Splunk® Enterprise Security 4.1.0 ユーザーマニュアル 作成日時:2016/03/31 10:42 am Copyright (c) 2016 Splunk Inc. All Rights Reserved Table of Contents はじめに Splunk Enterprise Security について 4 4 インシデントレビュー インシデントレビュー 重要なイベント セキュリティ体制のダッシュボード 4 4 8 14 相関サーチとアラート 新しい相関サーチの作成 相関サーチの設定 15 15 15 調査 19 19 24 25 調査タイムライン 自分の調査 調査バー アセットと ID アセットと ID のダッシュボード アセットと ID の調査のダッシュボード ユーザーアクティビティの監視 アセットと ID の相関 アセットと ID の管理 26 26 28 31 33 36 アクセスとエンドポイントのドメイン アクセスのダッシュボード エンドポイントのダッシュボード 43 43 47 リスク分析 リスク分析 リスクスコアの集計の設定 52 52 54 脅威インテリジェンス 脅威インテリジェンスのダッシュボード 脅威インテリジェンスソースの設定 高度な脅威のダッシュボード 56 56 58 64 ネットワークドメイン ネットワークダッシュボード Web センターとネットワーク変更のダッシュボード ポート /プロトコルトラッカーのダッシュボード プロトコルインテリジェンスのダッシュボード 69 69 74 75 76 ダッシュボード ダッシュボードの概要 高度なフィルタ 80 80 84 キーインジケータ 監査のダッシュボード 予測分析のダッシュボード 同梱されているアドオン Splunk ESで Splunk UBAが検出する脅威と異常を分析 85 87 93 94 94 設定とトラブルシューティング 設定 コンテンツ管理 リストとルックアップの設定 ダッシュボードのトラブルシューティング ダッシュボードの要件一覧表 95 95 98 99 105 106 詳細ガイド エクストリームサーチ エクストリームサーチの例 カスタムダッシュボードの追加 115 115 119 122 はじめに Splunk Enterprise Security について Enterprise Security では、現在の企業インフラにみられる、セキュリティ関連の脅威が可視化されます。基盤と なるのは Splunk Operational Intelligence プラットフォームで、ネイティブのサーチ機能と相関機能が活用され ます。セキュリティデバイス、システム、アプリケーションのデータの取得、モニタリング、レポートの作成が可 能です。問題が特定されると、セキュリティ管理者はアクセス保護、エンドポイント保護、ネットワーク保護を目 的に、迅速な調査とセキュリティ脅威の解決を行うことができます。 Splunk Enterprise Security へのアクセス 1. Web ブラウザを起動して、SSL を使用する Splunk Web に移動します。https://splunk_server:8000 2. ユーザー名とパスワードを入力します。 3. Splunk のホームの次に Enterprise Security のアイコンをクリックし、Splunk Enterprise Security の [ホーム] ページを開きます。 インシデントレビュー インシデントレビュー インシデントレビューのダッシュボードには、重要なイベントとそれらの最新のステータスが表示されます。アナ リストはダッシュボードを使ってシステムやネットワークで発生しているイベントの重大度を把握できます。ま た、新しい重要なイベントのトリアージ、アナリストへの分析作業の割り当て、手がかかりを見つけるための重要 なイベントの詳細の調査が可能です。 ES が重要なイベントを特定する方法 Splunk Enterprise Security はデータのパターンを検出し、相関サーチを用いてセキュリティ関連のインシデン トを自動で特定します。相関サーチにより不審なパターンが検出されると、重要なイベントと呼ばれる警告が生成 されます。 インシデントレビューのダッシュボードには潜在する重大度ごとにすべての重要なイベント表示されるため、重大 度による問題の選別、割り当て、追跡をすばやく実行できます。重要なイベントに関する詳細は、「重要なイベン ト」を参照してください。 インシデントレビューのワークフロー このワークフローの例を使って、インシデントレビューのダッシュボードで重要なイベントのトリアージと処理を 行うことができます。 1. 管理アナリストはインシデントレビューダッシュボードを監視し、新しく発生している重要なイベントの 4 ソートと重大度による高度な選別を行います。 2. 重要なイベントで調査が必要な場合は、イベントを調査アナリストに割り当て、インシデントの調査を開始 します。 3. 調査アナリストはイベントのステータスを新規から進行中に更新し、重要なイベントの原因の調査を開始し ます。 4. ここでは、重要なイベントのフィールドとフィールドアクションを使って、イベントの情報の調査と収集が 行われます。調査の詳細は、重要なイベントのコメントフィールドに記録されます。 5. 調査が終了すると、アナリストは重要なイベントの原因に対処します。問題の解決に必要なタスクが上伸、 または特定されたら、重要なイベントのステータスが解決済みに変更されます。 6. アナリストは検証に向けて重要なイベントを最終アナリストに割り当てます。 7. 最終アナリストは問題解決のために行われた変更を確認、検証し、ステータスを終了に設定します。 インシデントレビューダッシュボードでの重要なイベントのトリアージ インシデントのトリアージ作業ではこのダッシュボードを使用します。ここでは重要なイベントのほか、重要なイ ベントを発生させた問題を解決するためにアナリストが取る措置を監視できます。 注意: 重要なイベントの処理やイベントの詳細を確認する前に、サーチを完了させる必要があります。 タグとフィルタを使ってトリアージを加速化する サーチフィルタ、タグ付け、ソートによって重要なイベントのトリアージを加速化できます。たとえば、サーチ フィルタや時間範囲セレクタを使って個々の、またはグループの重要なイベントに焦点を置くことができます。重 要なイベントには緊急度、 ステータス、所有者のフィールドがあるため、イベントの分類、追跡、割り当てを容 易に実行できます。 また、タグを使ってサーチを簡略化し、重要なイベントに識別子を追加できます。タイトル、ステータス、所有 者などの重要なイベントのフィールドのフィールドアクションメニューで [タグの編集] をクリックすると、新し いタグを追加したり、既存のタグを変更したりできます。作成したタグはダッシュボードのフィルタリングに使用 できます。 重要なイベントの割り当て 一度に 1 つまたは複数の割り当てを行うことができます。 1. 2. 3. 4. 重要なイベントを選択します。 [選択を編集] をクリックします。 [所有者] を選択してイベントを割り当てます。 変更内容を保存します。 デフォルトではオーナーが割り当てられていません。重要なイベントは管理者、ess_admin または ess_analyst ロールを持つすべてのユーザーに割り当てることができます。ユーザーロールについての詳細は、 『インストールとアップグレード 』マニュアルの「ユーザーとロールの設定」を参照してください。 重要なイベントのステータスの更新 新しい重要なイベントのステータスは新規と表示されます。アナリストが重要イベントのトリアージを行い、イン シデントのレビューを進める中、所有者は重要なイベントのステータスを更新し、イベントに対処するための措置 を反映させることができます。 1. 1 つ以上のイベントを選択し、[すべての選択を編集] をクリックします。表示されているすべてのイベント に対処するには、[一致した ## 件のイベントをすべて編集] をクリックします。 2. イベントの編集ウィンドウで、措置を反映させるフィールドを更新します。 3. (オプション) 措置について説明するコメントを追加します。 4. 変更内容を保存します。 注意: 変更がすぐに反映されない場合は、ダッシュボードのフィルタを確認してください。たとえば、イベントが 「進行中」に変更された後にフィルターが「新規」に設定されていると、更新されたイベントは表示されません。 重要なイベントが更新された際にコメントを入力するようアナリストに要請するとよいでしょう。詳細は、「イン シデントレビューのカスタマイズ」を参照してください。 重要なイベントのステータスは以下から選択できます。 5 ステータス 説明 割り当てなし このイベントは所有者に割り当てられていません。 新規 デフォルトのステータス。このイベントはまだ調査されていません。 進行中 所有者がイベントを調査しています。 未解決 このイベントを解決するには何らかの措置が必要です。 解決 所有者はイベントの原因に対処し、確認を待っています。 終了 イベントの解決が確認されました。 重要なイベントのステータス名とワークフローの進め方をカスタマイズして各自のプロセスに合わせることができ ます。詳細は、「重要なイベントのステータス」を参照してください。 緊急度による重要なイベントの優先 緊急度を使って、重要なイベントのインシデントレビューの優先順位を決定することができます。すべての重要な イベントには緊急度が割り当てられます。緊急度は不明、低、中、情報的、高、重大のいずれかになります。 これらは相関サーチの重大度のほか、イベントに関係するアセットや ID の優先順位に基づいて計算されます。 「イベントの緊急度を割り当てる方法」を参照してください。 デフォルトでは、セキュリティアナリストが重要なイベントの緊急度を変更できます。デフォルトを変更する方法 については「インシデントレビューのカスタマイズ」を参照してください。 トリアージされていない重要なイベントをアナリストに通知する トリアージされていない重要なイベントは、相関サーチを使ってアナリストに通知できます。 1. 2. 3. 4. 5. 6. [設定] > [コンテンツ管理] を選択します。 フィルタを使って、トリアージされていない重要なイベントの相関サーチを見つけます。 サーチを編集して重要なイベントの所有者やステータスを適宜変更します。 希望するアラートアクションを設定します。 変更内容を保存します。 トリアージされていない重要なイベントの相関サーチを有効にします。 重要なイベントの詳細の確認 重要なイベントのトリアージが完了したら、調査を開始します。重要なイベントで利用できるフィールドを使い、 緊急度、要因となるイベント、関連するリスクにスコアを評価します。 イベントの詳細を開いて詳細情報を確認します。 履歴を開き、重要なイベントでの最近の調査について確認します。[この重要なイベントに関する最近の動作 を表示] をクリックして、アナリストのコメントやステータスの変更など、イベントに対するアクションを 確認します。 重要なイベントを生成した相関サーチを表示します。相関サーチの名前をクリックすると相関サーチの変更 や確認ができるため、重要なイベントが生成された理由を把握することが可能です。 重要なイベントが生成される原因となった要因となるイベントを確認します。 重要なイベントと関係のあるアセットと ID を対象に一覧化されたリスクスコアを確認します。リスクスコ アをクリックすると、該当するアセットや ID でフィルタリングされたリスク分析のダッシュボードが開き ます。 1 つのイベントが重要なイベントを引き起こした場合は、完全な詳細が表示されます。 6 重要なイベントで対策を取る インシデントレビューでは、重要なイベントの抑制や共有、調査への 1 つ以上のイベントの追加、アセットや ID が環境内にもたらすリスクの分析、別のダッシュボードのフィールドの詳細な調査を実行できます。 重要なイベントの共有とブックマーク 重要なイベントへのリンクを他のアナリストと共有したり、今後のためにブックマークしたりできます。この場合 は、イベントアクションから [重要なイベントの共有] をクリックします。 アセットや ID のリスク分析 インシデントレビューのダッシュボードでは、アセットや ID が環境にもたらすリスクを分析できます。 1. イベントの詳細を開きます。 2. アセットまたは ID フィールドの隣にある src、host などのリスクスコアを確認します。 3. リスクスコアをクリックし、アセットまたは ID でフィルタリングされるリスク分析のダッシュボードを開 きます。 すべてのアセットと ID でリスクスコアが表示されるわけではありません。インシデントレビューのアセットや ID を対象に表示されるリスクスコアは、リスク分析ダッシュボードのリスクオブジェクトを対象に表示されるリスク スコアと一致しないことがあります。詳細は、「インシデントレビューでのリスクスコアの表示」を参照してくだ さい。 調査に重要なイベントを追加する イベントアクションから [調査にイベントを追加] を選択して単一のイベントを追加します。 さらに調査する場合は、調査タイムラインに複数のイベントを追加します。 1. 2. 3. 4. 重要なイベントをいくつか選択し、[調査に追加] をクリックします。 ダイアログボックスが表示されます。[新規調査の作成] を選択します。 新しい調査にタイトル (必須) と説明 (任意) を入力します。 [保存] をクリックして、選択したイベントを調査に追加します。[キャンセル] をクリックすると、選択され た重要なイベントを追加せずに新しい調査が作成されます。 詳細は、「調査タイムライン」を参照してください。 フィールドの詳細な調査 host、src、src_ip、dest、dest_ip を取ることができます。 などの特定のフィールドを調べます。選択するフィールドによって、異なる対策 [タグの編集] を選択してフィールドでタグ付けを行います。 [アセット調査] を選択してアセットでフィルタリングしたアセット調査のダッシュボードを開き、アセット を調査します。 [アクセスサーチ (宛先)] を選択して、特定の IP アドレスを対象にアクセスに関連するイベントをサーチし ます。 ドメインを調査する場合は [ドメインの記録] を選択します。 [重要なイベントのサーチ] を選択すると、マルウェアのシグネチャに一致するその他の重要なイベントを発 見できます。 重要なイベントの抑制 インシデントレビューダッシュボードでの重要なイベントを抑制することで、非表示にします。抑制はセキュリ ティ体制や監査のダッシュボードで表示される重要なイベントの数には影響しません。 インシデントレビューのダッシュボードで重要なイベントを選択します。 [アクション] メニューから、[重要なイベントの抑制] を選択します。 [抑制名] を入力します。 (オプション) 説明フィールドに抑制の理由を記入できます。 (オプション) 日付の範囲を設定できます。制限時間が経過すると、抑制フィルタは失効し、イベントの非表 示が終了します。 6. 選択したフィールドで重要なイベントを抑制するフィールドを確認します。 7. (オプション) [変更] をクリックし、重要なイベントのフィールドを修正します。 8. 変更内容を保存します。 1. 2. 3. 4. 5. 詳細は「重要なイベントの抑制の作成と操作」を参照してください。 インシデントレビュー活動の監査 インシデントレビュー監査のダッシュボードでインシデントレビュー活動を監査し、確認できます。 7 インシデントレビューのカスタマイズ インシデントレビューのダッシュボードの表示をカスタマイズし、アナリストの権限を変更できます。 アナリストの権限の変更 ワークフローに合わせてアナリストのデフォルトの権限を変更できます。 [インシデントレビューの設定] ページでアナリストが重要なイベント緊急度の計算値を上書きできるかどうか、ま た重要なイベントの更新時にコメントの入力を要求するかどうかを設定します。 1. [設定] > [インシデント管理] > [インシデントレビューの設定] へと進み、インシデントレビューの設定を 表示します。 2. アナリストによる重要なイベント緊急度の計算値の上書きを許可するかどうかを、[緊急度の上書きを許可] のチェックボックスで設定します。デフォルトでは、アナリストが緊急度を上書きできるようになっていま す。 3. 重要なイベントの更新時にアナリストがコメントを記入するように要求する場合は、コメントの下にある [必須] のチェックボックスにチェックを入れます。 4. アナリストにコメントの入力を要求する場合は、コメントの最低文字数を入力します。デフォルトは 20 文 字です。 セキュリティアナリストの権限は [全般設定] ページで設定できます。 1. [設定] > [全般] > [全般設定] へと進み、全般設定を表示します。 2. アナリストに割り当てるインシデントの数をインシデントレビューでのアナリストのキャパシティで指定し ます。デフォルトは 12 個です。 注意: この値は追跡を目的に使用されます。この値を超える重要なイベントをアナリストに割り当てないようにす るものではありません。 アナリストのキャパシティを超える重要なイベント - キーインジケータ インシデントレビュー列の変更 インシデントレビューのダッシュボードに表示される列を変更できます。 1. インシデントレビュー - 表の属性で既存の列を確認します。 2. 使用できる列は、アクション列を使って編集、削除、順序の変更ができます。 3. [下に挿入] を選択するか、[その他] の次に [上に挿入] を選択すると、カスタムの列を追加できます。 重要なイベントのフィールドの変更 重要なイベントで表示されるフィールドを変更できます。アクション列を使って、不要なフィールドの削除や名前 とフィールドの編集ができます。 インシデントレビューでのリスクスコアの表示 インシデントレビューでは、一部のアセットや ID のリスクスコアが表示されません。リスクスコアを持ち、リス クオブジェクトのタイプが「system」または「user」のアセットや ID だけが表示されます。リスクスコアは、 以下のフィールドについてのみ表示されます。orig_host、dvc、src、dest、src_user、user。 アセットや ID のリスクスコアはリスク分析ダッシュボードに表示されるスコアと一致しないことがあります。リ スクスコアはアセットや ID の累積スコアであり、特定のユーザー名のリスクスコアではありません。 たとえば、ユーザー名「buttercap」のリスクスコアが 40、メールアドレス「[email protected]」 のリスクスコアが 60 で、「buttercap」と「[email protected]」が同じ人に属していることが ID ルックアップで特定される場合、インシデントレビューでは「buttercap」と「[email protected]」 の両方のアカウントでリスクスコアが 100 と表示されます。 また、IP アドレス「10.11.36.1」のリスクスコアが 80、IP アドレス「10.11.36.19」のリスクスコアが 30 で、IP の範囲「10.11.36.1 - 10.11.36.19」が同じアセットに属していることがアセットルックアップ で特定される場合、インシデントレビューでは「10.11.36.1」と「10.11.36.19」の両方の IP アドレスの リスクスコアが 110 と表示されます。 インシデントレビューでは、脅威 - リスク相関 - ルックアップ生成のサーチを使用してリスクスコアが計算され ます。このサーチは 30 分ごとに実行され、risk_correlation_lookup のルックアップファイルが更新されます。イ ンシデントレビューのリスクスコアをより頻繁に更新するには、保存されているサーチの cron_schedule を変更し ます。 重要なイベント Splunk Enterprise Security はデータのパターンを検出し、相関サーチを用いてセキュリティ関連のインシデン 8 トを自動で特定します。相関サーチにより不審なパターンが検出されると、重要なイベントと呼ばれる警告が生成 されます。 重要なイベントとは、データソースの相関サーチで検出された 1 つ以上の異常なインシデントを指します。たと えば、重要なイベントには下記などがあります。 一定の期間内でネットワーク使用量の異常な増加が繰り返し発生したとき システムへの不正なアクセスが 1 回でも発生したとき 既知の脅威リストにあるサーバーとホストが通信したとき 重要なイベントのトリアージと管理 インシデントレビューのダッシュボードにはすべての重要なイベントが潜在する重大度ごとに表示されるため、イ ンシデント応答ワークフローの一部として、問題のトリアージ、割り当て、追跡をすばやく実行できます。詳細 は、このマニュアルの「インシデントレビュー」を参照してください。 重要なイベントを手動で作成する インデックス済みイベントから、または最初から、重要なイベントを手動で作成できます。 注意: デフォルトでは、管理者だけが重要なイベントを手動で作成できます。他のユーザーにこの権限を付与する 場合は、『インストールとアップグレード 』マニュアルの「ユーザーとロールの設定」を参照してください。 既存イベントからの重要なイベントの生成 イベントアクションメニューで、インデックス済みイベントから重要なイベントを作成できます。インシデントレ ビューのダッシュボードの重要なイベントからは、重要なイベントを作成しないでください。 1. 2. 3. 4. 5. 6. 7. 8. 9. イベントの詳細を確認してから [イベントアクション] をクリックします。 [重要なイベントの作成] を選択します。 イベントのタイトルを入力します。 (オプション) セキュリティドメインを選択します。 (オプション) 緊急度を選択します。 (オプション) 所有者を選択します。 (オプション) ステータスを選択します。 イベントを作成した理由や調査が必要な内容についての説明を入力します。 新しい重要なイベントを保存します。インシデントレビューのダッシュボードに新しく作成した重要なイベ ントが表示されます。 注意:この方法で作成した重要なイベントには所有者やステータスなどの追跡フィールドが含まれるものの、相関 サーチのアラートアクションによって重要なイベントが作成された場合は、一意のフィールドやリンクが含まれま せん。 重要なイベントの最初からの作成 観察や Splunk 以外のセキュリティシステムによる発見などを元に重要なイベントを作成できます。 1. 2. 3. 4. 5. 6. 7. 8. [設定] > [インシデント管理] > [新しい重要なイベント] を選択します。 イベントのタイトルを入力します。 (オプション) セキュリティドメインを選択します。 (オプション) 緊急度を選択します。 (オプション) 所有者を選択します。 (オプション) ステータスを選択します。 イベントを作成した理由や調査が必要な内容についての説明を入力します。 新しい重要なイベントを保存します。インシデントレビューのダッシュボードに新しく作成した重要なイベ ントが表示されます。 重要なイベントの設定の変更 Enterprise Security で [設定] > [インシデント管理] に進むと、重要なイベントのさまざまな設定を変更できま す。 デフォルトの重要なイベントのステータスを確認し、必要に応じてステータスの追加、削除、変更を行いま す。 既存の重要なイベントの抑制を確認したり、新規に作成したりできます。 緊急度の上書きを許可したり、コメントの記入を必須とする場合は、インシデントレビューのカスタマイ ズを行います。 