無償のセキュリティ神Apps10選

© 2019 SPLUNK INC. © 2019 SPLUNK INC. [A-2] 無償のセキュリティ神Apps10選
今日から使える。セキュリティ監視の第一歩 Splunk Services Japan 合同会社 Senior Sales Engineer 横田聡, CISSP 2019.09.06 Ver1.0

© 2019 SPLUNK INC. During the course of this presentation,
we may make forward-looking statements regarding future events or the expected performance of the company. We caution you that such statements reflect our current expectations and estimates based on factors currently known to us and that actual events or results could differ materially. For important factors that may cause actual results to differ from those contained in our forward-looking statements, please review our filings with the SEC. The forward-looking statements made in this presentation are being made as of the time and date of its live presentation. If reviewed after its live presentation, this presentation may not contain current or accurate information. We do not assume any obligation to update any forward-looking statements we may make. In addition, any information about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. Splunk undertakes no obligation either to develop the features or functionality described or to include any such feature or functionality in a future release. Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in the United States and other countries. All other brand names, product names, or trademarks belong to their respective owners. © 2019 Splunk Inc. All rights reserved. Forward-Looking Statements

© 2019 SPLUNK INC. ► 対象：これからSplunkを使ってセキュリティ運用を始めようとしている方へ ► 内容：
無償でセキュリティ運用に使えるSplunkのApps 10選をご紹介本セッションについて

© 2019 SPLUNK INC. 豊富なSplunk Apps・他社製品との連携 Splunk Appsサイトで約1500種類のアプリケーションが利用可能モニタリング API
SDK UI サーバー・ストレージネットワークサーバー仮想化オペレーションシステムカスタムアプリケーションビジネスアプリケーションクラウドサービストラブルチケットヘルプデスクモバイルアプリケーション Web Intelligence Stream 固定スキーマなし – どんなデータでもそのまま投入

© 2019 SPLUNK INC. ► Splunk Apps は、Splunk に適用すれば多くの業務や役割ですぐに効果を得られるように
設計されています。Apps によって、ユーザーの操作は簡素化と最適化が行われると同時に、Splunk プラットフォームのデータや機能はフルにアクセスできます。 • ビルトインダッシュボード、レポート、アラート、ワークフロー • パワーユーザー向けの綿密なデータ分析 • ポイントアンドクリックの分析をビジネスユーザーへ ► Splunk Add onは、あらゆるソースからデータをインポートして拡充し、充実したデータセットを作成。Apps 内で直接分析したり利用したりできる状態となります。また、Add onを使うと、Splunk プラットフォームを特定のニーズに応じて拡張することもできます。 • 何百もの共通ソースによるオンボードデータ • フィールドを自動選択、特定、タグ付け • 別の情報ソースを用いてデータを拡充 AppsとAdd-Onの違い https://www.splunk.com/ja_jp/products/apps-and-add-ons.html ダッシュボードフィールド定義&取込モジュール

© 2019 SPLUNK INC. 身近な課題別にAppsをご紹介セキュリティ監視設計の各ステップに有効なAppsを紹介データ取り込みデータ保存可視化分析とレポート
アラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用対象データ毎のAdd-On活用「UF(転送Agent)をインストールできないからネットワーク上でモニターして収集したい」高速検索可能なサマリを作成「中長期に渡る傾向を分析するための集計サマリを作成したい」既存ダッシュボードの活用「ゼロからダッシュボード作るにもヒントがほしい！」分析ルール/レポートの作成「セキュリティの監視ルールはできる所から始めたい。」「トポロジーを使った関連マップを作りたい。」アラート連携「アラート管理したい」「モバイルから見たい」管理/メンテナンス「社内アセットリストをGUIで更新したい」

© 2019 SPLUNK INC. 無償のセキュリティ神Apps 10選監視設計の各ステップに有効なAppを紹介データ取り込みデータ保存可視化
分析とレポートアラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用対象データ毎のAdd-On活用高速検索可能なサマリを作成既存ダッシュボードの活用分析ルール/レポートの作成アラート連携管理/メンテナンス

© 2019 SPLUNK INC. ► How to use • Splunkのstream
appを使ってWireデータを可視化 ► 推奨利用シーン • webサーバには直接UFを導入できないがWebリクエストをリアルタイムに取得したい • dnsサーバに対するクエリログをリアルタイムに取得したい ► 関連App • Splunk Essentials for Wire Data ► 参考記事 • Splunk Streamを使って http通信のWire Dataを可視化 https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454 ①Splunk Stream 「UF(転送Agent)をインストールできないからネットワーク上でモニターしてデータを収集したい」

