分析主導型 SOC の構築〜鍵となるポイントとは〜

矢崎誠二 | Senior Sales Engineer

2018/ 6/ 8 | Tokyo

#SplunkLive

© 2018 SPLUNK INC.

弊社のプレゼンテーションには、弊社の将来の事象または予想される業績に関する将来予測記述を含むことがあり

ます。当該記述は、現在弊社が知っている要因に基づく弊社の現在の予測および推定を反映するものであることと、

実際の事象または結果が著しく異なる可能性があることをご了承ください。実際の結果が弊社の将来予測記述に含

まれるものとは異なる場合、その重要な要因については、SEC を含む弊社の文書をお調べください。

このプレゼンテーションに含まれる将来予測記述は、プレゼンテーション実施日時において述べられたものです。プレ

ゼンテーション実施後に見直しが行われた場合、このプレゼンテーションに現在のまたは正確な情報が含まれないこ

とがあります。弊社は、弊社が述べることがある将来予測記述を更新する義務を負いません。また、弊社のロード

マップに関する情報で、弊社の一般的な製品方針の概要が示されていますが、この情報は予告なしにいつでも変更

されることがあります。これはあくまで参照用であって、契約またはその他の約定に組み込まれないものとします。

Splunkは、記述されている特徴または機能を開発する義務も、かかる特徴または機能を将来のリリースに含める義

務も負いません。

Splunk、Splunk>、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk LightおよびSPLは、Splunk Inc.の米国およびその他の国における商標または

登録商標です。他のすべてのブランド名、製品名、もしくは商標は、それぞれの所有者に帰属します。© 2018 Splunk Inc.無断複写・転載を禁じます。

免責事項

このスライドは、すべてのサードパーティープレゼンテーションの際に必須です。

© 2018 SPLUNK INC.

1.従来のセキュリティ運用

2.ベストプラクティスと最新動向

3.分析主導型 SOC の５つのポイント

4.成功事例

© 2018 SPLUNK INC.

出典：『EY Global Information Security Survey 2015』

© 2018 SPLUNK INC.

出典：『EY Global Information Security Survey 2015』

従来のセキュリティ運用

© 2018 SPLUNK INC.

SOC構築に向けたさまざまなガイド…

© 2018 SPLUNK INC.

CISOの役割とセキュリティプログラム：全体像

[13] https://www.sans.org/security-resources/posters/leadership/security-leadership-poster-135

[14] http://rafeeqrehman.com/2016/10/07/announcing-ciso-mindmap-2016/

© 2018 SPLUNK INC.

[13] https://www.sans.org/security-resources/posters/leadership/security-leadership-poster-135

[14] http://rafeeqrehman.com/2016/10/07/announcing-ciso-mindmap-2016/

CISOの役割とセキュリティプログラム：全体像

複雑…

© 2018 SPLUNK INC.

「SOC を大きなアラートパイプラインとみなす考え方は時代遅れです。それでは、社内での脅威インテリジェンスの生成や脅威の捕獲といった積極的な取り組みは不可能です」– [1] Anton Chuvakin

https://www.gartner.com/doc/3479617

従来の SOCのイメージ

アラートパイプライン？

© 2018 SPLUNK INC.

従来の SOC ４つの課題

有効性 人員の配置 サイロ コスト

セキュリティ運用の動向

© 2018 SPLUNK INC.

アラート管理

インシデント対応

ツールチェーンエンジニアリング

脅威インテリジェンス(利用と作成)

Threat Hunting

脆弱性管理

レッドチーム

SOC の基礎的要件と求められているもの

セキュリティ運用

アラート管理

IR/CSIRT

ツールチェーン

エンジニアリング

脅威インテリジェンス

Hunting

脆弱性管理

レッドチーム

© 2018 SPLUNK INC.