重要なイベントのステータスの管理と監視 9 調査のワークフローで重要なイベントの状態を通知できるよう、アナリストは重要なイベントにステータスを割り 当てます。ステータスは調査段階と連動しているため、[インシデントレビューの監査]のダッシュボードで重要な イベントの調査の進捗を確認、報告するために使用できます。 重要なイベントのステータスを確認するには、[設定] > [インシデント管理] > [重要なイベントのステータス] を 選択します。 ラベル 割り当てなし 説明 編集可能 重要なイベントは割り当てられていません。 いいえ 新規 (デフォルト) 重要なイベントはまだ確認されていません。 いいえ 進行中 重要なイベントの調査や対応が進行中です。 はい 未解決 重要なイベントはまだ解決されていません。 はい 解決 重要なイベントは解決され、確認を待っています。 はい 終了 重要なイベントの解決が確認されました。 はい 相関サーチによって作成された重要なイベントには、デフォルトで新規のステータスが割り当てられます。既存の ワークフローに合うよう、重要なイベントのステータスをカスタマイズすることができます。 重要なイベントのステータスを編集する [重要なイベントのステータスを編集] のページで重要なイベントのステータスを変更できます。 1. Splunk Enterprise Security のツールバーで [設定] > [インシデント管理] > [重要なイベントのステータ ス] を選択します。 2. 重要なイベントのステータスを選択して [重要なイベントのステータスを編集] のページを開きます。 3. 必要に応じてラベルまたは説明を変更します。 注意:重要なイベントを作成したときのデフォルトであるため、割り当てなしと新規のステータスは編集できませ ん。 重要なイベントのステータスの移行 ステータスの名前は、重要なイベントの調査で必要な手順を示します。ステータスの移行は、重要なイベント調査 のパスを定義します。 重要なイベントを割り当てられたアナリストは、調査の進行にしたがってステータスを変更します。重要なイベン トの現在のステータスを変更する: アナリストはステータス変更の権限があるロールのメンバーでなければなりません。デフォルトで は、ess_analyst と ess_admin のロールで重要なイベントのステータスを変更できます。 現在のステータスはすべて移行させる必要があります。デフォルトでは、すべてのステータスが他のすべて のステータスに移行できます。たとえば、新規のステータスの重要なイベントは終了を含む他のすべてのス テータスに直接移行できます。 ステータスの移行を制限する 移行のワークフローを定義し、ステータスの移行を制限することで、重要なイベントの調査のフローワークを対象 とする事前に定義されたパスを作成できます。デフォルトでは移行のパスは定義されておらず、必要でもありませ ん。それぞれのステータスからはどのステータスにも移行できます。 前提条件 ステータスの移行を編集するには、ess_analyst ロールを持っているか、重要なイベントのステータスを 編集できる権限を現在のロールに割り当てる必要があります。ユーザーのロールと権限についての詳細は、 『インストールとアップグレード 』マニュアルの「ユーザーとロールの設定」を参照してください。 重要なイベントの調査のステータスワークフローを定義します。調査のワークフローを完了する前に、必須 となるステータスのほか、アナリストがステータスの一定の順序に従う必要があるかどうかを決定します。 どのロールでもすべてのワークフローを迂回できるかどうかを決定します。 重要なイベントのステータスの移行を制限 1. Splunk Enterprise Security のツールバーで [設定] > [インシデント管理] > [重要なイベントのステータ ス] を選択します。 2. 重要なイベントのステータスを選択して [重要なイベントのステータスを編集] のページを開きます。 3. [ステータスの移行] で、移行後のステータスのフィールドを変更します。 1. 選択したステータスへの移行が許可されるロールを設定するには、認証フィールドを選択してロール を追加または削除します。 10 2. 選択したステータスへの移行を削除するには、[すべての選択を解除] をクリックします。 4. 変更内容を保存します。 5. ステータスのワークフローでの変更をテストします。移行にロールの追加または削除が必要な場合は、それ ぞれのロールに割り当てられている認証情報を使ってテストを実行します。 新しいステータスの追加 重要なイベントの調査のワークフローに新しいステータスを追加します。ステータスの移行を制限する場合は、ス テータスがワークフローのどこに当てはまるかを決定します。 1. 重要なイベントのステータスのワークフローを設定します。 1. ワークフローで新しいステータスが必要となる場所を特定します。 2. どのロール (ess_admin など) でも新しいステータスを迂回できるかどうかを決定します。 2. Splunk Enterprise Security のツールバーで [設定] > [インシデント管理] を開き、[重要なイベントのス テータス] を選択します 3. [新規] を選択します。 4. ラベルを追加します。これはステータスフィールドの値で、インシデントレビューのダッシュボードと重要 なイベントのステータスのレポートの作成に使用されます。例:ITOps で待機 5. 説明を追加します。説明は [重要なイベントのステータス] のページでのみ表示されます。例:他の部署で待 機 6. (オプション) デフォルトのステータスを選択します。新規のステータスを変更する場合のみ選択します。 7. (オプション) 終了のステータスを選択します。重要なイベントに終了ステータスを追加する場合のみ選択し ます。 8. 移行後のステータスのフィールドを変更して [ステータスの移行] を定義します。 1. ステータスのワークフローを見直し、重要なイベントが移行できるステータスを決定します。 2. 認証のフィールドを選択し、選択したステータスに移行を行うことが許可されるロールを追加しま す。 9. 変更内容を保存します。 例:ワークフローの「ITOps で待機」のステータスは、「新規」と「進行中」の後、「未解決」の前に発生 します。これは必須のステータスではないため、「未解決」を選択して省略することができます。「未解 決」、「解決済み」、「終了」を対象に「ITOps で待機」のステータスの移行を編集し、[認証] で ess_admin と ess_analyst のロールを追加します。 10. ワークフローで新しいステータスに先行するステータスを編集し、移行の実行が許可されるロールを追加し ます。 例:「ITOps で待機」ステータスへは「新規」または「進行中」のステータスから移行できます。「新規」 と「進行中」の両方のステータスの移行を編集し、「ITOps で待機」を対象に [認証] で ess_admin と ess_analyst のロールを追加します。 11. ステータスが割り当てられ、移行が正しく実行されるかどうかをテストします。 重要なイベントの抑制の作成 重要なイベントの抑制を作成することで、インシデントレビューのダッシュボードで重要なイベントを非表示にで きます。 抑圧は追加される重要なイベントをビューで非表示にするサーチフィルタであり、インシデントレビューのダッ シュボードに過剰な、または不要なイベントが表示されるのを防止します。ただし、サーチの条件に合致する重要 なイベントは作成され、重要なインデックスに追加されます。抑制された重要なイベントは、セキュリティ体制の ダッシュボードや監査のダッシュボードで表示される重要なイベントの数にカウントされます。 特定の条件に合致する重要なイベントの作成を防止するには、スロットリングを参照してください。 抑制フィルタは 2 つの方法で作成できます。 インシデントレビューから作成します。重要なイベントの抑制を参照してください。 設定メニューから作成します。重要なイベントの抑制からの抑制の作成を参照してください。 重要なイベントの抑制からの抑制の作成 1. 2. 3. 4. 5. [設定] > [インシデント管理] > [重要なイベントの抑制] を選択します。 [新しい抑制の作成] を選択します。 抑制フィルタの名前と説明を入力します。 抑制する重要なイベントを検索するためのサーチを入力します。 有効期限を設定します。これによって抑制フィルタの制限時間が設定されます。制限時間に到達すると、抑 制フィルタは無効になります。 11 重要なイベントの抑制の編集 1. [設定] > [インシデント管理] > [重要なイベントの抑制] を選択します。 2. 重要なイベントの抑制を選択して [重要なイベントの抑制の編集] のページを開きます。 3. 抑制フィルタの説明とサーチのフィールドを編集します。 重要なイベントの抑制の解除 1. [設定] > [インシデント管理] > [重要なイベントの抑制] を選択します。 2. 重要なイベントの抑制のステータス列の無効を選択します。 重要なイベントの抑制の削除 1. Splunk プラットフォームのツールバーで、[設定] > [イベントタイプ] を選択します。 2. 抑制イベント notable_suppression-<suppression_name> を検索します。 3. 重要なイベントの抑制のアクション列の削除を選択します。 重要なイベントの動作の監査 インシデントレビューの監査のダッシュボードでアナリストによるインシデントレビューを監査できます。抑制の 監査のダッシュボードで重要なイベントの抑制を監査できます。 重要なイベントに緊急度を割り当てる方法 重要なイベントには緊急度が割り当てられます。緊急度は相関サーチの重大度とアセットまたは ID の優先度の組 み合わせで決まります。緊急度のフィールドで重要なイベントの調査の優先順位を決定できます。 デフォルトの緊急度の計算方法は変更することができます。 1. [設定] > [データ強化] > [リスト/ルックアップ] を開きます。 2. 緊急度のレベルを選択します。緊急度のルックアップファイルを示す色分けされた編集可能な表が表示され ます。 3. 優先度または重大度が「不明」と表示されている行で、割り当てられている緊急度を確認します。 4. (オプション) 表を編集して緊急度を変更します。 5. 変更内容を保存します。 注意: アセットまたは ID が「不明」に分類されていると、重要なイベントの緊急度はデフォルトの「低」になり ます。通常はアセットや ID のシステムで一致がないオブジェクトが「不明」に分類されます。 注意: 相関サーチまたはトリガーイベントによって割り当てられた重大度の値が ES で認識されない場合、重要な イベントの緊急度が不明になることがあります。これは、相関サーチの構文によって提供された重大度の値にエ ラーがあることを示しています。相関サーチによる重大度が不明、情報的、低、中、高、重大であることを確認し ます。 重要なイベントのインデックス で Splunk platform によってイベントがインデックスされるのと同様に、作成された重要なイベントは ディスク上でインデックスされ、index=notable に保存されます。重要なイベントはインシデントレビューのダッ シュボードで追跡、管理、更新できるものの、重要インデックスから直接サーチすることも可能です。 index=main 作成された重要なイベントには、 rule_id と呼ばれるユニーク ID が割り当てられます。この ID は重要なイベント のステータスとユーザー割り当ての作成と更新に使用します。 重要インデックスのフィールド 重要なイベントの特定に役立つ 3 つのインデックスフィールドがあります。 フィールド rule_id 説明 重要なイベントのユニーク ID。すべての相関サーチに含まれます。 12 マクロ `get_rule_id` event_id 相関サーチが重要なイベントを生成する原因となった元のイベントを特定し ます。 `get_event_id` orig_event_id このフィールドは、event_id フィールドのあるイベントに基づいて重要なイ ベントが作成された場合にのみ存在します。 なし 重要なイベントの rule_id を参照するには、 の統合やメールに応用できます。 event_id `get_rule_id` マクロを使用します。たとえば、チケット管理システム を使って、元の raw イベントと対応する重要なイベントを紐付けられます。 すべての相関サーチに event_id が含まれるとは限りません。たとえば、一連のイベントの集計に基づいて重要な イベントを生成するサーチには、event_id が含まれません。event_id は、単一の raw イベントが重要なイベントを 生成した場合に存在します。 重要なイベントの履歴の管理 重要なイベントにはユーザー、ステータス、コメントが紐付けられています。ステータス名の変更はステータス名 のみに影響し、重要インデックスにある重要なイベントに割り当てられたステータス ID には影響しません。 重要なイベントのステータスのデフォルトの名前を変更すると、これまでと今後の両方で発生する重要なイベント のステータス名が変更されます。たとえば、「未解決」を「顧客待ち」に変更すると、ステータスが「未解決」の すべての重要なイベントのステータスが「顧客待ち」になります。重要なイベントのステータス ID は変更されま せん。 サーチからの重要なイベントの操作 重要なマクロである `notable` を使って、既存の重要なイベントをサーチします。 以下のフィールドが返されます: フィールド 説明 _time 重要なイベントが発生した時間 (ローカル時間) host 重要なイベントを記録した ES サーチヘッド source 重要なイベントを生成した相関サーチ sourcetype 重要なイベントのソースタイプ (常に stash) src_user 該当する場合、相関サーチを作成したユーザー dest 該当する場合、影響を受けた宛先のシステム tag::action 該当する場合、記録されているアクション (action と同じ) tag::app 該当する場合、影響を受けた App tag::eventtype 該当する場合、イベントのタイプ src 該当する場合、影響を受けたソースシステム TaskCategory 該当する場合、タスクカテゴリ vendor 該当する場合、影響を受けたベンダー product 該当する場合、影響を受けた製品 dest_is_expected システムが定期的に Splunk に報告するかを示すフラグ action 該当する場合、記録されているアクション (tag::action と同じ) _raw 重要なイベントの raw の詳細 Splunk サーチパイプラインでこれらのフィールドを使い、生成された重要なイベントの評価と報告を行うことが できます。 インシデントレビューのイベントを確認するには れた重要なイベントだけが含まれます。 `incident_review` マクロも使用できます。このマクロには確認さ | `incident_review` 結果にはすべてのインシデントレビュー活動が表示され、以下のフィールドを返します。 13 フィールド 説明 _time インシデントレビューイベントの時間 (ローカル時間) comment インシデントレビューイベント発生時の重要なイベントに対するレビュー担当者のコメ ント owner インシデントレビューイベント発生時の重要なイベントの所有者。これはアカウント名 です。フルネームに変換するには `notable_owners` マクロを使います。 reviewer インシデントレビューイベントを実行したユーザー rule_id イベントのユニークな識別子 rule_name 重要なイベントを生成した相関サーチ status インシデントレビューイベント発生時の重要なイベントのステータスを示す数値 status_default true または false、インシデントレビューイベント発生時に重要なイベントのステータス がデフォルトかどうか status_description インシデントレビューイベント発生時の重要なイベントのステータスの長い説明文 status_end true または false、インシデントレビューイベント発生時に重要なイベントが「end」ス テータスかどうか status_group オープン、新規、または終了 status_label インシデントレビューイベント発生時の重要なイベントのステータスの短い説明文 time インシデントレビューイベントの時間 (GMT) urgency インシデントレビューイベント発生時の重要なイベントの緊急度 Splunk サーチパイプラインでこれらのフィールドを使い、重要なイベントのインシデントレビュー活動の評価と 報告を行うことができます。 セキュリティ体制のダッシュボード セキュリティ体制のダッシュボードはデプロイ全体で重要なイベントについて高度な理解が促進されるよう設計さ れています。セキュリティオペレーションセンター (SOC) での表示に適しています。このダッシュボードには過 去 24 時間に発生したすべてのイベントや傾向が表示され、イベントに関するリアルタイムの情報や更新が提供さ れます。 ダッシュボードのパネル パネル 説明 キーインジケータ セキュリティドメインごとに過去 24 時間の重要なイベント数を表示し ます。詳細は、このマニュアルの「キーインジケータ」を参照してくだ さい。 緊急度ごとの重要なイ ベント 緊急度ごとに過去 24 時間の重要なイベント数を表示 緊急度ごとの重要なイベントでは、アセットに割り当てられた優先順位 と相関サーチに割り当てられた重大度に基づいて緊急度が計算されま す。ドリルダウンでインシデントレビューのダッシュボードを開き、選 択した緊急度の過去 24 時間のすべての重要なイベントを表示します。 重要なイベントの推移 セキュリティドメインごとに重要なイベントを時系列で表示します。ド リルダウンでインシデントレビューのダッシュボードを開き、選択した セキュリティドメインと時間枠ですべての重要なイベントを表示しま す。 上位の重要なイベント イベントの総数やアクティビティの急騰の推移を示すスパークラインな ど、ルール名ごとに上位の重要なイベントを表示します。選択した重要 なイベントのルールを対象とするインシデントレビューダッシュボード をドリルダウンで開きます。 上位の重要なイベント ソース イベントの総数、相関とドメインごとの件数、アクティビティの急騰の 推移を示すスパークラインなど、src ごとに上位 10 件の重要なイベント を表示します。選択した重要なイベントソースを対象とするインシデン 14 トレビューダッシュボードをドリルダウンで開きます。 相関サーチとアラート 新しい相関サーチの作成 相関サーチの概要 相関サーチの目的: 1. 複数のデータソースにまたがってサーチを行います。データソースには、セキュリティドメインからのイベ ント、アセットリスト、ID リスト、脅威リスト、他の Splunk Enterprise のデータが含まれます。 2. 結果を集計し、イベントにコンテキストを適用します。 3. サーチ条件に一致するイベントを通知します。相関サーチが相関に一致するイベントを発見すると、アラー トが生成されます。アラートは重要なイベント、リスクスコア、メールなどのアクションの組み合わせにな ります。 相関サーチの例 失効したアカウントからのアクセス試行などの単一イベント。 ホストやデバイスに記録されている認証の試行と ID リストとの相関。 特定の感染がある数多くのホスト、または多くの感染に侵された単一のホストなど、複数の類似するイベン ト。 エンドポイントの保護システムでのイベントとアセットリストとの相関。 単一のホストにおける多数の認証失敗で、その後に認証に成功しているもの。 ホストやデバイスに記録されている認証の試行と ID リストとの相関。認証の試行件数のカウントにあたっ ては、サーチに閾値設定が適用されます。 新規の相関サーチ 重要なイベント、リスクスコア、その他のアラートを生成するため、独自の相関サーチを作成できます。新規の相 関サーチは、Splunk サーチ言語を使って手動で作成することも、サーチ作成ガイダンスのウィザードに従って作 成することもできます。 サーチの作成 複数のデータソースにまたがるイベントを特定するサーチを作成します。 手動でのサーチの作成 ES に事前設定されている相関サーチは、サーチの手法とオプションの好例です。[設定] > [コンテンツ管理] へ と進みます。相関サーチのタイプでソートを行い、事前設定されている相関サーチを表示します。サーチのダッ シュボードでサーチのアイデアをテストします。相関サーチ名は 80 文字以下にしてください。 ガイダンスによるサーチの作成 サーチ作成ガイダンスでは、Enterprise Security の管理者がデータモデルを使った相関サーチを作成できます。 サーチ作成ガイダンスでは、データモデル選択、時間範囲、フィルタリング、分割フィールド、条件のオプション が特定の順番で提供されます。ガイダンスによるサーチの作成が完了する前にサーチパーシングチェックが行われ るほか、保存する前に結果をテストするためのオプションも利用できます。 1. [設定] > [コンテンツ管理] へと進み、[新しいコンテンツの作成] を選択してサーチタイプの一覧を表示し ます。 2. [相関サーチ] を選択して 新しい相関サーチのページを開きます。 3. [ガイダンスモードでサーチを編集] を選択し、サーチ作成のガイダンスを開始します。 サーチ作成ガイダンスが完了すると、新しい相関サーチのページの [サーチ:] のフィールドにサーチ結果が追加 されます。フィールドと使用のリストについては、本マニュアルの「相関サーチの編集」のページを参照してくだ さい。 相関サーチの設定 相関サーチは複数のデータソースから特定のパターンをスキャンするため、繰り返し実行されるサーチです。サー チがパターンを発見すると、アラートが生成されます。Splunk ES にあらかじめ設定されている 60 以上の相関 15 サーチは、対応するセキュリティドメインごとに分類されています。 相関サーチの有効化 Splunk Enterprise のインストール時、デフォルトでは相関サーチが無効になっています。 アラートを生成する ためには、相関サーチを有効にする必要があります。 1. コンテンツ管理ページから [タイプ:相関サーチ] でフィルタリングを行い、すべての相関サーチを表示しま す。 2. 相関サーチの [説明] のフィールドで意図する相関の使用事例を特定します。 3. セキュリティドメイン、データソース、定義された使用事例に対応する相関サーチを有効にします。 相関サーチを有効にすると、ダッシュボードに重要なイベントとスコアリスクが表示されるようになります。 インシデントレビューのダッシュボードで重要なイベントを確認します。 必要に応じて、重要なイベントのスロットリングや抑制を設定します。 リスク分析のダッシュボードで最新のリスクスコアを確認します。 コンテンツ管理ページ コンテンツ管理ページでは、すべての相関、キーインジケータ、エンティティ調査サーチの表示と設定ができま す。このページには [設定] > [コンテンツ管理] からアクセスできます。 アクション コンテンツ管理ページで相関サーチを表示すると、アクション列を使って下記を実行できます。 相関サーチを有効または無効にする。 相関サーチのデフォルトのサーチタイプをリアルタイムからスケジュール済みに変更する。 警告:デフォルトではインデックス作成されたリアルタイムサーチが実行されます。