分析主導型 SOC の構築 · ツールチェーンエンジニアリング...
Transcript of 分析主導型 SOC の構築 · ツールチェーンエンジニアリング...
分析主導型 SOC の構築〜鍵となるポイントとは〜
矢崎誠二 | Senior Sales Engineer
2018/ 6/ 8 | Tokyo
#SplunkLive
© 2018 SPLUNK INC.
弊社のプレゼンテーションには、弊社の将来の事象または予想される業績に関する将来予測記述を含むことがあり
ます。当該記述は、現在弊社が知っている要因に基づく弊社の現在の予測および推定を反映するものであることと、
実際の事象または結果が著しく異なる可能性があることをご了承ください。実際の結果が弊社の将来予測記述に含
まれるものとは異なる場合、その重要な要因については、SEC を含む弊社の文書をお調べください。
このプレゼンテーションに含まれる将来予測記述は、プレゼンテーション実施日時において述べられたものです。プレ
ゼンテーション実施後に見直しが行われた場合、このプレゼンテーションに現在のまたは正確な情報が含まれないこ
とがあります。弊社は、弊社が述べることがある将来予測記述を更新する義務を負いません。また、弊社のロード
マップに関する情報で、弊社の一般的な製品方針の概要が示されていますが、この情報は予告なしにいつでも変更
されることがあります。これはあくまで参照用であって、契約またはその他の約定に組み込まれないものとします。
Splunkは、記述されている特徴または機能を開発する義務も、かかる特徴または機能を将来のリリースに含める義
務も負いません。
Splunk、Splunk>、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk LightおよびSPLは、Splunk Inc.の米国およびその他の国における商標または
登録商標です。他のすべてのブランド名、製品名、もしくは商標は、それぞれの所有者に帰属します。© 2018 Splunk Inc.無断複写・転載を禁じます。
免責事項
このスライドは、すべてのサードパーティープレゼンテーションの際に必須です。
© 2018 SPLUNK INC.
1.従来のセキュリティ運用
2.ベストプラクティスと最新動向
3.分析主導型 SOC の5つのポイント
4.成功事例
© 2018 SPLUNK INC.
出典:『EY Global Information Security Survey 2015』
© 2018 SPLUNK INC.
出典:『EY Global Information Security Survey 2015』
従来のセキュリティ運用
© 2018 SPLUNK INC.
SOC構築に向けたさまざまなガイド…
© 2018 SPLUNK INC.
CISOの役割とセキュリティプログラム:全体像
[13] https://www.sans.org/security-resources/posters/leadership/security-leadership-poster-135
[14] http://rafeeqrehman.com/2016/10/07/announcing-ciso-mindmap-2016/
© 2018 SPLUNK INC.
[13] https://www.sans.org/security-resources/posters/leadership/security-leadership-poster-135
[14] http://rafeeqrehman.com/2016/10/07/announcing-ciso-mindmap-2016/
CISOの役割とセキュリティプログラム:全体像
複雑…
© 2018 SPLUNK INC.
「SOC を大きなアラートパイプラインとみなす考え方は時代遅れです。それでは、社内での脅威インテリジェンスの生成や脅威の捕獲といった積極的な取り組みは不可能です」– [1] Anton Chuvakin
https://www.gartner.com/doc/3479617
従来の SOCのイメージ
アラートパイプライン?
© 2018 SPLUNK INC.
従来の SOC 4つの課題
有効性 人員の配置 サイロ コスト
セキュリティ運用の動向
© 2018 SPLUNK INC.
アラート管理
インシデント対応
ツールチェーンエンジニアリング
脅威インテリジェンス(利用と作成)
Threat Hunting
脆弱性管理
レッドチーム
SOC の基礎的要件と求められているもの
セキュリティ運用
アラート管理
IR/CSIRT
ツールチェーン
エンジニアリング
脅威インテリジェンス
Hunting
脆弱性管理
レッドチーム
© 2018 SPLUNK INC.