SOC に関わるメンバー

テクノロジー、製品、アップグレードを担当

SIEM 管理者、ツールエンジニア

セキュリティアナリスト

ハンター、インシデント対応担当者

セキュリティ運用/

SOC 担当マネージャー/ディレクター

CISO/VP/責任者情報セキュリティ

担当者

アラート、インシデント、トリアージの調査を担当

SOC のプロセスとイニシアティブに加え、多くの場合は予算を担当

脅威のプロアクティブ/リアクティブな捕獲を担当

詳しい調査、インシデント/侵害の範囲を特定して対策を実行

情報セキュリティやセキュリティの責任者または幹部

© 2018 SPLUNK INC.

第 1 階層

勤務時間外

ツールチェーンの運用

外部の専門家からの支援

✓リバースエンジニアリング

✓フォレンジック

✓高度な IR

✓レッドチーム

一般的となったマネージド セキュリティ サービス

© 2018 SPLUNK INC.

「第 1 階層の自動化」に取り組む

自動化の対象は？

✓コンテキストの収集/補強 -必須

✓設定の変更 –場合による

✓証拠の収集 -おそらく

ツールチェーンの統合を重視する

セキュリティエンジニアは、プログラマーへと急速に転換中

SOC の自動化

© 2018 SPLUNK INC.

脅威リスト + Raw ログフィード = ノイズ

脅威インテリジェンスで補強されたアラート = 洞察

成熟度の高い利用：

✓独自の脅威インテリジェンスを収集

✓脅威インテリジェンスを効果的に共有

脅威インテリジェンスの高度な利用

「脅威リストの奔流にご注意」– Splunk ユーザー

© 2018 SPLUNK INC.

✓ Threat Huntingとは、自動検出機能の領域の先にある取り組みです。捕獲をすることで得た学びが、その領域を広げてくれます。− SANS Forensics 578、Robert M. Lee

Threat Hunting- どのような場合に適しているのか？

Splunk による分析主導型 SOC５つのポイント

© 2018 SPLUNK INC.

多様なソースから脅威フィードを自動的に収集して集約し、重複排除

STIX/TAXII、OpenIOC、Facebook をサポート

自前のデータを作成して独自の脅威インテリジェンスを構築

すぐに使えるアクティビティおよびアーティファクト用ダッシュボード

1.脅威インテリジェンス

ネットワークと資産への影響を判断

分析/IR に使用

フォレンジックを収集/提供

捕獲/特定/イベントの関連付けに使用

パートナーと情報を共有

法執行機関フィード

ISAC

フィード

エージェンシーフィード

商用サービス

コミュニティフィード

オープンソースフィード

その他の補強サービス

収集、管理 分類 相関付け 検索

© 2018 SPLUNK INC.

ネイティブ機械学習と UBA

検出を容易にし、実際のアセットの状況に集中 異常と脅威の検出を促進 -攻撃と内部脅威を最小化 機械学習ツールキットを利用 -ワークフローに適応させるためのソリューション 高度な機械学習ソリューション - User Behavior Analytics

✓ SOC 担当マネージャー、SOC アナリスト、および SIEM のハンター/調査担当者が利用できる、柔軟性の高いワークフロー

2.高度な分析の利用

© 2018 SPLUNK INC.

ルールを使用して、検出と調査の定型作業を自動化

共通のインターフェイスを使用して、既存のセキュリティスタックからインサイトを取得

確信を持ってアクションを起こし、意思決定と対応を迅速化

監視、対応、分析のサイクルを継続しながら、すべてのプロセスを自動化

3.自動化

Splunk アダプティブレスポンス

ID とアクセス

内部ネットワークセキュリティ

エンドポイント

オーケストレーションWAF とアプリのセキュリティ

脅威インテリジェンス

ネットワーク

Web プロキシファイアウォール

© 2017 SPLUNK INC.