インデックス作成されたリア ルタイムサーチでは設定の変更が全体に影響し、Enterprise Security をホストしているサーチヘッドが実行する すべての App とサーチに適用されます。リアルタイムサーチの詳細は、『サーチ 』マニュアルの「リアルタイム サーチとレポートについて」を参照してください。 相関サーチページの編集 このページでは、相関サーチの詳細オプションの設定や変更ができます。 [設定] > [コンテンツ管理] と進み、[タイプ:相関サーチ] でフィルタリングします。 相関サーチの名前を選択し、相関サーチの編集ページを表示します。 注意:Splunk の [設定] メニューからも相関サーチを編集できますが、この方法は推奨されません。このように編 集した場合、相関サーチが分断されたり、関連する設定が編集できなくなることがあります。相関サーチは通常の サーチより複雑で、設定も複数の .conf ファイルに分散しています。 デフォルトフィールド あらかじめ設定されている相関サーチには、以下のフィールドがあります。 フィールド 説明 サーチ名 サーチの簡単な説明 アプリケーショ ンコンテキスト サーチがある App 名 説明 相関サーチが検出する問題の種類の説明文 実行する相関サーチ文字列ガイダンスモードに対応している場合は、サーチ がグレーアウトされます。 サーチ ガイダンスモードでのサーチの編集については、このトピックの「ガイ ダンスモードでサーチを編集」を参照してください。 手動でのサーチの編集:ガイダンスモードに対応しているサーチフィー ルドを編集したり、直接コピーできるようになります。 時間範囲 フィー 説明 16 ルド 開始時 間 サーチの最も早い時間帯を相対時間で表したもの。 終了時 間 サーチの最も遅い時間帯を相対時間で表したもの。サーチの開始時間と終了時間では、 「相対時間修飾子」が使用されます。修飾子の例は、『サーチ 』マニュアルの「サーチ への時間修飾子の指定」を参照してください。 Cron スケ ジュー ル 標準的な Cron 表記を使って、スケジュールの頻度を編集または変更します。詳細は、 Wikipedia の 「Crontab」ページを参照してください (http://en.wikipedia.org/wiki/Cron#crontab_syntax)。 スロットリング スロットリングは相関サーチが生成するアラートの数を制限するために使います。 相関サーチが一致するイベントを発見すると、アラートが生成されます。デフォルトでは、相関サーチが返した結 果ごとにアラートが生成されます。通常は特定のタイプの 1 つのアラートで十分でしょう。スロットリングを使 用すれば、相関サーチが複数のアラートを生成するのを防止できます。 スロットリングはどのようなタイプの相関サーチのアラートにも適用でき、重要なイベントの抑制の前に行われま す。重要なイベントの抑制についての詳細は「重要なイベントの抑制の作成と操作」を参照してください。 フィー ルド 説明 時間窓 の幅 相対時間の範囲を秒で指定します。この時間帯では、グループ化するフィールドのいず れかに一致するイベントが発生しても新しいアラートは生成されません。この時間帯が 終了すると、次に一致するイベントが新しいアラートを生成し、スロットリングの条件 が再び適用されます。 グルー プ化す る フィー ルド スロットリングの時間帯で特定された類似するイベントを照合するためのサーチフィー ルドです。ここに一覧化されるフィールドが生成されたアラートに一致すると、相関 サーチは新しいアラートを生成しません。複数のフィールドを定義できます。使用でき るフィールドは相関サーチが返すサーチフィールドによって異なります。 重要なイベント 重要なイベントはサーチ条件が満たされたときにイベントを生成するアラートです。詳細は、このマニュアルの 「重要なイベント」を参照してください。 重要なイベントの作成: 選択すると、相関サーチでの重要なイベントの生成が可能になります。 重要なイベントの作成が有効な場合、以下のフィールドも使えます。 フィールド 説明 タイトル インシデントレビューのダッシュボードに表示される重要なイベントのタイト ルを指定します。詳細は、このマニュアルの「インシデントレビュー」を参照し てください。 説明 重要なイベントの説明を設定します。プレーンテキストの URL を入力してリンク を作成できます。 セキュリ ティドメイ ン 重要なイベントのセキュリティドメインを指定します。ドロップダウンリストか ら選択します。 重大度 重要なイベントの重大度を指定します。これは緊急度の計算に使用されます。詳 細は、このマニュアルの「重要なイベントへの緊急度の割り当て」を参照してく ださい。 デフォルト の所有者 重要なイベントの所有者を指定します。デフォルトは割り当てなしです。 デフォルト のステータ ス 重要なイベントのステータスを指定します。デフォルトは新規です。 17 ドリルダウ ン名 重要なイベントの要因となるイベントのリンクの名前を指定します。 ドリルダウ ンサーチ 重要なイベントの要因となるイベントのリンクのドリルダウンサーチを指定しま す。 ドリルダウ ン開始オフ セット 重要なイベントの要因となるイベントのリンクを使用する際に、関連するイベン トを検索する最も早い時間を指定します。たとえば、1h、2h、1d など。 ドリルダウ ン終了オフ セット 重要なイベントの要因となるイベントのリンクを使用する際に、関連するイベン トを検索する最も遅い時間を指定します。たとえば、1m、5m、30m など。 リスクスコアの集計 リスク修飾子はサーチ条件が満たされたときにイベントを生成するアラートです。Enterprise Security のリスク 分析のダッシュボードでリスク修飾子イベントを確認できます。このタイプのアラートは、重要なイベント作成や アクションなどの他のアラートのオプションと無関係に有効にできます。 リスク修飾子の作成: このチェックボックスを選択すると、相関サーチでのリスクオブジェクトのスコアリングが 有効になります。リスク修飾子の作成が有効な場合、以下のフィールドも必要になります。 フィールド 説明 スコア イベントにデフォルトで割り当てられるスコアを設定します。 リスクオブジェクトフィール ド リスクスコアが適用されるフィールドを指定します。 リスクオブジェクトタイプ リスクスコアが適用されるオブジェクトのタイプを指定しま す。 アクション アクションは、相関サーチによって起動されるアラートの一種です。アクションのアラートは、重要なイベント作 成やリスクスコアなどの他のアラートのオプションから独立して有効にできます。 フィール ド 説明 RSS フィード に挿入 このボックスをチェックすると、相関サーチのアラートを Splunk Enteprise RSS の フィードに挿入できます。詳細は、 アラートマニュアルの「RSS フィードの作成」を 参照してください。 このボックスをチェックすると、相関サーチのアラートでメールが送信されます。 メール送 信 スクリプ トの実行 メール件名: メールのデフォルトの件名は「Splunk Alert: $name$」で、 $name$ は相関サーチのサーチ名です。 メールアドレス: アラートを受け取るメールアドレスおよび/または送信先の一覧 を入力します。メールアドレスを入力したら、Tabキーを使ってフィールドから 移動します。 Splunk Enterprise にメールサーバを設定する必要があります。『アラート』マ ニュアルの「メール通知の設定」を参照してください。 このボックスをチェックすると、相関サーチのアラートでシェルスクリプトが実行で きるようになります。詳細は、『アラート』マニュアルの「スクリプトアラートの設 定」を参照してください。 Stream このボックスをチェックすると、イベントのすべての送信元と宛先の IP アドレスで相 取得の開 関サーチのアラートによるパケット取得を実行できるようになります。このトピック 始 の「Stream 取得の開始」を参照してください。 ガイダンスモードでのサーチの編集 [ガイダンスモードでサーチを編集] を選択すると、サーチ作成ガイダンスのウィザードが開始されます。[サーチ 作成ガイダンス] のページでは、あらかじめ設定されている相関サーチのサーチ要素を確認できます。 サーチ作成ガイダンスでは、Enterprise Security の管理者がデータモデルを使った相関サーチを確認、変更でき ます。サーチ作成ガイダンスでは、データモデル選択、時間範囲、フィルタリング、分割フィールド、条件のオプ 18 ションが特定の順番で提供されます。ガイダンスによるサーチの作成が完了する前にサーチパーシングチェックが 行われるほか、保存する前に結果をテストするためのオプションも利用できます。 すべての相関サーチがサーチ作成ガイダンスに対応しているわけではありません。既存の相関サーチに手動でサー チを編集するためのリンクがない場合やグレーアウトになっていない場合、サーチはサーチ作成ガイダンスの要件 を満たしていません。 相関サーチの属性を変更しても、すでに生成されている重要なイベントには影響がありません。 Stream 取得の開始 Stream 取得の開始を選択し、重要なイベントに対応するパケット取得ジョブを開始します。このジョブでは、 設定した時間内で選択したプロトコルに返されるすべての IP アドレスでパケットが取得されます。取得セッショ ンの結果は、プロトコルインテリジェンスのダッシュボードで確認できます。このマニュアルの「プロトコルイン テリジェンスのダッシュボード」を参照してください。 Stream 取得を使用するには、Splunk App for Stream をインストールし、Stream アドオンを使用できるフォ ワーダーを入手する必要があります。Stream 取得の実行の前提要件については、『インストールとアップグ レード 』マニュアルの「Splunk App for Stream の統合」を参照してください。 調査 調査タイムライン 調査タイムラインでは、セキュリティに関連するインシデントの調査を追跡できます。このツールでは、インシデ ントの進行と調査の手順が可視化、文書化されます。重要なイベント、Splunk イベント、アクション履歴の項目 を記録する調査ジャーナルの情報を追加します。 調査の開始 新しい調査は、Enterprise Security の複数のビューから開始できます。 重要なイベントのトリアージ中に、インシデントレビューから調査を開始します。 調査バーからダッシュボードを表示して調査を開始します。このマニュアルの「調査バー」を参照してくだ さい。 自分の調査から調査を開始します。 イベントのワークフローアクションで調査を開始します。重要なイベントまたは Splunk イベントの追加を 参照してください。 調査の追跡 セキュリティインシデントの調査の進行を追跡したり、攻撃、情報漏えい、その他の時間ベースのインシデントの タイムラインを描画したりできます。Splunk Enterprise Security を使って調査を進める上で、調査タイムライ ンに詳細を追加する重要なイベントや Splunk イベントを追加できます。アクション履歴からタイムラインにサー チ、抑制フィルタ、ダッシュボードビューを追加します。「アクション履歴」を参照してください。 19 電話、メール、チャットなど、その他の重要な調査手順はタイムラインにノート として記録します。ノート機能 を使って、オンラインの記事やツイートへのリンクなど、関連するその他の情報を追加したり、スクリーンショッ トなdのファイルをアップロードできます。 重要なイベントまたは Splunk イベントの追加 インシデントレビューのダッシュボードの [アクション] メニューから、調査タイムラインに重要なイベントを追 加できます。 Splunk イベントはソースイベントが表示されるどのダッシュボードからでも調査に追加できます。また、ソース イベントを確認するためのドリルダウンを使用した後も追加できます。 1. 2. 3. 4. [イベントアクション] メニューやその他の詳細を表示するには、イベントを拡張表示します。 [イベントアクション] をクリックし、[調査へ追加] を選択します。 新しいタブが開きます。既存の調査を編集するか、または新しい調査を作成します。 [保存] をクリックします。 アクション履歴からのエントリの追加 アクション履歴から調査ジャーナルにエントリを追加します。 1. [新しいエントリの作成] をクリックし、[アクション履歴] を選択します。 2. 調査タイムラインに追加するアクションを特定します。 1. アクション履歴ダイアログボックスには、最近のアクションが表示されます。アクションは、ユー ザー自身の調査ジャーナルでしか追加できません。 2. 時間別のソート、またはアクションタイプ (サーチの実行、ダッシュボードの確認、パネルのフィルタ リング、重要なステータスの変更、重要なイベントの抑制) でのフィルタリングによって、追加するア クションを特定できます。 3. サーチのアクションについては、[+] をクリックして完全なサーチ文字列を表示し、追加するサーチが 正しいかどうか確認できます。 3. 調査タイムラインに追加するアクションの隣りにあるチェックボックスにチェックを入れます。 4. [調査に追加] をクリックします。 詳細は、「アクション履歴」を参照してください。 ノートの追加 タイムラインの表示中、調査にノートを追加できます。 1. [新しいエントリの作成] をクリックし、[ノート] を選択します。 2. タイトルを入力します。 たとえば、「警察との通話」などです。 3. 時間を選択します。デフォルトは現在の日付と時刻です。 たとえば、通話の時間を入力します。 4. 説明を入力します、タイトルを入力しない場合、説明からタイトルが生成されます。 たとえば、警察との通話を記録したノートには下記などの説明が含まれます。:警察への連絡。他の従業員 の ID を盗用した従業員について協議。 5. (オプション): 添付ファイルをアップロードします。 1. ノートでクリップのアイコンをクリックします。 2. ファイルをドラッグアンドドロップするか、[ファイル選択] をクリックしてパソコンからファイルを 追加します。 最大のファイルサイズは 4 MB です。ノートにはファイルを 1 つしか追加できません。 6. [調査に追加] をクリックして、開いている調査にノートを追加します。複数の調査が進行している場合は、 [一時的に保存] をクリックし、表示している調査にノートを追加せずにノートを保存できます。 20 調査バーを使ったエントリの追加 Splunk Enterprise Security のすべてのダッシュボードで、アクション履歴から新しいノートや項目を調査タイ ムラインに追加できます。複数の調査が進行している場合は、各ページの下に表示される調査バーからタイムライ ンに追加を行うことができます。このマニュアルの「調査バー」を参照してください。 タイムラインのエントリの変更 エントリの時系列リストとしてのタイムラインを表示するリストボタンをクリックすることで、タイムラインのエ ントリを変更できます。 個々のエントリの編集と削除 1. 変更するタイムラインのエントリを特定します。 2. [アクション] 列で、[編集] または [削除] をクリックします。 複数のエントリの削除 1. 削除するエントリの隣にあるチェックボックスを選択します。 2. [選択した項目の編集] をクリックし、[削除] を選択します。 ノートの変更 1. リストでノートを特定し、[編集] をクリックします。 2. 添付ファイルを削除します。 1. クリップのアイコンをクリックします。 2. ファイル名の隣にある [X] をクリックします。 3. 添付ファイルを差し替えます。 1. クリップのアイコンをクリックします。 2. [ファイルを選択] をクリックしてコンピュータからファイルを選択するか、編集ウィンドウに新しい ファイルをドラッグアンドドロップします。 4. [ノートの内容] をクリックします。 5. [保存] をクリックし、変更内容を保存します。 他の調査ユーザーとの協力 多くの場合、調査タイムラインで別の調査ユーザーと協力する必要が生じます。この場合は複数のユーザーが同じ 調査を一か所で追跡することができます。 調査タイムラインへの協力者の追加 1. [+] アイコンをクリックします。 21 2. 協力者の名前を入力し、ドロップダウンリストから選択して追加します。 3. 追加が完了すると、円の中にその協力者のイニシャルが表示されます。たとえば、Douglas Alan Denon は 「DA」、Tricia Thompson は「TT」と表示されます。 協力者にはどの Splunk ユーザーも追加できます。所有者と協力者には同じ権限が付与されます。 調査タイムラインへのすべての協力者の追加 1. [+] アイコンをクリックします。 2. [すべて追加] をクリックします。 Splunk Enterprise Security のすべてのユーザーが、協力者としてタイムラインに追加されます。 調査に割り当てられている協力者の表示 協力者のアイコンにマウスオーバーすると、協力者の名前が表示されます。Splunk に名前が登録されてい ないユーザーについては、ユーザー名が表示されます。 調査の所有者の場合、名前の隣に初秋者と表示されます。例:「Tricia Thompson (所有者)」 協力者を削除するには、該当する円にマウスオーバーし、表示される x をクリックします。 調査の確認 過去の調査を再確認したり、最新の調査を確認するには、調査バーまたは自分の調査でタイトルをクリックしま す。エントリをクリックすると、関連する詳細が表示されます。 ファイルが添付されているノートについては、ファイル名をクリックして添付ファイルをダウンロードでき ます。 重要なイベントについては、 [インシデントレビューで表示] をクリックすると、特定の重要なイベントで フィルタリングされたインシデントレビューのダッシュボードが開きます。 アクション履歴のエントリでは、過去に実行したアクションを複製できます。サーチアクションの履歴エン トリでは、サーチ文字列をクリックしてサーチで開くことができます。ダッシュボードのアクション履歴の エントリでは、ダッシュボード名をクリックしてダッシュボードを表示できます。 22 タイムライン を拡大または縮小することで、特に活発な攻撃や調査についての詳細を入手したり、調査の全体像を把握できま す。 タイムラ インを移動し、エントリをスキャンするには、タイムラインをクリックします。リストアイコンをクリックする と、すべてのタイムラインのエントリを時系列で表示できます。また、フィルタを使ってタイムラインの表示を整 理することもできます。タイプ別にフィルタリングしたり、[フィルタ] ボックスを使ってタイトルごとにフィルタ リングできます。 調査の共有 監査などの目的で Splunk Enterprise Security の外部にいる人と調査を共有するには、タイムラインを印刷した り、PDF で保存できます。 1. タイムラインで [印刷] をクリックします。エントリを時系列で表示したフォーマット済みのタイムラインが 生成されます。 2. タイムラインの調査を印刷するか、または印刷ダイアログから PDF として保存できます。 調査ワークフローの例 1. 重要なイベントやアラートアクションのほか、メール、ヘルプデスクのチケット、電話などのその他の手段 にかかわらず、ユーザーには調査が必要なセキュリティインシデントが通知されます。 2. Splunk Enterprise Security で調査を作成します。 3. 他のユーザーと協力する必要がある場合は、それらのユーザーを協力者として調査に追加します。 4. インシデントを調査します。調査にあたっては、洞察を引き出すための役立つ手順を調査タイムラインに追 加します。 調査バーを使ってアクション履歴からタイムラインに有用なサーチを追加したり、イベントアクションを 使って関係するイベントをタイムラインに追加してサーチを実行します。これにより、今後の同様の調査を 簡単に複製することが可能で、調査プロセス全体を記録することもできます。 アセットや ID 調査のダッシュボードで特定のアセットや ID に焦点を置くスイムレーンサーチでの絞り込み のように、ダッシュボードをフィルタリングすることで特定の要素に焦点を置くことができます。調査バー では、有用なフィルタリングのアクションをアクション履歴からタイムラインに追加できます。 関連する重要なイベントのトリアージと調査を行います。該当する重要なイベントをタイムラインに追加し ます。 ノートを追加し、電話、メール、チャット、記事へのリンク、ソーシャルメディアでの投稿など、その他の 重要な調査手順を記録します。スクリーンショットやフォレンジック調査ファイルなど、重要なファイルを アップロードします。 アクション履歴 攻撃などの他のセキュリティインシデントの調査を進めると、そのアクションがユーザーの調査ジャーナルに記録 されます。ユーザーは自分の調査ジャーナルのエントリしか閲覧できません。調査のタイムラインに項目を追加す ると、すべての協力者がエントリを閲覧できるようになります。 ユーザーの調査ジャーナルでは、下記のアクションが保存済みサーチを使って追跡されます。 参照したダッシュボード 実行したサーチ 23 パネル毎のフィルタリング 重要なイベントの変更 重要なイベントに追加した抑制フィルタ このマニュアルの「調査のためのデータソース」を参照してください。 これらのアクションが追跡されることで、調査のタイムラインへのコンテキストの追加、調査の監査の改善、重要 な所見へとつながった調査中のアクションの完全な履歴が作成に役立ちます。たとえば、調査に役立つ情報が提供 されるサーチを行う場合は、そのサーチを調査のタイムラインに追加できます。調査のタイムラインでサーチ文字 列を特定してサーチを再度実行したり、有用なサーチを調査の完了後のレポートとして設定できます。 自分の調査 ユーザーは自分の調査のダッシュボードで自分の進行中の調査を追跡できます。ここでは調査のタイムラインを表 示、またはフィルタリングするか、新規のタイムラインを作成します。このダッシュボードでは、ユーザーが作成 した、または協力しているすべてのタイムラインを確認できます。 調査の開始 自分の調査のダッシュボードで新しい調査のタイムラインを作成し、調査を開始します。 1. [新しい調査の作成] をクリックします。 2. タイトルを入力してデフォルトを変更し、緑のチェックマークをクリックして保存します。 3. ここでは説明を入力し、緑のチェックマークをクリックして保存することもできます。 詳細は、このマニュアルの「調査のタイムライン」を参照してください。 調査のタイムラインの管理 自分の調査のダッシュボードで進行中の調査を管理します。 調査のフィルタリング フィルタを使うことで、調査タイムラインをすばやく特定したり、タイムラインのリストを整理したりできます。 フィルタリ ングの対象 説明 対処 時間 時間を選択し、特定の期間に最後に変更された タイムラインのみを表示します。 ドロップダウンフィルタリング の対象を選択 タイトル タイムラインのタイトルをテキストボックスに 入力し、一致するタイムラインだけを表示させ ます。 テキストフィールドデフォルト は空白入力に従ってフィルタリ ング 調査の削除 自分の調査のダッシュボードでは、個々の、または複数のタイムラインを削除できます。削除したタイムラインは 復元できません。タイムラインを削除する前に、監査や調査について検証してください。 個々のタイムラインはアクション列から削除できます。 1. [削除] をクリックします。 2. [削除] をクリックすることで、タイムラインの削除を確定できます。 複数のタイムラインを削除するには、[選択した項目の編集] メニューを使います。 1. 