© 2019 SPLUNK INC. What is stream? Flow Data vs
Splunk Stream Flow-type Data 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical ▶ ホストとホスト間の接続を示すことができますが、これらの会話の内容は記録されていないイメージは、発着信履歴 ▶ Splunk Streamは、 Wireデータをフルレイヤーを対象にすべて解析し、詳細な情報を含むイベントを生成しますイメージは、通話内容記録ポイント：Splunk Streamは全レイヤー層から必要なフィールドに限定して抽出することが可能

© 2017 SPLUNK INC. 収集方法は？ I see data everywhere (推奨)Stream専用ForwarderServerへ導入
End Users SPAN or TAP Firewall Splunk Indexers Search head Linux - Universal Forwarder (Splunk_TA_Stream) Servers Internet

© 2019 SPLUNK INC. ► How to use • CIMに準拠した高速化データモデルを新たに作成
► 推奨利用シーン • 過去1年分のVPNやActive Directoryなどのあらゆる認証イベントの成功/失敗件数の傾向レポートを高速作成したい。 ► 関連App • - ► 参考記事 • SplunkのData Model Accelerationは何故早いのか https://speakerdeck.com/odorusatoshi/splunkfalsedata-model-accelerationhahe-gu-zao-ifalseka ② CIM(Common Information Model) 「中長期に渡る傾向を分析するための集計サマリを作成したい」

© 2019 SPLUNK INC. What is CIM? 各レイヤー、各社で異なる製品を使っていても標準化(CIM化)によって相関検索が可能 NW Server
Endpoint 国産ベンダProxy 国産ベンダProxy EDR(Sysmon) 本社（インターネット統合） … … … グループ統合アラート管理インシデント調査効率化 Threat Intelligence 連携グループA DB ファイルサーバ IT Security, Compliance & Fraud Monitor Detect Investigate Respond Enterprise ES 3rd Party SIEM Augment& Replace On-Premise, Cloud, Hybrid Machine Data グループB グループC src_ipが「10.1.0.2」を含むログをNW、サーバ、エンドポイント横断で検索。グループBのパソコンがウイルス感染し、 C&Cサーバと接続していることが判明

© 2019 SPLUNK INC. CIMに準拠した高速化データモデルの作成方法各データモデルごとに高速化オプションを有効化するとデータモデルサマリが作成されるサマリー範囲指定期間分のデータモデルサマリを作成する。期間を超えたサマリは自動的に削除される。高速化のステータス確認
• ステータスが100%になれば、サマリー範囲期間分のデータモルサマリが作成されている。 • データモデルサマリは46.12MBのディスクを消費している事がわかる。 [設定] – [データモデル]に移動しAuthenticationデータモデルを編集

© 2019 SPLUNK INC. ► How to use • 高速化データモデルを事前に作成しておき、InfoSec
Appを追加するだけで可視化が可能。 ► 推奨利用シーン • ユーザ名、ホスト名を元にした調査ダッシュボードを手早く用意したい • ネットワークトラフィックの傾向監視ダッシュボードを手早く用意したい ► 関連App • Force Directed Visualization • Punchcard visualization • Splunk Common Information Model (CIM) ► 参考URL • https://www.youtube.com/watch?v=v_po-rPjZfg ③ InfoSec App for Splunk 「ゼロからダッシュボード作るにもヒントがほしい！」

© 2019 SPLUNK INC. ► How to use • AWSのログ（cloudtrail）をAdd-onを使って収集し、Appを使った可視化
► 推奨利用シーン • AWSサービス内のコンポーネントの関連をトポロジーマップで可視化したい • 不正なアクセスキーの利用が無いか可視化したい ► 関連App • Splunk Add-on for Amazon Web Services ► 参考記事 • SplunkのAWS統合サービス「Splunk App for AWS」を試してみた by ハマコーさん https://dev.classmethod.jp/cloud/aws/splunk-app-for-aws/ ④ Splunk App for AWS 「 AWS環境のセキュリティ監視のためのダッシュボードがほしい！」

© 2019 SPLUNK INC. 推奨セキュリティ監視ポイントトポロジー機能 Insights機能確認のポイント野良インスタンスが存在していないか？（ポリシーのゆるいセキュリティグループに紐づく）
Problem: Security groups with rules that allow unrestricted access (0.0.0.0/0) to specific ports. Solution: Restrict access to only those IP addresses that require it. To restrict access to a specific IP address, set the suffix to /32 (for example, 192.0.2.10/32). Be sure to delete overly permissive rules after creating rules that are more restrictive. Details: Accessing to port 20 - 22 is unrestricted. 確認のポイント接続元IP制限が緩いセキュリティグループポリシーが存在しないか？

© 2019 SPLUNK INC. ► How to use • データソースを元に絞込んで有効なサーチ文を選択。試した後にスケジュールサーチに保存
► 推奨利用シーン • Active Directoryに対する不正アクセスの兆候を気づくための監視ルールを適用したい • エンドポイント上での通常と異なる不審なプロセスを検知したい ► 関連App • - ► 参考記事 • 無償のSplunk Security Essentialの使い方！ https://qiita.com/odorusatoshi/items/201af5bb1bbc40b832bc ⑤ Splunk Security Essential 「セキュリティの監視ルールはできる所から始めたい。」