SOC に関わるメンバー
テクノロジー、製品、アップグレードを担当
SIEM 管理者、ツールエンジニア
セキュリティアナリスト
ハンター、インシデント対応担当者
セキュリティ運用/
SOC 担当マネージャー/ディレクター
CISO/VP/責任者情報セキュリティ
担当者
アラート、インシデント、トリアージの調査を担当
SOC のプロセスとイニシアティブに加え、多くの場合は予算を担当
脅威のプロアクティブ/リアクティブな捕獲を担当
詳しい調査、インシデント/侵害の範囲を特定して対策を実行
情報セキュリティやセキュリティの責任者または幹部
© 2018 SPLUNK INC.
第 1 階層
勤務時間外
ツールチェーンの運用
外部の専門家からの支援
✓リバースエンジニアリング
✓フォレンジック
✓高度な IR
✓レッドチーム
一般的となったマネージド セキュリティ サービス
© 2018 SPLUNK INC.
「第 1 階層の自動化」に取り組む
自動化の対象は?
✓コンテキストの収集/補強 -必須
✓設定の変更 –場合による
✓証拠の収集 -おそらく
ツールチェーンの統合を重視する
セキュリティエンジニアは、プログラマーへと急速に転換中
SOC の自動化
© 2018 SPLUNK INC.
脅威リスト + Raw ログフィード = ノイズ
脅威インテリジェンスで補強されたアラート = 洞察
成熟度の高い利用:
✓独自の脅威インテリジェンスを収集
✓脅威インテリジェンスを効果的に共有
脅威インテリジェンスの高度な利用
「脅威リストの奔流にご注意」– Splunk ユーザー
© 2018 SPLUNK INC.
✓ Threat Huntingとは、自動検出機能の領域の先にある取り組みです。捕獲をすることで得た学びが、その領域を広げてくれます。− SANS Forensics 578、Robert M. Lee
Threat Hunting- どのような場合に適しているのか?
Splunk による分析主導型 SOC5つのポイント
© 2018 SPLUNK INC.
多様なソースから脅威フィードを自動的に収集して集約し、重複排除
STIX/TAXII、OpenIOC、Facebook をサポート
自前のデータを作成して独自の脅威インテリジェンスを構築
すぐに使えるアクティビティおよびアーティファクト用ダッシュボード
1.脅威インテリジェンス
ネットワークと資産への影響を判断
分析/IR に使用
フォレンジックを収集/提供
捕獲/特定/イベントの関連付けに使用
パートナーと情報を共有
法執行機関フィード
ISAC
フィード
エージェンシーフィード
商用サービス
コミュニティフィード
オープンソースフィード
その他の補強サービス
収集、管理 分類 相関付け 検索
© 2018 SPLUNK INC.
ネイティブ機械学習と UBA
検出を容易にし、実際のアセットの状況に集中 異常と脅威の検出を促進 -攻撃と内部脅威を最小化 機械学習ツールキットを利用 -ワークフローに適応させるためのソリューション 高度な機械学習ソリューション - User Behavior Analytics
✓ SOC 担当マネージャー、SOC アナリスト、および SIEM のハンター/調査担当者が利用できる、柔軟性の高いワークフロー
2.高度な分析の利用
© 2018 SPLUNK INC.
ルールを使用して、検出と調査の定型作業を自動化
共通のインターフェイスを使用して、既存のセキュリティスタックからインサイトを取得
確信を持ってアクションを起こし、意思決定と対応を迅速化
監視、対応、分析のサイクルを継続しながら、すべてのプロセスを自動化
3.自動化
Splunk アダプティブレスポンス
ID とアクセス
内部ネットワークセキュリティ
エンドポイント
オーケストレーションWAF とアプリのセキュリティ
脅威インテリジェンス
ネットワーク
Web プロキシファイアウォール
© 2017 SPLUNK INC.