削除するタイムラインの隣にあるチェックボックスを選択します。 2. [選択した項目の編集] をクリックし、[削除] を選択します。 3. [削除] をクリックすることで、タイムラインの削除を確定できます。 調査の編集 24 変更する調査タイムラインを開きます。 1. 自分の調査のダッシュボードで編集するタイムラインを特定します。 2. [アクション] 列の [編集] をクリックし、タイムラインを開きます。 このマニュアルの「調査のタイムライン」を参照してください。 調査用のデータソース Splunk Enterprise Security では調査の情報がいくつかの KVStore コレクションに保存されます。自分の調査の ダッシュボードの調査、調査のタイムラインのエントリ、タイムラインに追加できるアクション履歴の項目には、 それぞれ個別のコレクションがあります。詳細は、このマニュアルの「ダッシュボードの要件一覧表」の「自分の 調査」を参照してください。 _lookup 例: を KVStore コレクションの最後に追加し、inputlookup コマンドを使ってコレクションをサーチします。 | inputlookup append=t action_history_lookup タイムラインへのアクセス Splunk ES では、所有者と協力者のみがタイムラインを閲覧、編集できるものの、ess_analyst ロールをもつ Splunk ユーザーは、inputlookup を使って該当する KVStore コレクションにクエリを行うことで、タイムライン の情報を閲覧することができます。 タイムラインを編集するには、`edit_timeline` の権限が必要です。『インストールとアップグレード 』マニュア ルの「ユーザーとロールの設定」を参照してください。 アクション履歴のデータソース アクション履歴の項目はすぐに表示されません。5 つのサーチが保存されると、アクション履歴の項目が作成され ます。[設定] > [コンテンツ管理] へと進んでフィルタリングを行うとこれらを確認できます。保存済みサーチを 変更すると、アクション履歴の項目が表示されなくなる場合があります。 "Dashboard Views - Action History" "Search Tracking - Action History" "Per-Panel Filtering - Action History" "Notable Suppression - Action History" "Notable Status - Action History" 実行するサーチをアクション履歴から除外する場合は、[アクション履歴サーチ追跡ホワイトリスト] のルックアッ プを使います。ルックアップの詳細は、「リストとルックアップの設定」を参照してください。 調査バー Enterprise Security でダッシュボードを表示すると、下部に調査バーが表示されます。 調査の開始 [新しい調査の作成] をクリックすると、新しい調査のタイムラインを作成できます。 [すべての調査] をクリックしてタイムラインを選択すると、既存の調査のタイムラインをロードできます。 既存の調査に対する操作 [すべての調査] をクリックして調査を選択すると、既存の調査のタイムラインをバーにロードできます。 [調査の名前の編集] をクリックして調査の名前を変更します。 [タイムラインの切り替え] をクリックすると、調査のタイムラインを表示したり、開いたタイムラインを閉 じたりできます。 [ノート] をクリックしてノートを追加します。 [アクション履歴] をクリックしてアクション履歴の項目を追加します。 25 クイックサーチの実行 [クイックサーチ] をクリックすると、サーチのダッシュボードを開かずにサーチを実行できます。 ウィンドウの隅をクリックしてドラッグすると、サーチ結果の表示を拡大/縮小できます。サーチビューをダ ブルクリックすると画面全体に表示できます。再度ダブルクリックするとビューが縮小します。 [サーチで開く] をクリックすると、サーチ結果をサーチダッシュボードで表示できます。 サーチ結果を CSV ファイルとしてエクスポートするには、[エクスポート] をクリックします。この場合、 サーチ結果をタイムラインに添付できます。「調査のタイムライン」を参照してください。 [調査に追加] をクリックすると、調査バーの調査にサーチをすばやく追加できます。 アセットと ID アセットと ID のダッシュボード ID ドメインのダッシュボードでは、Splunk Enterprise Security で定義されているアセットと ID に関する情報 が提供されます。アセットと ID の記録の使用についての詳細は、このマニュアルの「ID の管理」を参照してくだ さい。 アセットセンターのダッシュボード アセットセンターのダッシュボードを使って、Enterprise Security に追加されているアセットデータのオブジェ クトを確認、サーチできます。アセットデータとは、組織内のホスト、IP アドレス、サブネットのリストのほ か、それぞれのアセットに関する情報を指します。アセットリストでは、アセットの属性をインデックス済みイベ ントと相関させることで、アセットの場所や優先度といったコンテキストが提供されます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。 フィルタリ ングの対象 説明 対処 アセット 既知、または不明なアセット テキストフィールドデフォルトは空白アスタリス ク (*) のあるワイルドカード文字列 優先度 アセットテーブルの優先度 フィールドでフィルタ 優先度ごとのドロップダウン ビジネスユ ニット アセットのグループ、部によ る分類 テキストフィールドデフォルトは空白アスタリス ク (*) のあるワイルドカード文字列 カテゴリ アセットテーブルのカテゴリ フィールドでフィルタ カテゴリごとのドロップダウン 所有者 アセットテーブルの所有者 フィールドでフィルタ テキストフィールドデフォルトは空白アスタリス ク (*) のあるワイルドカード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択 ダッシュボードパネル パネル 説明 優先度ごとのア セット 優先度ごとにアセットの数を表示します。ドリルダウンでは選択した優先度 のサーチが開きます。 ビジネスユニット ごとのアセット ビジネスユニットごとにアセットの相対的な量を表示します。ドリルダウン では選択したビジネスユニットのサーチが開きます。 カテゴリごとのア セット カテゴリごとにアセットの相対的な量を表示します。ドリルダウンでは選択 したカテゴリのサーチが開きます。 アセット情報 現在のダッシュボードフィルタに一致するすべてのアセットを表示します。 "ip"、"nt_host"、"mac" または "dns" フィールドが選択されている場合、ドリル ダウンではアセット調査のダッシュボードが開きます。その他のフィールド では、選択したフィールドのサーチが開きます。 26 データソース アセットセンターのダッシュボードのレポートは、アセットおよび ID データモデルのフィールドを参照します。 該当するデータソースとしては、ルックアップ、スクリプト入力またはサーチの抽出データとして収集/ロードさ れたアセットと ID のリストが挙げられます。 ID センターのダッシュボード ID センターのダッシュボードを使って、Enterprise Security に追加された ID データのオブジェクトの見直しと サーチを実行できます。ID データとは、アカウント名、実名、ニックネーム、別名のリストのほか、それぞれの ID に関するその他の情報を指します。ID データは、ユーザー情報とインデックス済みイベントを相関させ、追加 のコンテキストを入手するために使用されます。 ID センターでの ID のフィルタリング ID センターのダッシュボードのフィルタは、キー=値のペアのサーチフィールドを使用します。ID をフィルタす るには、文字列ではなく、キー=値のペアを入力します。 キー=値のペアの例は、「email=*acmetech.com」や「 nick=a_nickname」などです。 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。 フィルタリ ングの対象 説明 対処 ユーザー名 既知、または不明なユーザー テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード文字列 優先度 ID テーブルの優先度フィールドで フィルタ 優先度のドロップダウン ビジネスユ ニット ID を対象とするグループまたは部署 の分類 テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード文字列 カテゴリ ID テーブルのカテゴリフィールドで フィルタ カテゴリのドロップダウン 監視リスト にある ID の み ID テーブルで「監視リスト」として タグ付けされている ID をフィルタ ドロップダウン:フィルタリングの対象を 選択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの対象を 選択 ダッシュボードパネル パネル 説明 優先度ごとの ID 優先度ごとに ID の数を表示します。ドリルダウンでは選択した優先度のサー チが開きます。 ビジネスユニット ごとの ID ビジネスユニットごとに ID の相対的な量を表示します。ドリルダウンでは選 択したビジネスユニットのサーチが開きます。 カテゴリごとの ID カテゴリごとに ID の相対的な量を表示します。ドリルダウンでは選択したカ テゴリのサーチが開きます。 ID 情報 現在のダッシュボードフィルタに一致するすべてのアセットを表示します。 "identity" フィールドが選択されている場合、ドリルダウンでは ID 調査の ダッシュボードが開きます。その他のフィールドでは、選択したフィールド のサーチが開きます。 データソース ID センターのダッシュボードのレポートは、アセットおよび ID データモデルのフィールドを参照します。該当 するデータソースとしては、ルックアップ、スクリプト入力またはサーチの抽出データとして収集/ロードされた アセットと ID のリストが挙げられます。 セッションセンターのダッシュボード 27 セッションセンターのダッシュボードでは、ネットワークセッションの概要が提供されます。ネットワークセッ ションは、DHCP や VPN サーバーが提供するセッションデータを使い、ネットワークアクティビティとをユー ザーと相関させるために使用されます。セッションセンターを使ってセッションのログを確認し、セッションで使 用された IP アドレスに紐付けられるユーザーやマシンを特定できます。 ダッシュボードパネル パネル 説明 セッションの推移 時間ごとのネットワークセッションの合計件数を表示します。ドリルダウン では選択したセッションと時間範囲のサーチが開きます。 セッションの詳細 セッション開始時間に基づいて、直近に開かれたネットワークセッションの 上位 1,000 件を表示します。ドリルダウンでは選択したセッションの詳細の サーチが開きます。 ID のダッシュボードのトラブルシューティング ダッシュボードはさまざまなデータモデルのデータを参照します。適合するデータがない場合、パネルには何も表 示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照してください。 アセットと ID の調査のダッシュボード アセットと ID の調査のダッシュボードでは、カテゴリごとに定義されるスイムレーンを使って、セキュリティ関 連のイベントの推移が集計、可視化されます。スイムレーンには、認証、マルウェア、重要なイベントなど、イベ ントのカテゴリが表示されます。スイムレーンではヒートマップを使ってアクティビティの量が表示されます。ス イムレーンの色の濃さは、それぞれの時点でのイベントの頻度に相当します。アクティビティの両が多い期間は濃 い色で表示されます。イベントカテゴリでアクティビティを視覚的にリンクすることで、環境内のホストやユー ザーのインタラクションを完全に表示できます。 アセット調査 アセット調査のダッシュボードには、マルウェアや重要なイベントなど、事前に定義されているイベントカテゴリ での既知または不明なアセットに関する情報が表示されます。 アセット調査のダッシュボードの使用 アセット調査のダッシュボードを使って、環境でのアセットのインタラクションをトリアージできます。 ダッシュボードには複数のイベントカテゴリが含まれ、それぞれが別のスイムレーンに表示されます。それぞれの イベントカテゴリには、データモデルに該当するイベントが含まれています。たとえば、マルウェア攻撃のスイム レーンには、サーチされているアセットに限定されたウィルス対策やその他のマルウェア関連のデータソースのイ ベントが表示されます。イベントカテゴリでアセットのアクションが追跡しやすくなるよう、複数のスイムレーン が一度に表示されます。 このダッシュボードはアドホックサーチにも使用できます。 1. [高度な脅威] > [アセット調査] へと進みます。 2. サーチバーにホスト名または IP アドレスを入力します。ここではワイルドカードも使えます。 3. 時間範囲を設定して[サーチ] をクリックします。 28 アセット調査のためワークフロー アセット調査のワークフローを開始するには、送信元または宛先のネットワークアドレスを持つイベントを表示す るダッシュボードで、ワークフローアクションを実行します。詳細は、このマニュアルの「ワークフローアクショ ン」を参照してください。 1. ダッシュボードの上部にあるアセットの説明を見て、調査するアセットが表示されていることを確認しま す。スイムレーンに表示されるすべてのイベントは、選択したアセットのものに限定されます。 2. タイムレンジピッカーを使い、全体の時間範囲を必要な部分に絞ります。タイムスライダーを使うと、該当 するイベントの期間やピーク時のイベント件数を分離できます。 3. [編集] メニューからスイムレーンを追加または変更します。たとえば、パケット分析ツールのアセットで収 集したデータを表示するには、選択したコレクションを[デフォルト]からパケットの取得データを示す [プロ トコルインテリジェンス] に変更します。 4. 個々のイベントとグループ化されているイベントを確認します。イベントを選択した後はイベントパネルを 使って、個々のイベントまたはグループ化されているイベントの共通のフィールドを調査できます。 5. 共有またはさらに調査したいイベントやパターンがある場合は、イベントパネルで実行できます。 1. [サーチへ移動] をクリックし、選択したイベントのドリルダウンを表示します。 2. [共有] をクリックし、現在のビューの短縮リンクを取得します。 3. [重要なイベントの作成] をクリックし、アドホックの重要なイベントを作成するためのダイアログ ボックスを開きます。このマニュアルの「重要なイベント」を参照してください。 データソース アセット調査のダッシュボードのイベントカテゴリには、アセットやホストのフィールドを含む複数のデータモデ ルのイベントが表示されます。時間の選択によっては、選択したアセットのイベントカテゴリで表示するデータが ない場合があります。データモデルサーチが一致するイベントを返さない場合、スイムレーンには「サーチでは結 果が返されませんでした」と表示されます。詳細は、このマニュアルの「ダッシュボードのトラブルシューティン グ」を参照してください。 ID 調査 ID 調査のダッシュボードには、変更の分析やマルウェアなど、事前に定義されたイベントカテゴリの既知または 不明なユーザー ID に関する情報が表示されます。 ID 調査のダッシュボードの使用 ID 調査のダッシュボードでは、環境でのユーザー ID のインタラクションをトリアージできます。 ダッシュボードには複数のイベントカテゴリが含まれ、それぞれが別のスイムレーンに表示されます。それぞれの イベントカテゴリには、データモデルに該当するイベントが含まれています。たとえば、マルウェア攻撃のスイム レーンには、サーチされたユーザー ID や認証情報に限定されたウィルス対策やその他のマルウェア関連のデータ ソースのイベントが表示されます。イベントカテゴリでユーザーのアクションが追跡しやすくなるよう、複数のス イムレーンが一度に表示されます。 このダッシュボードはアドホックサーチにも使用できます。 1. [高度な脅威] > [ID 調査] へと進みます。 2. サーチバーにユーザーの認証情報を入力します。ここではワイルドカードも使えます。 3. 時間範囲を設定して[サーチ] をクリックします。 ID 調査のワークフロー 29 ID 調査のワークフローは、送信元または宛先のネットワークアドレスを持つイベントを表示するダッシュボード のワークフローアクションから開始されます。詳細は、このマニュアルの「ワークフローアクション」を参照して ください。 1. ダッシュボードの上部にある ID の説明を見て、調査対象の ID が表示されていることを確認します。スイム レーンに表示されるすべてのイベントは、選択した ID のものに限定されます。 2. タイムレンジピッカーを使い、全体の時間範囲を必要な部分に絞ります。タイムスライダーを使うと、該当 するイベントの期間やピーク時のイベント件数を分離できます。 3. [編集]メニューからスイムレーンを追加または変更します。たとえば、ユーザーのアクティビティを監視す るために収集された ID 情報を表示するには、選択するコレクションを[デフォルト]から [ユーザーアクティ ビティ] に変更します。 4. 個々のイベントとグループ化されているイベントを確認します。イベントを選択した後はイベントパネルを 使って、個々のイベントまたはグループ化されているイベントの共通のフィールドを調査できます。 5. 共有またはさらに調査したいイベントやパターンがある場合は、イベントパネルで実行できます。 1. [サーチへ移動] をクリックし、選択したイベントのドリルダウンを表示します。 2. [共有] をクリックし、現在のビューの短縮リンクを取得します。 3. [重要なイベントの作成] をクリックし、アドホックの重要なイベントを作成するためのダイアログ ボックスを開きます。このマニュアルの「重要なイベント」を参照してください。 データソース ID 調査のダッシュボードのイベントカテゴリには、ID またはユーザーのフィールドを含む複数のデータモデルの イベントが表示されます。選択した時間によって、ID のイベントカテゴリでデータが表示されない場合がありま す。データモデルサーチが一致するイベントを返さない場合、スイムレーンには「サーチでは結果が返されません でした」と表示されます。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照してく ださい。 スイムレーンの編集 [レーンの編集] のカスタムメニューを開くと、エンティティ調査のダッシュボードからスイムレーンの追加と削除 ができます。エンティティ調査のダッシュボードは、アドオンにバンドルされている、または ES のコンテンツ管 理を使って作成されたカスタムスイムレーンの追加に対応しています。 1. 2. 3. 4. 5. 6. ダッシュボードの上部にある [編集] を選択します。 ラジオボタンで[カスタム]のコレクションを選択します。 チェックボックスにチェックを入れ、ダッシュボードにスイムレーンを追加します。 ダッシュボードからスイムレーンを削除する場合は、チェックボックスからチェックを外します。 スイムレーンの隣にある色を選択して変更できます。 X をクリックすると編集メニューが閉じます。 スイムレーンの順番はダッシュボードで変更できるため、[レーンの編集] メニューは不要です。 1. スイムレーンのカテゴリを選択します。 2. スイムレーンを希望する位置にドラッグアンドドロップします。 アセット調査には、プロトコルインテリジェンスコレクションにオプションで追加できるスイムレーンがありま す。ここでは、パケット分析ツールを使って収集したアセットに関するデータが表示されます。ID 調査に は、ユーザーアクティビティコレクションにオプションで追加できるスイムレーンがあります。ここでは、ID に ついて収集したユーザーアクティビティの監視に関するデータを表示されます。 スイムレーン名 アセットまたは ID のダッ シュボード 説明 すべての認証 両方 認証データモデルのイベントを照合 すべての変更 両方 変更分析データモデルのイベントを照合 脅威リストのアクティビティ 両方 脅威リストデータモデルのイベントを照合 IDS 攻撃 両方 侵入検出データモデルのイベントを照合 マルウェア攻撃 両方 マルウェアデータモデルのイベントを照合 重要なイベント 両方 重要インデックスのイベントを照合 リスク修飾子 両方 リスク分析データモデルのイベントを照合 DNS エラー アセットのみ ネットワーク解決 DNS データモデルのイベ ントを照合 クラウドメール アセットのみ メールデータモデルのイベントを照合 SSL の期限切れ証明書 アセットのみ 証明書データモデルのイベントを照合 HTTP エラー アセットのみ Web データモデルのイベントを照合 30 企業以外のメール ID のみ メールデータモデルのイベントを照合 企業のサイト外への Web アッ プロード ID のみ Web データモデルのイベントを照合 遠隔アクセス ID のみ 認証データモデルのイベントを照合 チケットアクティビティ ID のみ チケット管理データモデルのイベントを照合 監視リストサイト ID のみ Web データモデルのイベントを照合 アセット /ID 調査のダッシュボードのトラブルシューティング アセット/ID 調査のダッシュボードには、それぞれのスイムレーンに指定されているデータモデルのイベントが表 示されます。データモデルサーチが一致するイベントを返さない場合、スイムレーンには「サーチでは結果が返さ れませんでした」と表示されます。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参 照してください。 ユーザーアクティビティの監視 ユーザーアクティビティ ユーザアクティビティのダッシュボードには、ウェブサイトの不審なアクティビティなど、リスクにつながる一般 的なユーザーアクティビティを閲覧できるパネルが表示されます。リスクスコアの集計に関する詳細は、このマ ニュアルの「リスクスコアの集計」を参照してください。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使い、ダッシュボードパネルに表示される結果を整理できます。フィル タは、セキュリティのキーインジケータには適用されません。 フィルタリングの 対象 説明 対処 ユーザー 既知または不明な ID テキストフィールドデフォルトは空白アスタリス ク (*) のあるワイルドカード文字列 ビジネスユニット ID を対象とするグルー プまたは部署の分類 テキストフィールドデフォルトは空白アスタリス ク (*) のあるワイルドカード文字列 監視リストユー ザー 監視される ID を指定 ドロップダウン:フィルタリングの対象を選択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに該当するメトリックスを表示キーイ ンジケータとはサマリー情報のことで、ダッシュボードの上部に表示されま す。このマニュアルの「キーインジケータ」を参照してください。 ユーザーとリスク スコア リスクの高いユーザーの上位 100 名を表示します。