調査結果公開（81日後）

GDPRでは…✓ 72時間以内に通知

脅威！

セキュリティ調査決定的証拠が得られることは少ない

偵察武器化配信エクスプロイトインストール C＆C 目的実行

CVE-2017-9805脆弱性スキャン -> ES

悪用の検出IDS/IPS -> ES

マルウェアの配信AV- 横方向移動 -> SE/ES

複数のログインエラー横方向移動 -> UBA

スキャンアクティビティ横方向移動 -> UBA

疑わしいアカウントアクティビティ横方向移動 -> UBA

疑わしいネットワークアクティビティ横方向移動 -> UBA

疑わしいドメイン通信感染、送信 -> UBA

マルウェアによるデータの持ち出し異常を検出してブラックリストに登録、社内の異常な活動 -> UBA

UBA が脅威の調査の確度を高め、調査範囲を拡大

「状況証拠」は得られるが、「動かぬ証拠」が必ず得られるわけではなく、被害すら特定できない場合もある

Splunk Enterprise Security

重要イベントフレームワーク

セキュリティワークフローをサポートアダプティブレスポンス

フレームワーク

警告活動セキュリティに関する豊富なコンテキスト

資産および ID フレームワーク

脅威インテリジェンスフレームワーク

脅威インテリジェンス

リスクフレームワーク

リスクベース分析すぐに使えるセキュリティコンテンツ表示/レポート/ルール

レビュー特定1 2 3 4判断行動および対応プロセス

監視対応検出機能調査

ダッシュボード

1リスクベースのセキュリティ

迅速なインシデントレビューと調査

インシデントレビューとインシデント対応を効率化

アセットとユーザーを可視化して調査

▶ 機能

• Raw イベント、アクション、注釈 (検索、表示、フィルター、イベントステータス) を統合

• イベント相互の時間的関係を表示

• 調査レポートの作成と管理

▶ 利点

• 攻撃の詳細情報や多段階の攻撃に対する調査活動を、より正確に理解、可視化、通知

調査のタイムライン

▶ 収集、共有、および対応をまとめて自動化することで、調査を強化し、修復に要する時間を短縮

▶ ワークフローベースのコンテキストと自動化された意思決定 (人間による支援もあり) により、運用効率を向上

▶ コンテキストを利用し、Enterprise Security とアダプティブレスポンスのパートナーとの間でデータを共有およびやり取りすることで、新しいインサイトを獲得

アダプティブレスポンス：分析に基づく意思決定、自動化

▶ 様々なセキュリティリスクの検出、調査、コンテキスト化を合理化

▶ Analytic Storiesは脅威を検出する方法、調査する場所、意思決定をナビゲートして次のアクションを実行する方法に関して実践的なガイダンスを提供

▶ 脆弱性、高度な脅威検出と対応の課題に対処するための追加の分析機能を提供することにより、Splunk ESを強化します。

Splunk ES Content Updatehttps://splunkbase.splunk.com/app/3449/

SplunkEnterprise Security

Demo

まとめ


Enterprise Security

3rd Party Apps & Add-ons (1000+)



Network data


Exchange data

ES Content Update

PCI Compliance




Security Essentials

App for AWS

ML Toolkit

Google Cloud

Microsoft Cloud






Phantom

Premium Solutions


Enterprise Security





Security Essentials





事象を検知✓ 無料

✓ 50以上のユースケース✓ 小規模から大規模環

境で利用可能

脅威を検知し迅速な調査を可能に

✓ 相関サーチ✓ 優先順位付け✓ 調査時間の短縮

蓄積した振る舞いから異常を検知

✓ 機械学習アルゴリズム✓ 複数のエンティティ分析

6/20（水） Splunk for DevOpsで淀みない開発プロセスを実現〜オートメーションのその先へ〜

6/27（水）メトリックとログで始める新時代のサーバー監視の始め方

オンラインセミナー開催予定

※ 日程、内容は予告なく変更する場合があります。※ オンラインセミナーや、その他の今後のイベントは、弊社サイトのイベントページをご参照ください。

https://www.splunk.com/ja_jp/about-us/events.html

セキュリティ調査のやり方簡単解説インシデント検知のノウハウを活用する Security EssentialsSplunk ソリューションによる AWS セキュリティの強化

Splunk で実現する IT サービス可視化IT トラブルシュートのやり方簡単解説マシンデータだからできる超シンプル、超強力なシステム運用

オンデマンドオンラインセミナー（近日公開）

https://www.splunk.com/ja_jp/about-us/events.html

.conf18 登録開始！

.conf18 | October 1 – 4, 2018Splunk University | September 29 – October 1

フロリダ州オーランド |ウォルトディズニーワールドスワン＆ドルフィンリゾート

3日間のイノベーション体験ITビジョナリーによる基調講演

Splunkのテクノロジーパートナー講演

先進的なお客様の事例講演＆最新デモ

スペシャル版トレーニング

ハンズオントレーニング

日本のお客様講演も！

300以上のテクニカルセッションビジネスアナリティクス

Development

IoT

IT 運用

セキュリティ・コンプライアンス

Foundations

世界の最新事例や技術動向を体感できる3日間！！

Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解企業名...

Documents

Transcript of Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解企業名...

Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解 企業名...

Documents

Transcript of Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解 企業名...

Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解企業名...

Transcript of Splunk Live! Tokyoインシデントレスポンスにおける各社の状況の理解企業名...