4.プロアクティブな検出と調査

組織の成熟度 領域と製品の経験 ツール：ネットワーク、エンドポイント、脅威インテリジェンス、アクセス セキュリティ関連データ、履歴、Raw データ 柔軟性とアドホック

コマンド & コントロールサーバーへのHTTP (Web) セッション

リモートで制御し、データを盗み出し、企業内に潜み、

ボットネットとして利用

Web

.pdf

PDF を実行するとマルウェアが展開され、「許可された」プログラムを上書きして実行する

Svchost.exeCalc.exe

攻撃者がWeb サイトをハッキングPDF ファイルを盗み出す Web

ポータル

攻撃者がマルウェアを作成してPDF に埋め込む、

標的にメールを送信 メール

メールを読んで添付ファイルを開く

脅威インテリジェンス

認証-ユーザーロール

ホストアクティビティ/セキュリティ

NWアクティビティ/セキュリティ

© 2018 SPLUNK INC.

Splunk の支援を活用して、脅威捕獲の成熟度を高める

強化 自動化

検索と可視化

仮説

自動化された分析

データサイエンスと機械学習

インテリジェンスの強化

データ検索

可視化

Threat Huntingの能力アーティファクトクエリ、コンテキストに即した「スイムレーン分析」、異常分析と時系列分析、機械学習による高度なデータサイエンスなど、すぐに使える統合的な自動化ツール

Threat Huntingにつながるデータを補強すべてのスタックまたは時間を対象に、コンテキストと脅威インテリジェンスを利用してデータを補強することで、より詳細なパターンや関係を識別

前後関係の検索および可視化して迅速なHuntingを実現データの検索と相関付けによる結果を視覚的に統合することで、前後関係を理解、分析の実行、インサイトの獲得を迅速化する

Threat Huntingにつながるあらゆるマシンデータ ソースを取り込んで提供効率的なインデックス化、ビッグデータをリアルタイムで処理するアーキテクチャ、および「読み込み型スキーマ」テクノロジーを利用して、あらゆるマシンデータをすばやく取り込む

データ

成熟度

© 2018 SPLUNK INC.

すべてのセキュリティ関連データの相関付け

既存のセキュリティアーキテクチャからのインサイト

機械学習のような高度な分析技術

5.適応型セキュリティアーキテクチャの導入防止、検出、対応、予測に必要なもの

1,000 以上のAppsとアドオン

Splunkセキュリティソリューション

© 2017 SPLUNK INC.

エコシステム全体からインサイトを獲得セキュリティインフラを効果的に利用して、全体像を把握

ID とアクセス

内部ネットワークセキュリティ

エンドポイント

オーケストレーション

WAF とアプリのセキュリティ

脅威インテリジェンス

ネットワーク

Web プロキシファイアウォール

+

© 2018 SPLUNK INC.

Splunk Enterprise Security多様なフレームワークで構成される

重要なイベント脅威

インテリジェンス

資産と ID の相関付け

アダプティブレスポンス

リスク分析

オペレーショナルインテリジェンスのためのプラットフォーム

成功事例

© 2017 SPLUNK INC.

金融

セブン銀行様

セキュリティルールの秘訣

分析主導型SOC構築について

© 2018 SPLUNK INC.

無償Splunk Cloudのお試し

無償ソフトウェアダウンロード

無償Enterprise Security

サンドボックス

すぐに始められます– splunk.com

1 2 3

© 2018 SPLUNK INC.

.conf18 登録開始！

.conf18 | October 1 – 4, 2018

Splunk University | September 29 – October 1フロリダ州オーランド |

ウォルトディズニーワールドスワン＆ドルフィンリゾート

3日間のイノベーション体験ITビジョナリーによる基調講演

Splunkのテクノロジーパートナー講演

先進的なお客様の事例講演＆最新デモ

スペシャル版トレーニング

ハンズオントレーニング

日本のお客様講演も！

300 以上のテクニカルセッションビジネスアナリティクス

Development

IoT

IT 運用

セキュリティ・コンプライアンス

Foundations

世界の最新事例や技術動向を体感できる3日間！！

© 2018 SPLUNK INC.© 2018 SPLUNK INC.

#SplunkLive

ご清聴ありがとうございました