インサイダーの脅威で は、挙動に間接的でわずかな変化しか表れません。このパネルでは、組織に とって最大のリスクとなるユーザーに焦点を置くことができます。ドリルダ ウンではID 調査のダッシュボードが開き、選択したユーザーがサーチされま す。 企業のサイト外へ の Web アップ ロード ユーザーによる大量のアップロードとダウンロードを表示します。アップ ロードとダウロードの異常なパターンは、データ漏えいを示唆している場合 がありますドリルダウンではID 調査のダッシュボードが開き、選択したユー ザーがサーチされます。 企業以外のメール アクティビティ 企業以外のドメインと大量のメールアクティビティを実行しているユーザー の上位 100 名を表示します。大量のメールアクティビティのパターンは、 データ漏えいを示唆している場合があります。ドリルダウンではID 調査の ダッシュボードが開き、選択したユーザーがサーチされます。 監視リストサイト のアクティビティ ユーザーによる Web アクセスを表示します。職場のリソースやアセットを 使用しながら Web サイトの特定のカテゴリにアクセスすることは、インサ イダー脅威を示唆している場合があります。ドリルダウンではID 調査のダッ 31 シュボードが開き、選択したユーザーがサーチされます。 遠隔アクセス ユーザーによる遠隔アクセスの認証を表示します。ユーザーが遠隔アクセス サービスを使用しながら、リスクのある Web やメールのアクティビティを 実行していることは、データ漏えいや認証情報の悪用を示唆している場合が あります。ドリルダウンではID 調査のダッシュボードが開き、選択したユー ザーがサーチされます。 チケットアクティ ビティ ユーザーによるチケットアクティビティを表示します。ユーザーが追加サー ビスや内部アクセスを提供するためのチケットを発行しながら、リスクのあ る Web やメールのアクティビティを実行していることは、データ漏えいや 認証情報の悪用を示唆している場合があります。ドリルダウンではID 調査の ダッシュボードが開き、選択したユーザーがサーチされます。 データソース ユーザーアクティビティのダッシュボードのレポートでは、複数のソースのデータフィールドが参照されます。関 連するデータソースには、特定のユーザーを参照するプロキシサーバー、ゲートウェイ、ファイアウォール、その 他のソースが含まれます。ダッシュボードでの表示させるには、 ID リストに新しいルックアップコンテンツと フィールドを追加する必要があります。追加のデータソースのリストについては、このマニュアルの「ダッシュ ボードのトラブルシューティング」を参照してください。 アクセスの異常 アクセスの異常のダッシュボードには、異なるIPアドレスから同時に行われた認証の試みのほか、内部ユーザーの 認証情報や場所に関連するデータを使用した異常な経路による通信が表示されます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。 フィルタリングの 対象 説明 対処 アクション 成功または失敗した認証の 試み ドロップダウン:フィルタリングの対象を選択 App 認証データモデルのアプリ ケーションフィールド ドロップダウン:フィルタリングの対象を選択 ユーザー 既知または不明な ID テキストフィールドデフォルトは空白アスタリ スク (*) のあるワイルドカード文字列 ビジネスユニット ID を対象とするグループ または部署の分類 テキストフィールドデフォルトは空白アスタリ スク (*) のあるワイルドカード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択 ダッシュボードパネル パネル 説明 地理的に異常なア クセス 異常な時間や距離で分離された複数の認証を試みたユーザーを表示します。 地理的に離れた 2 つの場所からの通常のトランスポート方法による移動時間 を下回る時間での認証は、認証情報の悪用を示唆している場合があります。 ドリルダウンでアクセスサーチのダッシュボードを開き、選択したユーザー をサーチします。 同時アプリケー ションアクセス 短時間内にユニークな IP アドレスから複数の認証を試みたユーザーが表示さ れます。この認証のパターンは、認証情報の共有や盗難を示唆している場合 があります。ドリルダウンではアクセスサーチのダッシュボードにページが リダイレクトされ、選択したユーザーがサーチされます。 データソース アクセスの異常のダッシュボードのレポートでは、認証データモデルのデータフィールドが参照されます。関連す るデータソースには、特定のユーザーを参照するプロキシサーバー、ゲートウェイ、ファイアウォール、その他の ソースが含まれます。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照してくださ い。 32 トラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ ボードには何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照 してください。 アセットと ID の相関 セキュリティ上の侵入を効果的に検出するためには、侵入の原因になった、または侵入に影響を受けたと考えられ る特定のアセットや ID とログデータのイベントを相関できなくてはなりません。Splunk Enterprise Security で はアセットと ID の相関システムのデータをインデックスされたイベントと比較することで、強化されたデータと コンテキストが提供されます。 アセットの相関 アセットとは、環境内でデータを生成するすべてのデバイスやシステムを指します。アセット相関では、インデッ クス済みイベントをアセットの定義済みリストと照合できます。一致が発生すると、アセットに紐付けられた新し いフィールドが元のインデックス済みイベントに追加され、アセットの優先度や場所など、イベントの詳細情報を 入手できます。 アセット相関を行うことで下記が可能になります。 分類: アセットに関する情報がイベントに追加されます。 優先順位付け: 割り当てられたアセットの優先度に基づいて、緊急度の計算ができます。 正規化: 複数のイベントが同じデバイスに関連しているかどうかを容易に特定できます。 アセットの特定方法 サーチが返したイベントに セット相関が行われます。 src、dest、host、orig_host または dvcフィールドののいずれかのデータがある場合にア 1. IP アドレス、MAC アドレス、DNS 名、またはWindows の NetBIOS 名の一致がないかどうか、フィール ドのデータが結合されたアセットリストに対して評価されます。 2. 最初の一致が見つかると、その後の一致は無視されます。特定の IP アドレスの照合は、CIDR の照合に優先 して行われます。 3. アセットリストのフィールドはインデックス済みイベントに追加のフィールドとして追加されます。 4. アセットフィールドには「イベントアクション」があり、特定のアセットを対象とする追加のサーチやダッ シュボードを開くことができます。 Enterprise Security へのアセットの追加 アセット情報の収集とその Enterprise Security への追加は、相関サーチ、サーチタスクに対応しているほか、イ ンデックス済みイベントを既知のネットワークデバイスと照合する各機能に対応しています。 厳密に管理されているネットワーク環境では、1 つのデータベースやリポジトリがアセットと ID の唯一の情報源 となる場合があります。ただし、通常これらはさまざまなテクノロジーによる、多くのリポジトリに分散していま す。リポジトリの保守も別々の部門が行っています。推奨されるアセットソースのリストは、このマニュアルの 「アセットと ID のコレクション方法」を参照してください。 アセット情報を収集したら、このマニュアルの「アセットルックアップのフィールド」の説明に従ってアセットの リストの形式を整えます。形式を整えたら、リストを $SPLUNK_HOME/etc/apps/SA-IdentityManagement/lookups に保存し ます。リストをコレクションと処理のために設定する方法は、このマニュアルの「 ID の管理」を参照してくださ い。 アセットルックアップの詳細 アセットルックアップには事前に定義されたフィールドがあります。アセットでは、ip、mac、nt_host または dns のフィールドに入力が必要となります。指定されていない限り、すべてのフィールドに文字列を入力できま す。パイプで区切られたリストを受け付けるフィールドだけは、1 つ以上の値を指定できます。ルックアップファ イルにカスタムフィールドが追加されると、フィールドとその内容は破棄されます。ルックアップファイルの最初 の行はカラムヘッダで、すべてのフィールドを一覧化する必要があります。 アセットルックアップヘッダ ip,mac,nt_host,dns,owner,priority,lat,long,city,country,bunit,category,pci_domain,is_expected,should_timesync,should_update,requires_av アセットルックアップのフィールド デー 33 フィールド タタ イプ 説明 例 ip 数値 単一の IP アドレスまたは IP の範囲アセットで はip、mac、nt_host または dns のフィールドに 入力が必要となります。 2.0.0.0/8、1.2.3.4、 192.168.15.9192.169.15.27 mac 文字 列 MAC アドレスアセットではip、mac、nt_host ま たは dns のフィールドに入力が必要となります。 00:25:bc:42:f4:60 nt_host 文字 列 Windows のマシン名アセットで はip、mac、nt_host または dns のフィールドに 入力が必要となります。 ACME-0005 dns 文字 列 DNS の名前アセットではip、mac、nt_host また は dns のフィールドに入力が必要となります。 acme0005.corp1.acmetech.org owner 文字 列 デバイスに紐付けられたユーザーまたは部署 [email protected]、 DevOps、Bill priority 文字 列 重要なイベントの緊急度を計算するためにデバイス に割り当てられる優先度優先度が「不明」の場合、 デフォルトでは緊急度が低下します。詳細は、この マニュアルの「重要なイベントへの緊急度の割り当 て」を参照してください。 不明、情報的、低、中、高 または重大 lat 文字 列 アセットの経度 41.040855 long 文字 列 アセットの緯度 28.986183 city 文字 列 アセットがある都市 シカゴ (Chicago) country 文字 列 アセットがある国 米国 (USA) bunit 文字 列 アセットのビジネスユニット 欧州・中東・アフリカ (EMEA)、北カリフォルニア (NorCal) category パイ プ区 切り 文字 列 アセットの論理的分類のパイプ区切りリストこのマ ニュアルの「カテゴリ」を参照してください。 server | web_farm | cloud pci_domain パイ プ区 切り 文字 列 PCI ドメインのパイプ区切りリスト PCI_Web | PCI_point_of_sale is_expected 論理 値 このアセットのイベントが常に予測されるかどうか を示します。true に設定すると、アセットがイベン トの報告を中止した時点でアラートが生成されま す。 「true」または「false」を 示す空白 should_timesync 論理 値 このアセットを time-sync イベントを対象に監視す るかどうかを示します。true に設定すると、過去 24 時間にアセットが time-sync イベントを報告し ない場合にアラートが生成されます。 「true」または「false」を 示す空白 should_update 論理 値 このアセットをシステム更新のイベントを対象に監 視するかどうかを示します。 「true」または「false」を 示す空白 requires_av 論理 値 このアセットにウィルス対策ソフトウェアをインス トールする必要があるかどうかを示します。 「true」または「false」を 示す空白 ID の相関 ID とは、デバイスやシステムへのアクセスを付与するためのユーザー、認証情報、ロールを指します。ID 相関で は、インデックス済みイベントをユーザーやシステムアカウントの定義済みリストと照合することができます。一 34 致が発生すると、元のインデックス済みイベントには ID に紐付けられた新しいフィールドが追加され、ID の優先 度、ロール、所属する部署といったイベントの情報を入手できるようになります。 ID 相関を行うことで下記が可能になります。 分類: 個人またはアカウントに関する情報がイベントに追加されます。 優先順位付け: 割り当てられた個人またはアカウントの優先度に基づいて、緊急度の計算ができます。 正規化: 複数のイベントが同一の個人またはアカウントに関連しているかどうかを容易に特定できます。 ID の特定方法 イベントに user または src_user フィールドのデータがある場合は、自動的に ID 相関が行われます。 1. 結合された ID リストに対し、ユーザーやセッションの一致がないかどうか、フィールドのデータが評価さ れます。 2. 最初の一致が見つかると、その後の一致は無視されます。 3. ID リストのフィールドは、追加のフィールドとしてイベントに追加されます。 4. 追加された ID フィールドには「フィールドアクション」があり、特定の ID を対象とする追加のサーチや ダッシュボードを開くことができます。 Enterprise Security への ID の追加 ID 情報の収集とその Enterprise Security への追加は、相関サーチ、サーチタスクに対応しているほか、イン デックス済みイベントをユーザーまたはアカウントと照合する各機能に対応しています。 厳密に管理されているネットワーク環境では、1 つのデータベースやリポジトリがアセットと ID の唯一の情報源 となる場合があります。ただし、通常これらはさまざまなテクノロジーによる、多くのリポジトリに分散していま す。リポジトリの保守も別々の部門が行っています。推奨される ID ソースのリストは、このマニュアルの「ア セットと ID のコレクション方法」を参照してください。 ID に関する情報を収集したら、このマニュアルの「 ID ルックアップフィールド」の説明に従ってリストの形式を 整えます。形式を整えたら、リストを $SPLUNK_HOME/etc/apps/SA-IdentityManagement/lookups に保存します。リストを コレクションと処理のために設定する方法は、このマニュアルの「 ID の管理」を参照してください。 ID ルックアップの詳細 ID ルックアップには事前に定義されたフィールドがあります。必要なのはIDフィールドだけです。指定されてい ない限り、すべてのフィールドに文字列を入力できます。パイプで区切られたリストを受け付けるフィールドだけ は、1 つ以上の値を指定できます。ルックアップファイルにカスタムフィールドが追加されると、フィールドとそ の内容は破棄されます。ルックアップファイルの最初の行はカラムヘッダで、すべてのフィールドを一覧化する必 要があります。 ID ルックアップヘッダ identity,prefix,nick,first,last,suffix,email,phone,phone2,managedBy,priority,bunit,category,watchlist,startDate,endDate,work_city,work_country, ID ルックアップフィールド デー タタ イプ 説明 例 Identity パイ プ区 切り 文字 列 必須 ID を表記するユーザー名文字列のパイ プ区切りのリストこのフィールドの条件の照 合については、このトピックの 「identityLookup.confを使った ID 照合の管 理」を参照してください。 VanHelsing | a.vanhelsing | abraham.vanhelsing | [email protected] | [email protected] prefix 文字 列 ID の敬称 M.D.、Ph.D nick 文字 列 ID のニックネーム Van Helsing first 文字 列 ID のファーストネーム Abraham last 文字 列 ID のラストネーム Van Helsing フィールド suffix 文字 ID の接頭辞 35 suffix 列 ID の接頭辞 email 文字 列 ID のメールアドレス [email protected] phone 文字 列 ID の電話番号 123-456-7890 phone2 文字 列 ID の2つ目の電話番号 012-345-6789 managedBy 文字 列 ID のマネージャーのユーザー名 [email protected] priority 文字 列 ID に割り当てられている優先度 不明、情報的、低、中、高または重大 bunit 文字 列 ID のグループ、部による分類 フィールドサービス代理店 (Field Reps)、欧州・中東・アフリカ (EMEA)、アジア太平洋 (APAC) category パイ プ区 切り 文字 列 ID の論理的分類のパイプ区切りリストこのマ ニュアルの「カテゴリ」を参照してくださ い。 Privileged | Officer | CISO watchlist 論理 値 ID をアクティビティ監視の対象に指定しま す。 許容される値は「true」または空白で す。このマニュアルの「ユーザーアク ティビティの監視」を参照してくださ い。 startDate 文字 列 ID の開始または雇用の日付。 形式: %m/%d/%Y %H:%M、 %m/%d/%y %H:%M、%s endDate 文字 列 ID の終了または解雇の日付。 形式: %m/%d/%Y %H:%M、 %m/%d/%y %H:%M、%s work_city 文字 列 ID の主な勤務地である都市 work_country 文字 列 ID の主な勤務地である国 work_lat 文字 列 ID の主な勤務地の経度を10進数と方位で示 したもの。 37.78N work_long 文字 列 ID の主な勤務地の緯度を10進数と方位で示 したもの。 122.41W identityLookup.confを使った ID 照合の管理 identityLookup.conf に設定できます。 を使って、部分一致や照合の順序の優先度の設定などの追加のオプションを ID リストの照合 [ID] フィールドでは、照合に使用する複数のパイプ区切り文字列をソートできます。LDAP などのソースから データをインポートする場合は、ログイン名とメールアドレスのフィールドから ID レコードが作成されます。こ れらのフィールドは条件を指定した照合で使用でき、identityLookup.conf の設定を変更することで、ID の照合を可 能するためのその他のユニークな組み合わせに並べ替えることができます。追加された結果 は、identities_expanded ルックアップの [ID] フィールドに保存されます。 オプションの説明はSA-IdentityManagement/README/identityLookup.conf.spec を確認します。 たとえば、SA-IdentityManagement/README/identityLookup.conf.example を参照します。 アセットと ID の管理 セキュリティ上の侵入を効果的に検出するためには、侵入の原因になった、または侵入に影響を受けたと考えられ る特定のアセットや ID とログデータのイベントを相関できなくてはなりません。Splunk Enterprise Security で は、アセット/ID システムを使ってアセットと ID の情報をイベントを相関させることで、詳細なデータとコンテ キストが提供されます。このシステムは外部のデータソースから情報を取得し、サーチ時にイベントと照合される ルックアップに追加します。 ID 管理のダッシュボード 36 アセットと ID のルックアップは ID 管理の設定ダッシュボードで管理されます。[設定] > [データ強化] へと進 み、[ID 管理] を選択して設定されているアセットと ID のリストを確認します。 フィールド 説明 Name リストの記述名リンクを選択するとID 管理設定のページが開き、選択したリストの設定が表示 されます。 Category リストの説明カテゴリの名前 Description 内容の説明 タイプ ルックアップをアセットまたはIDのリストとして指定 Source リストのルックアップ定義名リンクを選択するとルックアップの編集のページが開き、選択した リストの内容が表示されます。 Status 有効または無効ステータスを変更すると、次に予定されている時刻に結合が実行されます。 Actions クローンを選択するとID 管理設定のページが開き、選択したリストの重複情報が表示されま す。 既存のアセットまたは ID リストの編集 ID 管理からアセットや ID のリストを編集します。 1. [設定] > [データ強化]へと進み、 [ID 管理]を選択します。Enterprise Security のアセットと ID のファイ ルのリストが表示されます。 2. 編集するアセットまたは ID の名前を特定し、[ソース] を選択します。リストが対話形式のエディタで開き ます。 3. スクロールバーを使ってテーブルの行と列を表示します。セルをダブルクリックすると、内容の追加、変 更、削除ができます。 4. 完了したら[保存] をクリックします。 リスト/ルックアップ のルックアップエディタを使って、既存のリストを編集することもできます。 1. [設定] > [データ強化]へと進み、 [リスト/ルックアップ]をクリックします。 2. 編集するリストの名前を選択します。リストが対話形式のエディタで開きます。 3. スクロールバーを使ってテーブルの行と列を表示します。セルをダブルクリックすると、内容の追加、変 更、削除ができます。 4. 完了したら[保存] をクリックします。 アセットまたは ID リストの変更は、次に予定されている結合の後からサーチ結果に反映されます。アセットと ID のリストの結合についての詳細は、このトピックの「アセットと ID のリストの結合」を参照してください。 アセットデータの追加 アセットとは、環境内でデータを生成するすべてのデバイスやシステムを指します。アセット相関では、インデッ クス済みイベントをアセットの定義済みリストと照合できます。一致が発生すると、アセットに紐付けられた新し いフィールドが元のインデックス済みイベントに追加され、アセットの優先度や場所など、イベントの詳細情報を 入手できます。 アセットリストでは、アセットの優先度、所有者、ビジネスユニット、地理的な場所、アセットの DNS や Windows のマシンなど、システムのデバイスに関する外部情報が提供されます。経度、緯度、優先度 など、一 部のフィールドはダッシュボードのグラフで使用されます。ビジネスユニットやカテゴリなどのその他のフィール ドは、さまざまなドメインのダッシュボードの上部にあるフィルタで使用されます。例が含まれるアセットフィー ルドの概要については、このマニュアルの「アセット相関」を参照してください。 