4.プロアクティブな検出と調査
組織の成熟度 領域と製品の経験 ツール:ネットワーク、エンドポイント、脅威インテリジェンス、アクセス セキュリティ関連データ、履歴、Raw データ 柔軟性とアドホック
コマンド & コントロールサーバーへのHTTP (Web) セッション
リモートで制御し、データを盗み出し、企業内に潜み、
ボットネットとして利用
Web
PDF を実行するとマルウェアが展開され、「許可された」プログラムを上書きして実行する
Svchost.exeCalc.exe
攻撃者がWeb サイトをハッキングPDF ファイルを盗み出す Web
ポータル
攻撃者がマルウェアを作成してPDF に埋め込む、
標的にメールを送信 メール
メールを読んで添付ファイルを開く
脅威インテリジェンス
認証-ユーザーロール
ホストアクティビティ/セキュリティ
NWアクティビティ/セキュリティ
© 2018 SPLUNK INC.
Splunk の支援を活用して、脅威捕獲の成熟度を高める
強化 自動化
検索と可視化
仮説
自動化された分析
データサイエンスと機械学習
インテリジェンスの強化
データ検索
可視化
Threat Huntingの能力アーティファクトクエリ、コンテキストに即した「スイムレーン分析」、異常分析と時系列分析、機械学習による高度なデータサイエンスなど、すぐに使える統合的な自動化ツール
Threat Huntingにつながるデータを補強すべてのスタックまたは時間を対象に、コンテキストと脅威インテリジェンスを利用してデータを補強することで、より詳細なパターンや関係を識別
前後関係の検索および可視化して迅速なHuntingを実現データの検索と相関付けによる結果を視覚的に統合することで、前後関係を理解、分析の実行、インサイトの獲得を迅速化する
Threat Huntingにつながるあらゆるマシンデータ ソースを取り込んで提供効率的なインデックス化、ビッグデータをリアルタイムで処理するアーキテクチャ、および「読み込み型スキーマ」テクノロジーを利用して、あらゆるマシンデータをすばやく取り込む
データ
成熟度
© 2018 SPLUNK INC.
すべてのセキュリティ関連データの相関付け
既存のセキュリティアーキテクチャからのインサイト
機械学習のような高度な分析技術
5.適応型セキュリティアーキテクチャの導入防止、検出、対応、予測に必要なもの
1,000 以上のAppsとアドオン
Splunkセキュリティソリューション
© 2017 SPLUNK INC.
エコシステム全体からインサイトを獲得セキュリティインフラを効果的に利用して、全体像を把握
ID とアクセス
内部ネットワークセキュリティ
エンドポイント
オーケストレーション
WAF とアプリのセキュリティ
脅威インテリジェンス
ネットワーク
Web プロキシファイアウォール
+
© 2018 SPLUNK INC.
Splunk Enterprise Security多様なフレームワークで構成される
重要なイベント脅威
インテリジェンス
資産と ID の相関付け
アダプティブレスポンス
リスク分析
オペレーショナルインテリジェンスのためのプラットフォーム
成功事例
© 2017 SPLUNK INC.
金融
セブン銀行様
セキュリティルールの秘訣
分析主導型SOC構築について
© 2018 SPLUNK INC.
無償Splunk Cloudのお試し
無償ソフトウェアダウンロード
無償Enterprise Security
サンドボックス
すぐに始められます– splunk.com
1 2 3
© 2018 SPLUNK INC.
.conf18 登録開始!
.conf18 | October 1 – 4, 2018
Splunk University | September 29 – October 1フロリダ州オーランド |
ウォルトディズニーワールドスワン&ドルフィンリゾート
3日間のイノベーション体験ITビジョナリーによる基調講演
Splunkのテクノロジーパートナー講演
先進的なお客様の事例講演&最新デモ
スペシャル版トレーニング
ハンズオントレーニング
日本のお客様講演も!
300 以上のテクニカルセッションビジネスアナリティクス
Development
IoT
IT 運用
セキュリティ・コンプライアンス
Foundations
世界の最新事例や技術動向を体感できる3日間!!
© 2018 SPLUNK INC.© 2018 SPLUNK INC.
#SplunkLive
ご清聴ありがとうございました