© 2019 SPLUNK INC. ► How to use • 機械学習（MLTK）と関連Appsをインストールしdns/proxy
ログからdomain情報を分析 ► 推奨利用シーン • マルウェアが外部通信に利用する際に利用するDGA生成ドメインを検知したい ► 関連App • Splunk Machine Learning Toolkit 2.4 • URL Toolbox App • 3D Scatterplot • Parallel coordinates ► 参考記事 • DGA App for Splunk: Japanese （HowTo解説動画） https://youtu.be/8qwm79fGT20 ⑥ DGA App for Splunk 「セキュリティの監視ルールはできる所から始めたい。」 Advanced

© 2019 SPLUNK INC. ► How to use • src、destの関係を含むデータを用意して、サーチ結果のビジュアライゼーションを利用
► 推奨利用シーン • 不審なURLへの接続状況をトポロジーで可視化。更にトポロジーをクリックしてドリルダウン調査を行いたい ► 関連App • - ⑦ Network Topology - Custom Visualization 「トポロジーを使った関連マップを作りたい。」

© 2019 SPLUNK INC. ► How to use • Alert
Manager Add-onとAlert Managerをインストールして、スケジュールサーチ結果のアラートアクション先に指定 ► 推奨利用シーン • スケジュールサーチのアラート発生時の簡易チケッティング機能として利用 ► 関連App • Alert Manager Add-on ⑧ Alert Manager 「アラートを一元管理したい」

© 2019 SPLUNK INC. ► How to use • 本Appをインストールして、iOSモバイルにSplunk
Mobileをインストール。 ► 推奨利用シーン • 外出時のアラートチェックをパソコン開かずにmobileから確認したい ► 関連App • Splunk Mobile (iOS) https://itunes.apple.com/us/app/splunk-mobile/id1420299852?mt=8 ► 参考記事 • Splunk Mobile(Splunk Cloud Gateway)を使って旅先でPC開かずにアラートチェック https://qiita.com/odorusatoshi/items/779d3302cf73996a83e8 ⑨ Splunk Cloud Gateway 「モバイルからアラートを見たい」

© 2019 SPLUNK INC. ► How to use • csvファイル（UTF-8）をLookup
File Editorにアップロードして、GUIからも直接編集。 ► 推奨利用シーン • 社内のアセット情報のレコード修正をGUIから行いたい（IPアドレスレンジと利用グループの紐付け＊比較的更新頻度は少ない＊） ► 関連App • - ► 参考記事 • Lookup Editorの使い方 by じゅのぶろさん http://jnox.hatenablog.com/entry/splunk/using- lookup-editor ⑩ Lookup File Editor 「社内アセットリストをGUIで更新したい」

© 2019 SPLUNK INC. 本日紹介したApps 最初の一歩に有効な無償Appsは抑えられましたか？データ取り込みデータ保存可視化分析とレポート
アラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用 ①対象データ毎のAdd-Onの活用 ②データの正規化（スキーマ定義） ③既存ダッシュボードの活用 ④分析ルール/レポートの作成 ⑤アラート連携 ⑥管理/メンテナンス

© 2019 SPLUNK INC. Next Security Session [A-3] 16:30〜導入効果（検知力、調査効率）
投資（ライセンス、リソース）事後調査アラート＆傾向分析継続的な脅威検知ルールの適用機械学習による振る舞い検知インシデント統合管理＆チケッティング自動化/ オーケストレーション Enterprise Security User Behavior Analytics Phantom Premium Solution（有償） ES Content Update 投資（ライセンス、リソース）

© 2019 SPLUNK INC. 4 Days of Innovation 350 Education
Sessions 20 Hours of Networking “Hands down the most beneficial and attendee focused conference I have attended!” – Michael Mills, Senior Consultant, Booz Allen Hamilton 本日、登録をお願いします！ conf.splunk.com .conf19 October 21-24, 2019 Splunk University October19-21, 2019 Las Vegas, NV The Venetian Sands Expo October 21-24

© 2019 SPLUNK INC. ► 日付：11/7(木) 10:00-17:30 ► 参加人数： 1チームあたり3-5名、全体100名程度
► 参加に必要なスキル • セキュリティ運用における実務経験（SOC Tier3クラス） • Splunk Enterpriseの操作（簡単なサーチコマンド） ► 参加費：無料 MEGA BOTS Tokyo (CTF)を開催します！日本一のセキュリティSplunk使いを決めます詳細は近日公開予定 Global No1を決めるぜ！

無償のセキュリティ神Apps10選

無償のセキュリティ神Apps10選

More Decks by odorusatoshi

Other Decks in Technology

Featured

Transcript