Splunk Enterprise Security へのアセットソースの追加: 1. 2. 3. 4. ソースからのアセットデータの抽出 データをアセットルックアップの形式に整形します アセットリストの入力を設定します。 アセットリストを結合します。 ソースからのアセットデータの抽出 ES にアセット情報を追加するために最も多く選択されている方法は、既存のアセットデータベースから自動的に データを取得する方法です。考えられるアセットソースのリストとデータ収集の方法は、このマニュアルの「ア セットと ID のコレクション方法」を参照してください。 Splunk プラットフォームでインデックスされているイベントからアセットデータを抽出する例については、この 37 トピックの「インデックス済みイベントからのアセット情報の追加」を参照してください。 手動でアセットリストにデータを追加するには、このトピックの「静的アセットと ID 情報」を参照してくださ い。 データをアセットルックアップとしてフォーマット アセットリストのフィールドと値の一覧は、このマニュアルの「アセットルックアップのフィールド」を参照して ください。最終的なファイルは Unix が行末のプレーンテキストの csv 形式のファイルで、ファイル名の拡張子 を .csv にする必要があります。 アセットリストの例としては、SA-IdentityManagement/package/lookups の てください。 demo_assets.csv.default ファイルを参照し マルチホームホストの定義 アセットリストにマルチホームホストやデバイスを追加する場合は、それぞれのIPアドレスを同じ DNS 名を持つ ユニークなレコードとして定義します。結合プロセスは、アセットリストの単一のレコードとしてのマルチホーム ホストの定義に対応していません。 アセットリストの入力の設定 このトピックの「新しいアセットまたは ID のリストの設定」を参照してください。 アセットリストの結合 このトピックの「アセットまたは ID のリストの結合」を参照してください。 ID データの追加 ID とは、デバイスやシステムへのアクセスを付与するためのユーザー、認証情報、ロールを指します。ID 相関で は、インデックス済みイベントをユーザーやシステムアカウントの定義済みリストと照合することができます。一 致が発生すると、元のインデックス済みイベントには ID に紐付けられた新しいフィールドが追加され、ID の優先 度、ロール、所属する部署といったイベントの情報を入手できるようになります。 Splunk Enterprise Security で使用する ID ソースの追加: 1. 2. 3. 4. ソースからの ID データの抽出 データを ID ルックアップの形式に整形します ID リストの入力を設定します。 ID リストを結合します。 ID リストでは、スクリーンやログインの名前、氏名、メールアドレスなど、システムのユーザーに関する情報が 提供されます。priority、watchlist、endDate などの一部のフィールドは、ダッシュボードのグラフのほか、 ID に 紐付けられた重要なイベントの緊急度の計算に使われます。ビジネスユニットやカテゴリなどのその他のフィール ドは、ドメインのダッシュボードの上部にあるフィルタで使用されます。 ソースからの ID データの抽出 ES に ID 情報を追加するために最も多く選択されている方法は、既存の ID データベースから自動的にデータを取 得する方法です。考えられる ID ソースのリストとデータ収集の方法は、このマニュアルの「アセットと ID のコ レクション方法」を参照してください。 手動で ID リストにデータを入力するには、このトピックの「静的アセットと ID 情報」を参照してください。 データを ID ルックアップとしてフォーマット ID リストのフィールドと値の一覧については、このマニュアルの「 ID ルックアップのフィールド」を参照してく ださい。最終的なファイルは Unix が行末のプレーンテキストの csv 形式のファイルで、ファイル名の拡張子を .csv にする必要があります。 ID リストの例としては、SA-IdentityManagement/package/lookups にある してください。 demo_identities.csv.default ID リストの入力の設定 このトピックの「新しいアセットまたは ID のリストの設定」を参照してください。 ID リストの結合 このトピックの「アセットと ID のリストの結合」を参照してください。 38 ファイルを参照 新しいアセットまたは ID のリストの設定 1. 新しいルックアップテーブルファイルを設定してアップロードします。 1. [設定] > [ルックアップ] > [ルックアップテーブルファイル] へと進みます。 2. [新規追加] を選択します。 3. SA-IdentityManagement の [宛先 App] を選択します。 4. アップロードするルックアップファイルを選択します。ファイルは Unix が行末のプレーンテキストの csv 形式のファイルで、ファイル名の拡張子を .csv にする必要があります。例: network_assets_from_CMDB.csv 2. 3. 4. 5. 6. 5. 宛先のファイル名を入力します。このルックアップテーブルファイルの Splunk サーバー上での名前を 入力します。名前にはファイル名の拡張子「 .csv 」を含める必要があります。 例:network_assets_from_CMDB.csv 6. 保存します。 ルックアップテーブルファイルの権限を設定します。 1. ルックアップテーブルファイルで新しいルックアップを特定し、[権限] を選択します。 2. [オブジェクトの表示先] を [すべての App] に設定します。 3. 読み取り権限を[全員] に設定します。 4. 書き込み権限を admin などのロールに設定します。『インストールとアップグレード 』マニュアルの 「ロールへの権限の追加」を参照してください。 5. 保存します。 新しいルックアップの定義を追加します。 1. [設定] > [ルックアップ] > [ルックアップ定義] へと進みます。 2. [新規追加]を選択します。 3. SA-IdentityManagement の [宛先 App] を選択します。 4. ルックアップソースに名前を付けます。ここで指定する名前は、ID 管理の入力スタンザの定義で使用 されている名前でなければなりません。例: network_assets_from_CMDB 5. [ファイルベース]の[タイプ] を選択します。 6. 作成されたルックアップテーブルファイルを選択します。例: network_assets_from_CMDB.csv 7. 保存します。 ルックアップ定義で権限を設定します。 1. ルックアップ定義で、名前から新しい定義を特定し、[権限] を選択します。 2. [オブジェクトの表示先] を [すべての App] に設定します。 3. 読み取り権限を[全員] に設定します。 4. 書き込み権限を admin などのロールに設定します。『インストールとアップグレード 』マニュアルの 「ロールへの権限の追加」を参照してください。 5. 保存します。 新しいソースの入力スタンザを追加します。 1. [設定] > [ID 管理] > [ID マネージャー] へと進みます。 2. [新規] を選択します。 3. リストに関する情報をID 管理設定のフィールドに追加します。新しいソース入力の必須フィールドに 入力します。 4. カテゴリに新しいアセットまたは ID リストの記述名を指定します。たとえば、 「CMDB_network_assets」などです。 5. 内容の説明を追加します。 6. タイプを「asset」または「identity」に設定します。たとえば、「asset」とします。 7. ルックアップ定義の名前をソースに指定します。例:lookup://network_assets_from_CMDB 8. 保存します。 新しいルックアップにもとづくソースがインポートできたか確認します。このトピックの「アセットと ID の機能検証」を参照してください。 アセットと ID リストの結合 ID 管理にある設定済みで有効なすべてのアセットと ID のリストは、5分ごとに実行されるモジュール入力によっ て結合されます。 アセット相関ではファイルが結合され、10 個の拡張相互参照ルックアップファイルが作成されます。イベントに src、dest, host、orig_host、dvc のフィールドが含まれる場合は、2つの比較が行われます。1 つは、文字列の照合 を使用するアセットテーブルの値にフィールドの値が対応するかを確認するもので、もう 1 つは CIDR サブネッ トの照合を使用するアセットテーブルの値にフィールドの値が対応するかを確認するものです。 ID 相関ではルックアップファイルが結合され、2 つの拡張ルックアップファイルが作成されます。イベントにuser と src_user のフィールドが含まれる場合は、フィールドの値が ID テーブルの値に対応するかを確認するための比 較が行われます。 機能 文字列ベースのアセット テーブル名 ルックアップ名 LOOKUPzu_asset_lookup_host_as_str_only LOOKUPzu_asset_lookup_orig_host_as_str_only LOOKUP- assets_by_str.csv 39 assets_by_str.csv 相関 zu_asset_lookup_src_as_str_only LOOKUPzu_asset_lookup_dest_as_str_only LOOKUPzu_asset_lookup_dvc_as_str_only CIDR サブネットベース のアセット相関 assets_by_cidr.csv LOOKUPzv_asset_lookup_host_as_cidr_only LOOKUPzv_asset_lookup_orig_host_as_cidr_only LOOKUPzv_asset_lookup_src_as_cidr_only LOOKUPzv_asset_lookup_dest_as_cidr_only LOOKUPzv_asset_lookup_dvc_as_cidr_only 文字列ベースの ID 相関 identities_expanded.csv LOOKUPzy_identity_lookup_src_user_only LOOKUP-zy_identity_lookup_user_only デフォルトのフィールド 相関 asset_identity_lookup_default_fields .csv LOOKUP-zzasset_identity_lookup_default_fields ES のアセットと ID の相関実行する自動ルックアップは SA-IdentityManagement app にあり、SAIdentityManagement/default/props.conf ファイルで定義されています。すべてのアセットと ID ルックアップファイ ルは次のパスに保管されます:$SPLUNK_HOME/etc/apps/SA-IdentityManagement/lookups/ アセットと ID のルックアップはシステムのすべてのサーチに適用され、ソースやソースタイプは対象としませ ん。 結合の強制 アセットと ID リストの更新を即時に確認して結合するには、CLI からモジュール入力を実行します。CLI から入 力スクリプトを呼び出すには $SPLUNK_HOME の環境変数を設定する必要があります。そのためには下記を実行しま す。 *nix の場合は:source Windows の場合: /opt/splunk/bin/setSplunkEnv splunk.exe envvars > setSplunkEnv.bat & setSplunkEnv.bat 結合を実行します: $SPLUNK_HOME/bin/splunk cmd splunkd print-modinput-config identity_manager | $SPLUNK_HOME/bin/python $SPLUNK_HOME/etc/apps/SA-IdentityManagement/bin/identity_manager.py --username=admin 認証情報が必要です。定義されている--usernameにパスワードを入力するよう要求されます。 ID マネージャ入力が起動すると、有効なルックアップが評価され、変更が確認されます。最後の実行からどの ルックアップも変更されていない場合は、 ID マネージャ入力は結合されたルックアップファイルを再生成しませ ん。 次回にアセットと ID リストの結合を強制するには、CLI から modinputs フォルダのファイル作成を実行しま す。 touch $SPLUNK_DB/var/lib/modinputs/identity_manager/force_asset touch $SPLUNK_DB/var/lib/modinputs/identity_manager/force_identity ID 管理にあるアセットまたは ID のリストの有効化、無効化、設定の変更により、次の予定時刻に結合が実行さ れます。 結合プロセスの確認 拡張プロセスが完了したかどうかを確認するには、_internal インデックスをサーチします。 最後に結合が発生した時刻を表示するには: index=_internal source=*python_modular_input.log "Updated: target lookup table" 結合の必要ないイベントの連続追加を表示するには: index=_internal source=*python_modular_input.log "Updated: target lookup table" OR "No merging required" 最も多い失敗の理由は、アセットまたは ID のルックアップファイルの形式が正しくないか、データが無効の場合 です。 40 注意: 結合プロセスは新しい入力を 5 分ごとに確認しますが、アセットまたは ID のテーブルに変更がない限り何 も行いません。アセットと ID リストで内容を強制的に結合するには、ルックアップテーブルを新しい情報で更新 するか、ID 管理にあるリストを有効または無効にします。 アセットと ID の機能の検証 サーチを使ってアセットルックアップをテストするには、アセットリストから フィールドにデータがあるレコードを選択してサーチします。 ip、mac、nt_host または dns の | stats count | eval src="1.2.3.4" | `get_asset(src)` ダッシュボードを使って使用可能なアセットを確認するには、[セキュリティドメイン] > [ID] > [アセットセン ター] へと進みます。詳細は、このマニュアルの「アセットセンターのダッシュボード」を参照してください。 サーチを使って ID ルックアップをテストするには、ID のリストからいずれかのレコードの ドを選択してサーチします。 identity のフィール | stats count | eval user="VanHelsing" | `get_identity4events(user)` ダッシュボードを使って使用可能な ID を確認するには、[セキュリティドメイン] > [ID] > [ID センター] へと 進みます。詳細は、このマニュアルの「ID センターのダッシュボード」を参照してください。 サーチコマンドを使ってすべての使用可能なアセットを表示するには: | `assets` サーチコマンドを使ってすべての使用可能なアセットを閲覧するには:|`datamodel("Identity_Management", "All_Assets")` |`drop_dm_object_name("All_Assets")` アセットと ID の更新 組織のアセットと ID の情報は頻繁に変更されるため、これらのリストを自動で更新することが最善策です。この 場合、手動の更新で必要になるオーバーヘッドや保守を削減できるほか、データの整合性も向上します。これには いくつかの方法があります。 DBConnect や他の Splunk プラットフォームのアドオンを使って、外部のデータベースやレポジトリと接 続します。 スクリプト入力でリストをインポートしてフォーマットします。 Splunk プラットフォームのサーチでインデックスされたイベントを使ってデータの収集とソートを行い、 リストにエクスポートします。 静的なアセットと ID の情報 「static_assets」と「static_identities」リストを編集し、新しいアセットまたは ID の情報を手動で挿入しま す。 1. [設定] > [データ強化]へと進み、 [リスト/ルックアップ]をクリックします。 2. 「static_assets」または「static_identities」リストを選択します。リストが対話形式のエディタで開きま す。 3. スクロールバーを使ってテーブルの行と列を表示します。セルをダブルクリックすると、内容の追加、変 更、削除ができます。 4. 完了したら[保存] をクリックします。 アセットと ID のコレクション方法 アセットまたは ID の情報のコレクションでは、Splunk プラットフォームのアドオンを使用することが推奨され ます。データコレクションのために外部システムへの接続を自動化できるアドオンがたくさんあります。 Enterprise Security に接続して、データの収集と返送を実行するアドオンを使用します。 アセットと ID の推奨されるコレクション方法 テクノロジー アセット または ID コレクション方法 Active Directory 両方 SA-ldapsearch とカスタムサーチ例は、このトピックの「Active DIrectory からの ID 情報の追加」を参照してください。 LDAP 両方 SA-ldapsearch とカスタムサーチ CMDB アセット DB Connect とカスタムサーチ ServiceNow 両方 Splunk Add-on for ServiceNow Asset Discovery アセット Asset Discovery App Bit9 アセット Splunk Add-on for Bit9 とカスタムサーチ 41 Cisco ISE 両方 Splunk Add-on for Cisco ISE とカスタムサーチ Microsoft SCOM アセット Splunk Add-on for Microsoft SCOM とカスタムサーチ Okta ID Splunk Add-on for Okta とカスタムサーチ Sophos アセット Splunk Add-on for Sophos とカスタムサーチ Symantec Endpoint Protection アセット Splunk Add-on for Symantec Endpoint Protection とカスタムサーチ Active Directory からの情報の追加 1. Splunk Support for Active Directory App をインストールして設定します。 2. アセットまたは ID の情報のソースとしてルックアップファイルを作成して追加します。詳細は「新しいア セットまたは ID のリストのロード」を参照してください。このルックアップファイルの設定は、Active Directoryの情報をルックアップテーブルファイルに挿入する保存済みサーチに適用されます。Active Directory の統合をテストする際は、ID マネージャーのモジュール入力による不要な結合を避けるため、新 しいルックアップファイルの設定を無効にすることが推奨されます。 3. SA-ldapsearch で提供されている "ldapsearch" コマンドを使い、Active Directory (AD) をポーリングして 結果をファイルに保存するサーチを構築します。このサーチの構文は AD の設定によって異なります。 ID コレクションの例: |ldapsearch domain=<domain_name> search="(&(objectclass=user)(!(objectClass=computer)))" |makemv userAccountControl |search userAccountControl="NORMAL_ACCOUNT" |eval suffix="" |eval priority="medium" |eval category="normal" |eval watchlist="false" |eval endDate="" |table sAMAccountName,personalTitle,displayName,givenName,sn,suffix,mail,telephoneNumber,mobile,manager,priority,department,category,watchlist,whenCre |rename sAMAccountName as identity, personalTitle as prefix, displayName as nick, givenName as first, sn as last, mail as email, telephoneNumber as phone, mobile as phone2, manager as managedBy, department as bunit, whenCreated as startDate |outputlookup my_identity_lookup 注意: このサーチは "suffix"、"endDate"、"category"、"watchlist"、"priority" に静的な値を割り当てます。サーチの 構築とテストが完了すると、静的な値を AD の情報に差し替えることができます。 アセットコレクションの例: |ldapsearch domain=<domain name> search="(&(objectClass=computer))" |eval city="" |eval country="" |eval priority="medium" |eval category="normal" |eval dns=dNSHostName |eval owner=managedBy |rex field=sAMAccountName mode=sed "s/\$//g" |eval nt_host=sAMAccountName |makemv delim="," dn |rex field=dn "(OU|CN)\=(?<org>.+)" |table ip,mac,nt_host,dns,owner,priority,lat,long,city,country,bunit,category,pci_domain,is_expected,should_timesync,should_update,requires_av | outputlookup create_empty=false createinapp=true my_asset_lookup 注意: このサーチはいくつかのフィールドに静的な値を割り当てます。サーチの構築とテストが完了すると、静的 な値を AD の情報に差し替えることができます。 インデックス済みイベントへのアセット情報の追加 サーチコマンドを使用して、Splunk プラットフォームと通信するホストを既存のアセット情報と比較できます。 一致しないホストのテーブルを見直し、アセットのリストとしてエクスポートできます。例: | `host_eventcount` | search host_is_expected=false NOT host_asset_id=* | fields - firstTime,recentTime,lastTime,_time, host_owner_*,host_asset_tag,host_asset_id | sort -totalCount,dayDiff | table 42 host,ip,mac,nt_host,dns,owner,priority,lat,long,city,country,bunit,category,pci_domain,is_expected,should_timesync,should_update,requires_av アクセスとエンドポイントのドメイン アクセスのダッシュボード アクセス保護のドメインでは、組織内のネットワークデバイス、エンドポイント、アプリケーションでの認証の試 みが監視されます。アクセス保護は不正な認証の試みを検出したり、権限の有無を問わず、ユーザーがアクセスし たシステムを特定するのに役立ちます。 アクセスセンターのダッシュボード アクセスセンターではすべての認証イベントのサマリーが提供されます。このサマリーは、ブルートフォース攻撃 やクリアテキストパスワード使用など、認証の試みに関係するセキュリティインシデントの特定や、営業時間外の 特定のシステムでの認証の検出に役立ちます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリ ングの対象 説明 対処 アクション 認証の成功または失敗に基づいてフィルタリング ドロップダウン:フィ ルタリングの対象を選 択 App 認証アプリケーションに基づいてフィルタリング ドロップダウン:フィ ルタリングの対象を選 択 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 特別なアク セス 特権アクセスに関連するイベントにビューを限定このト ピックの「特権アカウントの設定」を参照してくださ い。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 アクションごとの アクセスの推移 アクションごとに認証イベント件数の推移を表示します。 App ごとのアク セスの推移 App ごとに認証イベント件数の推移を表示します。たとえば、"win:local" は Windows システムで実行されるローカル認証、"win:remote" はリモートの API アクセスを指します。 ソースごとの上位 アクセス 上位のアクセス件数のテーブルをソースごとに表示します。強引な認証の試 みでは過剰な認証の要求が示されるため、このテーブルはブルートフォース 攻撃の検出に役立ちます。 ユニークユーザー ごとの上位アクセ ス 上位の認証イベントを生成しているソースのテーブルをカウントごとに表示 します。 アクセストラッカーのダッシュボード 43 アクセストラッカーのダッシュボードでは、アカウントのステータスの概要が提供されます。この情報を使って、 新しく有効または無効になったアカウントのほか、しばらく無効であったものの最近有効になったアカウントを追 跡できます。また、ユーザーの退職時に正しく廃止または無効化されなかったアカウントも発見できます。 無効なアカウントや不適切に使用されているアカウントは攻撃を受けやすいため、このダッシュボードを定期的に 確認することをお勧めします。また、不審なアカウントの特定やユーザーアクセスの入念な調査にもこのダッシュ ボードを活用できます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 最初のアクセス 過去 7 日間 ユーザーと宛先ごとに、新しいアカウントによるアクセスを表示します。 無効アカウントの 使用 - 過去 90 日 間 しばらく無効であったものの、最近アクティビティが確認されたアカウント を表示します。 完全に無効なアカ ウント - 過去 90 日間 アクティビティが確認されないアカウントを表示します。このパネルは、停 止または削除すべきアカウントを特定するために使います。一定の期間が経 過したパスワードを変更する方針を採用している場合、その期間後にアク ティビティが確認されないアカウントは無効として認識されます。 このパネルには、アカウントの閉鎖や廃止に関する方針の有効性も表示され ます。多くのアカウントが表示される場合は、プロセスを見直す必要がある 場合もあります。 期限切れ ID のア カウントの使用 過去 7 日間 指定された期間、停止されているアカウントのアクティビティを表示しま す。このパネルでは、無効にすべきアカウントが使用されていないかどうか を検証します。 アクセスサーチのダッシュボード アクセスサーチのダッシュボードは、特定の認証イベントを発見するために使用します。このダッシュボードは認 証データのアドホックサーチで使用します。また、アクセスの異常のダッシュボードパネルで使用されるドリルダ ウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] を クリックした場合を除き、[アクセスサーチ] のページには結果が表示されません。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリ ングの対象 説明 対処 アクション 認証の成功または失敗に基づいてフィルタリング ドロップダウン:フィルタ リングの対象を選択 App 認証アプリケーションに基づいてフィルタリング ドロップダウン:フィルタ リングの対象を選択 44 ソース ソースフィールド 字列 宛先 宛先フィールド 列 ユーザー ユーザーフィールド 文字列 時間範囲 表示する時間範囲を選択 src dest が一致しなければならない文 が一致しなければならない文字 user が一致しなければならない テキストフィールドデフォ ルトは空白アスタリスク (*) のあるワイルドカード 文字列 テキストフィールドデフォ ルトは空白アスタリスク (*) のあるワイルドカード 文字列 テキストフィールドデフォ ルトは空白アスタリスク (*) のあるワイルドカード 文字列 ドロップダウン:フィルタ リングの対象を選択 アカウント管理のダッシュボード アカウント管理のダッシュボードには、アカウントのロックアウト、新しく作成されたアカウント、無効にされた アカウント、パスワードのリセットなど、ユーザーアカウントの変更が表示されます。このダッシュボードでは、 アカウントが正しく管理されていること、アカウントの管理権限が適切に制限されていることを確認できます。ア カウントの作成、変更、削除の件数の急増は、悪意ある挙動や不正なシステムを示唆している場合があります。ま た、アカウントのロックアウトが多数発生している場合は、攻撃の可能性があります。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 特別なアカ ウント 特権アクセスに関連するイベントにビューを限定このト ピックの「特権アカウントの設定」を参照してくださ い。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 アカウント管理の 推移 すべてのアカウント管理のイベントの推移を表示します。 アカウントのロッ クアウト アカウントごとの認証の試みの件数など、アカウントのロックアウトを表示 します。 ソースユーザーご とのアカウント管 理 ソースユーザーごとに全体的なアカウント管理のアクティビティを追跡し、 アカウント管理のイベントが最も多いソースユーザーを表示します。ソース ユーザーとは、アカウント管理のイベント実行したユーザーであり、イベン トの影響を受けたユーザーではありません。たとえば、ユーザー "Friday.Adams" が "Martha.Washington" アカウントを作成した場合、ソー スユーザーは "Friday.Adams" になります。 このパネルは、他のアカウントを管理すべきでないアカウントを特定するの に役立ち、大量のアカウントの削除など、急増するアカウント管理のイベン 45 トが表示されます。 上位のアカウント 管理のイベント 指定した期間の頻繁な管理のイベントを表示します。 デフォルトのアカウントアクティビティのダッシュボード デフォルトのアカウントアクティビティのダッシュボードには、ネットワークインフラのデバイス、データベー ス、アプリケーションなど、さまざまなシステムでデフォルトで有効になっている「デフォルトアカウント」のア クティビティが表示されます。デフォルトアカウントには周知のパスワードが設定され、多くの場合システムのデ プロイ時には適切に無効化されません。 多くのセキュリティ方針では、デフォルトアカウントの無効化が要求されます。場合によっては、デフォルトアカ ウントの使用を監視または調査する必要があるかもしれません。デフォルトアカウントのパスワードが使用前に変 更されているのを確認することが重要です。デフォルトアカウントからの異常、または逸脱した挙動は、セキュリ ティの脅威や方針の違反を示唆している場合があります。このダッシュボードでは、デフォルトアカウントに関す るセキュリティ方針が適切に守られているかどうかを確認できます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードのパネル パネル 説明 App ごとのデフォルトア カウントの使用の推移 選択した期間内のすべてのシステムとアプリケーションでのデフォルトアカウント のアクティビティをアプリケーションごとに表示できます。例:sshd や ftpdアプ リケーションのアカウントでは、成功したログインの件数と最後のログインが試み られたの時刻が表示されます。このグラフを使って、セキュリティインシデントの 可能性があるデフォルトアカウントのログインの急増をアプリケーションごとに特 定したり、特定のアプリケーションでデフォルトアカウントの使用が日常的なのも のであるか、または稀なものであるかを確認できます。 使用中のデフォルトアカ ウント 異なるホストから多数のログインの試みがあるデフォルトのユーザーアカウントと 最後のログインの試みを表示できます。セキュリティの脅威の可能性があるデフォ ルトアカウントの異常なアクティビティまた、デフォルトアカウントの挙動をセ キュリティ方針に一致させることにも役立ちます。 デフォルトのローカルア カウント 「休止中」のアカウントなど、組織のシステムで使用されているすべてのデフォル トアカウントを一覧化できます。ここでは実際に使用されているかどうかを問わ ず、使用可能なすべてのアカウントが表示されます。たとえばホストでのユーザー リストの検証などによって、ローカルシステムで検出されたアカウントだけがこの 一覧に含まれます。 特権アカウントの設定 root や administrator アカウントなど、管理者やスーパーユーザーの権限を持つアカウントは特権アカウントと みなされます。このアカウントのリストは管理 IDのルックアップで設定できます。 1. [設定] > [データ強化] > [リスト/ルックアップ]へと進み、管理 IDのルックアップを選択します。 2. このリストでは、デフォルトの特権アカウントが default|privileged として分類されます。フィールドを 選択して変更を入力します。 46 アクセスのダッシュボードでのトラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ ボードには何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照 してください。 エンドポイントのダッシュボード エンドポイント保護のドメインでは、ウィルス、ワーム、スパイウェア、攻撃ツール、アドウェア、PUP (不審な プログラム) を含むマルウェアイベントのほか、エンドポイント保護のデプロイに関する詳細が提供されます。 マルウェアセンターのダッシュボード マルウェアセンターは環境でのマルウェア拡散の特定に役立ちます。ここでは Splunk が収集したデータに基づい て、環境でのマルウェアイベントのステータスとその推移が表示されます。 マルウェアサーチを使ってマルウェアイベントを直接サーチしたり、グラフ要素やテーブルの行をクリックして raw イベントを表示できます。この機能の詳細は、「ダッシュボードのドリルダウン」を参照してください。新 しいデータ入力は[設定]メニューから設定できます。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 対処 アクション すべて、許可、ブロック、保留 ドロップダウン:フィ ルタリングの対象を選 択 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーインジケー タ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッシュボードの上部 にあるキーインジケータにはサマリー情報が表示されます。このマニュアルの「キーインジ ケータ」を参照してください。 アクションごと のマルウェアア クティビティの 推移 指定した期間に検出されたすべてのマルウェアをアクション (許可、ブロック、保留) ごとに 表示できます。このグラフは、マルウェアの感染が過剰に許可されていないかどうかを検出 するために使用します。 シグネチャごと のマルウェアア クティビティの 推移 指定した期間に検出されたすべてのマルウェアをシグネチャごとに表示できます。 Mal/Packer、LeakTest、EICAR-AV-Test、TROJ_JAVA.BYなどがシグネチャの例です。この グラフは、どの感染が環境内で優勢になっているかを検出するために使用します。 上位の感染 環境内の上位の感染をシグネチャごとに棒グラフで表示します。このパネルは特定のタイプ のマルウェアの拡散を特定するのに役立ちます。 ネットワーク上で過去 30 日間に検出された新しいマルウェアを表示します。検出されたマ 新しいマルウェ ルウェアのシグネチャごとに、最初に検出された日付と時刻、感染の総数が表示されます。 ア - 過去 30 日間 最初の感染は拡散の可能性が高いと考えられます。 マルウェアサーチのダッシュボード マルウェアサーチのダッシュボードは、マルウェア関連のイベントをサーチフィルタで定義される基準に基づいて サーチするのに役立ちます。このダッシュボードはマルウェアデータのアドホックサーチで使用します。また、マ ルウェアセンターのダッシュボードパネルで使用されるドリルダウンサーチの第一の宛先でもあります。 47 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、マルウェアサーチのダッシュボードには結果が表示されません。 フィルタリ ングの対象 説明 対処 アクション マルウェアに対するアクション (許可、ブ ロック、保留) ごとにフィルタリング ドロップダウン:フィルタリングの 対象を選択 シグネチャ シグネチャ照合によってマルウェアをフィ ルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 ファイル ファイル名でフィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 宛先 エンドポイントシステムでフィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 ユーザー ユーザー名でフィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 マルウェア操作のダッシュボード マルウェア操作のダッシュボードでは、環境内にデプロイされているエンドポイント保護製品のステータスを追跡 できます。また、システムの全体的な健全性を把握できるほか、エンドポイント保護ソフトウェアの更新や変更が 必要なシステムも特定できます。さらに、エンドポイント保護インフラの管理状態も確認できます。 グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。新しいデータ入力は[設定]メニューから設定できます。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッシュボードの上部 にあるキーインジケータにはサマリー情報が表示されます。このマニュアルの「キーインジ ケータ」を参照してください。 製品バージョンご とのクライアント インストールされているエンドポイント保護製品のバージョンごとにクライアントの件数を 棒グラフで表示します。 シグネチャのバー ジョンごとのクラ イアント シグネチャのバージョンごとにクライアントの件数を棒グラフで表示します。 感染の再発 再発しているマルウェア感染を表示します。シグネチャ、宛先、アクション、日数でソート します。 48 環境内で最も古いマルウェア感染を表示します。感染が検出された日付 (最初または最後の 日)、シグネチャ、宛先ホスト (感染しているシステム)、感染している日数でソートしま す。 最も古い感染 システムセンターのダッシュボード システムセンターのダッシュボードには、デプロイされているウイルス対策やホストベースの IDS システムが報 告する情報以外のエンドポイントに関する情報が表示されます。ここでは、Splunk が収集したエンドポイントの 統計値と情報が報告されます。メモリ使用量、CPU 使用量、ディスク使用量などのホストのパフォーマンス測定 基準やシステム設定は、このダッシュボードに表示されます。 グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。新しいデータ入力は[設定]メニューから設定できます。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 対処 宛先 影響を受けているエンドポイントシステムのホスト名 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 オペレーティング システム ネットワークにデプロイされているオペレーティングシステムを表示します。このグラフで は、環境に存在すべきでないオペレーティングシステムを検出できます。 システムごとの上 位平均 CPU 負荷 ネットワーク上で CPU の平均負荷が高いシステムを表示します。 システムの件数ご とのサービス システムの件数の順にサービスを表示します。 システムの件数ご とのポート システムの件数の順にトランスポート方法 (tcpなど) と宛先ポートを表示します。 注意: システムセンターのダッシュボードに誤ったデータや欠損データが表示される場合は、このダッシュボード にデータを送信するテクノロジーアドオンがフルフォワーダーにインストールされているかどうかを確認してくだ さい。データーのパーシングに関するナレッジが含まれるテクノロジーアドオンは、フルフォワーダーにインス トールする必要があります。 タイムセンターのダッシュボード タイムセンターのダッシュボードでは時計の同期が正しくないホストが特定されるため、データの整合性を維持す ることに役立ちます。 時計が同期されていないシステムが発見されると、アラートが生成されます。この場合はダッシュボードのグラフ の要素やテーブルの行をクリックすることで、raw データを徹底的に調査できます。この機能の詳細は、「ダッ シュボードのドリルダウン」を参照してください。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 アクション true を選択すると、アセットテーブルで 49 時間を同期 するシステ ムだけを表 示します。 に分類されているシステムがフィル タリングされ、false を選択すると、アセットテーブルで should_timesync=false に分類されているシステムがフィル タリングされます。アセットの設定についての詳細は、 このマニュアルの「新しいアセットまたは ID のリストの 設定」を参照してください。 should_timesync=true ドロップダウン:フィ ルタリングの対象を選 択 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 時間同期の失 時間が同期されていないシステムの一覧 敗 時間が同期さ れていないシ 指定した時期に時計の同期を行わなかったシステムの一覧を表示します。 ステム ホストがイベントで記録するタイムスタンプと Splunk でイベントが発生した時刻の間に大きな 誤差があるホストを表示します。 インデックス たとえば、イベントのタイムスタンプが イベントのインデックス作成より後の場合、ホストは将 時間の遅延 来に発生するイベントのタイムスタンプを記録していることになります。時間的に大きな誤差が ある場合は、タイムゾーンが正しく認識されていないことになります。 タイムサービ スのスタート 他のホストにはないManual など、タイムサービスのスタートモードがあるホストを表示します。 モードの異常 エンドポイント変更のダッシュボード エンドポイント変更のダッシュボードでは、ファイルシステムとレジストリの変更を検知する Splunk の変更監視 システムを使って、環境内のエンドポイントの変更とその傾向が表示されます。たとえば、エンドポイント変更を 使って、セキュリティインシデントのサインとなる変更の急増を発見できます。 このダッシュボードのグラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能 の詳細は、「ダッシュボードのドリルダウン」を参照してください。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル アクションごとのエ 説明 変更の推移を要約します。変更の大幅な増加は、エンドポイントでの変更の原因となる 50 ンドポイントの変更 インシデント (ウィルスやワーム) の存在を示唆している場合があります。 タイプごとのエンド ポイントの変更 ファイルやレジストリなどの変更など、エンドポイントで観察された変更のタイプを要 約します。 システムごとの変更 変更をシステムごとに要約します。 エンドポイントの最 近の変更 観察されたエンドポイントの変更のうち、最近のものを表示します。 アップデートセンターのダッシュボード アップデートセンターのダッシュボードでは更新されていないシステムが表示されるため、システムに関する理解 を深めることができます。システムが確実に更新されるよう、このダッシュボードを毎月確認することが推奨され ます。 このダッシュボードのグラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能 の詳細は、「ダッシュボードのドリルダウン」を参照してください。 フィルタを使って、表示させるイベントを整理します。 フィルタリ ングの対象 説明 対処 更新するシ ステムだけ を表示しま す true を選択すると、アセットテーブルで should_update=true に分類されているシステムがフィルタ リングされ、false を選択すると、アセットテーブルで should_update=false に分類されているシステムがフィルタ リングされます。アセットの設定についての詳細は、こ のマニュアルの「新しいアセットまたは ID のリストの設 定」を参照してください。 ドロップダウン:フィ ルタリングの対象を選 択 宛先 システムのホスト名 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ マルウェアのカテゴリに基づいてフィルタリング詳細 は、このマニュアルの「ダッシュボードフィルタ」を参 照してください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーインジケー タ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッシュボードの上部に あるキーインジケータにはサマリー情報が表示されます。このマニュアルの「キーインジケー タ」を参照してください。 更新が必要な上 位のシステム 更新のインストールが必要な上位のシステムの棒グラフ 必要な更新上位 シグネチャ (KB 番号など) でソートした必要な更新上位の棒グラフ 更新されていな いシステム - 30 更新されない日数でソートした更新されていないシステム 日以上 更新サービスの スタートモード の異常 更新のスタートアップタスクやサービスが無効になっているすべてのシステムを表示します。 再起動を加速化させるために自動更新を無効にした場合は、元に戻すのを忘れないようにして ください。 アップデートサーチのダッシュボード アップデートサーチのダッシュボードには、パッケージおよび/またはデバイスごとのパッチや更新が表示されま 51 す。このダッシュボードは特定のパッチがインストールたデバイスを特定するのに有用です。たとえば、パッチが 原因で問題が発生し、そのパッチをインストールしたシステムを特定する必要がある場合に役立ちます。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、アップデートサーチのダッシュボードには結果が表示されません。 フィルタリ ングの対象 説明 対処 更新するシ ステムだけ を表示しま す true を選択すると、アセットテーブルで should_update=true に分類されているシステ ムがフィルタリングされ、false を選択す ると、アセットテーブルで should_update=false に分類されているシス テムがフィルタリングされます。アセット の設定についての詳細は、このマニュアル の「新しいアセットまたは ID のリストの 設定」を参照してください。 ドロップダウン:フィルタリングの 対象を選択 更新ステー タス マシンの更新ステータスでフィルタリング ドロップダウン:フィルタリングの 対象を選択 シグネチャ 特定の更新のシグネチャ (KB 番号など) で フィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 宛先 影響を受けているエンドポイントシステム でフィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 リスク分析 リスク分析 リスク分析のダッシュボードには、リスクスコアでの最近の変更と、リスクスコアの高いオブジェクトが表示され ます。アナリストはリスクスコアの相対的な変化を評価し、オブジェクトのリスクスコアの原因となっているイベ ントを調査できます。 リスクスコアの集計 リスクスコアは、ネットワーク環境にあるデバイスやユーザーオブジェクトの相対的なリスクの推移を示す唯一の 測定規準です。オブジェクトとは、システム、ユーザーまたは、不特定のその他の要素を指します。 Enterprise Security では相関サーチによって、ネットワーク環境にあるデバイスやユーザーオブジェクトで構成 されるアセット/ID のデータがマシンのデータと相関付けられます。相関サーチは求める条件の一致を検索しま す。一致が発見されると、重要なイベント、リスク修飾子、またはその両方としてアラートが生成されます。 重要なイベントはタスクになります。これは割り当て、確認、終了が必要なイベントです。 リスク修飾子は数字になります。これは、デバイスやユーザーオブジェクトのリスクスコアに加算されるイ ベントです。 このマニュアルの「リスクスコアの集計の設定」を参照してください。 リスクスコアの集計の例 ホスト RLOG-10 はいくつかの重要なイベントを生成しているジャンプサーバーです。相関サーチの過剰なログイ ン失敗と検出されたデフォルトアカウントのアクティビティは、システムで 1 日に 1 つの重要なイベントを作成 しています。RLOG-10 がジャンプサーバーのため、いくつかのネットワーク認証情報がこのホストに対して使用 されており、ソフトウェアやその他のユーティリティがインストールされている可能性があります。本番稼働中の DNS サーバーに比べ、ジャンプサーバーとしてのこの挙動は好ましくありません。ここでは、ジャンプサーバー が生成する重要なイベントを無視または抑制するのではなく、ジャンプサーバー専用のルールを作成してこれらの サーバーを個別に監視することができます。 そのためには、ジャンプサーバーとして機能するホストに相関が一致した場合にリスク修飾子を割り当てる相関 サーチを作成します。 1. ここではホワイトリストを使って、既存の相関サーチからジャンプサーバーを除外します。詳細は、「ホワ イトリストイベント」を参照してください。 52 イトリストイベント」を参照してください。 2. 過剰なログイン失敗に基づく新しい相関サーチを作成してスケジュールを設定します。ジャンプサーバーの ホストのサーチを除外し、リスク修飾子のアラートだけを割り当てます。 3. リスクスコアを段階的に引き上げることで、リスク修飾子がジャンプサーバーのホストに適用されているこ とを確認します。新しい相関サーチを使用することで、これらのホストでログインの失敗に基づいて重要な イベントが作成されることはなくなります。 相対的なリスクスコアは上昇するため、RLOG-10 をすべてのネットワークサーバーや他のジャンプサーバーと比 較できるようになります。RLOG-10 の相対的なリスクスコアが同等のホストを超える場合は、アナリストがその ホストを調査できます。すべてのジャンプサーバーのリスクスコアが他のネットワークホストよりも高い場合は、 内部のセキュリティ方針の見直しや変更が必要かもしれません。その他の例については、ブログ「Risk Analysis With Enterprise Security 3.1」を参照してください。 リスク分析のダッシュボードの使用 リスク分析のダッシュボードを使って、オブジェクトのリスクスコアに対する変更の確認、リスク増加の原因の特 定、追加の措置が必要かどうかの判断を行うことができます。 ダッシュボードフィルタ リスク分析のダッシュボードには、サーチと結果のフィルタリングを行うための 4 つのフィルタが用意されてい ます。フィルタはダッシュボードのすべてのパネルに適用されるものの、セキュリティキーインジケータには適用 されません。 フィルタリ ングの対象 説明 対処 ソース リスク修飾子がある相関サーチでフィルタリング ドロップダウン:フィ ルタリングの対象を選 択 リスクオブ ジェクトタ イプ オブジェクトタイプとリスクオブジェクトによる逆引き ルックアップ。[リスクオブジェクト] フィールドに入力 が必要。デフォルトはシステムです。 ドロップダウン:フィ ルタリングの対象を選 択 リスクオブ ジェクト 文字列によるフィルタリング定義されているリスクオブ ジェクトタイプにのみ機能 テキストフィールドア スタリスク (*) のある ワイルドカード 時間 結果をフィルタする時間範囲の選択 ドロップダウン:時間 範囲を選択して設定 リスクオブジェクトタイプとリスクオブジェクトのフィルタオプションは連動しています。両方のフィールドを適 切に設定すると、サーチはアセットと ID テーブルの逆引きルックアップを開始し、指定したリスクオブジェク トに関連するすべてのフィールドを特定します。また、特定されたすべての関連オブジェクトのリスク結果が表示 されます。 たとえば、リスクオブジェクトタイプをシステム、リスクオブジェクトを 10.10.1.100 に指定した場合、アセッ トテーブルに対する逆引きルックアップで MAC アドレスが返されたとします。このとき、リスク分析ダッシュ ボードにはアドレス 10.10.1.100 と MAC アドレスに適用されたリスクスコアが表示されます。アセットテーブ ルに他のオブジェクトとの一致がなければ、リスク分析データモデルからの IP アドレスの一致のみが表示されま す。 ダッシュボードのパネル リスク分析のダッシュボードでは、リスクスコアの変化とその原因の分析に役立つビューを活用できます。フィル タを使い、ビューの表示を特定のオブジェクトやオブジェクトのグループに合わせて改善できます。また、ドリル ダウンを使うと、データをイベントとして確認できます。 パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 リスク修飾子の推 移 リスク修飾子に加えられた変更の推移を表示します。ダッシュボードのフィ ルタを使って、ビューの表示を特定のオブジェクトやオブジェクトのグルー プに合わせて変更できます。ドリルダウンでは、指定の時間範囲を対象とす るリスクデータモデルのすべてのイベントのサーチが開きます。 オブジェクトごと のリスクスコア リスクスコアの高いオブジェクトを表示します。ドリルダウンでは、指定の 時間範囲を対象とする選択されたオブジェクトのサーチが開きます。 53 最も活発なソース オブジェクトに対して最も高いリスクをもたらしている相関サーチを表示し ます。ドリルダウンでは選択したソースのサーチが開きます。 最近のリスク修飾 子 リスクスコアの直近の変更、変更のソース、オブジェクトのテーブルを表示 します。 アドホックリスクエントリーの作成 アドホックリスクエントリーを作成すると、オブジェクトのリスクスコアを手動で一度限り変更できます。ここで は、オブジェクトのリスクスコアに正の数や負の数を追加します。アドホックリスクエントリーを使用するには、 いくつかのフィールドに入力する必要があります。 アドホックリスクスコア のフィールド 説明 スコア リスクオブジェクトに加える数正または負の整数とします。 説明 オブジェクトのリスクスコアを手動で調整する理由または注記アドホックリスクスコ アでは説明フィールドの入力が必須です。 リスクオブジェクト テキストフィールドアスタリスク (*) のあるワイルドカード リスクオブジェクトのタ ドロップダウン:フィルタリングの対象を選択 イプ リスクスコアの集計の設定 リスクスコアは、ネットワーク環境にあるデバイスやユーザーオブジェクトの相対的なリスクの推移を示す唯一の 測定規準です。Splunk ES では、デバイスがシステムに、ユーザーがユーザーに、未認識のデバイスやユーザー がその他に分類されます。この分類がリスクオブジェクトのタイプになります。 Enterprise Security ではマシンのデータによって、ユーザーやネットワークデバイスであるアセットと ID にコ ンテキストが適用されます。相関サーチでは、求める条件の一致をサーチすることで、データソースとアセットや ID が相関付けられます。相関サーチで一致が発見されると、アラートが生成されます。アラートは重要なイベン ト、リスク修飾子、またはこの両方を生成できます。 重要なイベントは、調査の中で割り当て、確認、終了するイベントです。 リスク修飾子は、アセットや ID のリスクスコアの一因となる数字です。 Splunk ES ではリスク分析を使って、環境内での小規模なイベントや不審な挙動の推移に注目し、リスクを算出 します。リスク分析のダッシュボードには、こうしたリスクスコアとその他のリスク関連の情報が表示されます。 リスクの割り当て 相関サーチを有効にすると、システムやユーザーにリスクスコアが割り当てられます。このマニュアルの「相関 サーチを有効にする」をご覧ください。 相関サーチを有効にした後は、相関サーチによって作成されるリスクスコアを確認できます。 1. リスク分析のダッシュボードでは、オブジェクトごとのリスクスコアと最も活発なソースを確認できます。 2. オブジェクトのリスクスコアの一因となる状況を分析し、必要に応じて追加の措置やタスクを作成できま す。 リスク修飾子の作成 一部の相関サーチではリスク修飾子が作成されます。このような相関サーチを有効にすると、条件が一致するたび にリスク修飾子が作成されます。また、新しい相関サーチでリスク修飾子を作成したり、既存の相関サーチのアク ションとして修飾子を追加できます。リスク修飾子のアラートは、重要なイベント作成やアクションなどの他のア ラートのオプションと無関係に有効にできます。 相関サーチのリスク修飾子の作成を有効にする場合は、追加のフィールドに入力を行う必要があります。 [スコア]:イベントのデフォルトスコアの割り当てを設定します。「リスクのスコアの範囲」を参照してく ださい。 [リスクオブジェクトのフィールド]:リスクスコアが適用されるフィールドを指定します。 [リスクオブジェクトタイプ]:リスクスコアが適用されるオブジェクトのタイプを指定します。 サーチでリスク修飾子が生成されると、修飾子は risk インデックスのディスクにインデックスされます。 リスクのスコアの範囲 リスクスコアの集計では、アセットや ID のアクティビティをキャプチャして集計し、リスク修飾子を使用する唯 54 一の測定規準にすることができます。 Enterprise Security の相関サーチでは、発見されたアクティビティの相対的な重大度によって、 20 から 100 までのリスクスコアが割り当てられます。サーチの実用的な範囲はデフォルトのスコアとなります。この範囲は業 界の標準ではありません。ES では ID やアセットの合計リスクスコアの上限が設定されていないものの、OS に よって制限がかかる可能性があります。たとえば、32 ビットの OS では、リスクスコアが 2,000,000 に制限さ れます。 リスクスコアのレベルでは、イベントの重大度と同じ命名規則が使用されています。同等のロールとアセットの優 先度を持つホストを比較することで相対的なリスクスコアを評価できます。 20 - 情報的 40 - 低 60 - 中 80 - 高 100 - 重大 相関サーチの編集のページで相関サーチによって割り当てられたリスクスコアは変更することができます。 リスクオブジェクトのフィールド リスクオブジェクトのフィールドは、相関サーチが返すサーチフィールドへのリファレンスです。相関サーチでは src や dest などのフィールドで一致結果が報告されます。リスクオブジェクトのフィールドには、システム、ホス ト、デバイス、ユーザー、ロール、認証情報または相関サーチが結果を報告するその他のオブジェクトが表示され ます。リスクスコアを受け取るフィールドなど、リスクスコアを割り当てるすべての相関サーチを確認します。 リスクオブジェクトのタイプ Splunk Enterprise Security では3つのリスクオブジェクトのタイプが定義されています。 オブジェクトの タイプ 説明 システム ネットワークデバイスまたはテクノロジーアセットテーブルのデバイスを表示できるもの の、必須ではありません。 ユーザー ネットワークユーザー、認証情報またはロールID テーブルの ID を表示できるものの、必須 ではありません。 その他 データソースでフィールドとして表示されている未定義のオブジェクトです。 リスクオブジェクトがアセットまたは ID のテーブルのオブジェクトと一致すると、適切なマッピングが行われま す。ただし、システムやユーザーのリスクオブジェクトとして特定するために、デバイスやユーザーが対応するア セットや ID テーブルに表示される必要はありません。未定義、または試験的なオブジェクトタイプは、その他の オブジェクトとして分類されます。 新しいリスクオブジェクトのタイプの作成 1. [設定] > [データ強化] > [リスト/ルックアップ] へと進み、[リスクオブジェクトのタイプ] を選択しま す。 2. テーブルの最後の risk_object_type セルを選択し、右クリックでテーブルエディタを表示します。 3. テーブルに新しい行を挿入します。 4. 新しい行をダブルクリックして編集し、新しいオブジェクトのタイプ名を追加します。 5. 変更内容を保存します。 リスクオブジェクトのタイプの編集 1. [設定] > [データ強化] > [リスト/ルックアップ] へと進み、[リスクオブジェクトのタイプ] を選択しま す。 2. リスクオブジェクトのタイプを選択して名前を変更します。 3. 変更内容を保存します。 サーチによるリスクスコアの割り当て 相関サーチなどのサーチでは、アラートを使わずに直接リスクスコアを変更できます。つまり、サーチ結果が特定 の条件に一致した場合だけでなく、サーチ結果に基づいてシステムやユーザーのリスクスコアを変更できます。 たとえば、脅威リストのアクティビティの検出の相関サーチでは、アラートによるリスク修飾子に加えて、サーチ が割り当てるリスクが使用されています。指定された脅威リストに一致するホストと通信しているアセットや ID がサーチで発見されると、それに応じてリスクスコアが変更されます。この場合、リスク修飾子はシステムやユー ザーが脅威リストと通信した回数にリストの加重を乗じたものを反映します。 式で示すと、システムやユーザーのリスクスコア + (脅威リストの加重 55 x イベントの件数) = 追加のリスク さらに具体的な例としては、ホスト DPTHOT1 が一定の時間内にスパイウェア脅威のリストにあるホストと通信 していることがサーチによって検出されると、ベースのリスクスコアは 40 に設定されます。DPTHOT1 と脅威の リストにあるホストの通信回数は 2 回で、スパイウェア脅威のリストの加重は 1 であるため、サーチでは合計の リスクスコアを 42 に変更されます。 脅威インテリジェンス 脅威インテリジェンスのダッシュボード 脅威アクティビティ 脅威アクティビティのダッシュボードでは、脅威インテリジェンスソースのコンテンツと Splunk Enterprise の イベントが照合され、脅威のアクティビティに関する情報が提供されます。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。フィ ルタは、セキュリティのキーインジケータには適用されません。 フィルタリングの 対象 説明 対処 脅威グループ マルウェアドメインなどの既知の脅威である、名前 のあるグループやエンティティ ドロップダウン:フィ ルタリングの対象を選 択 脅威のカテゴリ APT、金銭的な脅威、バックドアなどの脅威のカテ ゴリ ドロップダウン:フィ ルタリングの対象を選 択 サーチ 以下の各フィールドに関連する値のサーチで使用: 宛先、ソースタイプ、ソース、脅威コレクション、 脅威コレクションキー、脅威キー、脅威マッチ フィールド、脅威マッチ値 ドロップダウン:フィ ルタリングの対象を選 択、形式指定のないテ キストフィールド 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 脅威アクティビ ティの推移 選択した時間のすべての脅威コレクションごとにイベントの件数を表示しま す。ドリルダウンでは、指定した時間内で選択した脅威コレクションのサー チが開きます。脅威コレクションについては、このマニュアルの「対応して いる脅威インテリジェンスグループ」を参照してください。 活発な脅威のコレ クション 指定した時間でのイベントの一致ごとに上位の脅威コレクションを表示しま す。ピークのイベント一致となるスパークラインも表示します。ドリルダウ ンでは選択した脅威コレクションのサーチが開きます。 活発な脅威ソース 指定した時間での上位の脅威ソースをイベント件数の一致ごとに表示しま す。ドリルダウンでは選択した脅威ソースのサーチが開きます。 脅威アクティビ ティの詳細 最近の脅威の一致の詳細を表示します。脅威アクティビティの詳細のイベン ト選択ボックスを高度なフィルタオプションと使用することで下記を実行で きます。 threat_match_value 特定の によってホワイトリストに登録して一致を除外 の一致を選択し、テーブルの最上部に表示 threat_match_value データソース 56 脅威アクティビティのダッシュボードのレポートでは、脅威インテリジェンスデータモデルのフィールドが使用さ れます。関連するデータソースには、 threat_activity インデックスの脅威ソースのイベントの一致のほか、関係 する脅威のアーティファクトが含まれます。詳細は、このマニュアルの「ダッシュボードのトラブルシューティン グ」を参照してください。 脅威のアーティファクト 脅威のアーティファクトのダッシュボードは、脅威のダウンロード源から得られたコンテンツを確認、調査できる 唯一の場所です。ここではユーザー指定の脅威のソースやアーティファクトに関するすべての脅威情報が表示さ れ、追加のコンテキストが提供されます。 このダッシュボードには、脅威に関するコンテンツを分離できる複数のフィルターやタブがあります。 まずは脅威のアーティファクトを変更し、脅威のアーティファクトのタイプを選択します。 フィルタリングの 対象 脅威のアーティ ファクト 説明 ネットワーク、ファイル、サービスなど、脅威コレクションでグループ化さ れたオブジェクトのコレクション 選択によって、その他の利用できるフィルタは変更されます。 脅威のアーティ ファクトの選択 テキストによるフィルタリング:デ フォルトは(*) ワイルドカード ドロップダウンでのフィルタリング マルウェアのエイリアス、Intel Source ID、Intel Source Path 脅威カテゴリ、脅威グループ ネットワーク IP / ドメイン HTTPリファラ、ユーザーエージェン ト、クッキー、ヘッダ、データ、また はURLから選択し、サーチ文字列を追 加 ファイル ファイル名、ファイル拡張子、ファイルパス、ファイルのハッシュ レジストリ ハイブ、パス、キーの名前、値の名前、値のタイプ、値のテキスト サービス 名前、説明の名前、説明、タイプ ユーザー ユーザー、フルネーム、グループ名、説明 プロセス プロセス、プロセス引数、ハンドルネーム、ハンドルタイプ 証明書 シリアル番号、件名、発行者、有効期限、発効日 メール アドレス、件名、本文 脅威 ID タブを使って脅威ソースのコンテキストを確認: タブ パネル 脅威の概要 エンドポイントのアーティファクト、ネットワークのアーティファクト、メールの アーティファクト、証明書のアーティファクト ネットワー ク HTTP インテリジェンス、IP インテリジェンス、ドメインインテリジェンス エンドポイ ント ファイルインテリジェンス、レジストリインテリジェンス、プロセスインテリジェ ンス、サービスインテリジェンス、ユーザーインテリジェンス 証明書 証明書インテリジェンス メール メールインテリジェンス データソース 脅威のアーティファクトのダッシュボードでは、脅威コレクション KVStore のフィールドが参照されます。関連 するデータソースとしては、STIX や OpenIOC 文書などの脅威ソースが挙げられます。 トラブルシューティング 57 このダッシュボードでは、脅威インテリジェンスの KVStore コレクションのデータが参照されます。適合する データがない場合、ダッシュボードのパネルには何も表示されません。ダッシュボードにデータが表示されない理 由を調べる場合は、以下の手順に従ってください。 1. 脅威インテリジェンスのダウンロードと脅威インテリジェンスマネージャーのページで入力が正しく設定さ れていることを確認してください。これらの入力では、脅威ソースから取得したデータが KVStore コレク ションに保存されます。 2. 脅威インテリジェンスの監査のダッシュボードパネルの脅威インテリジェンスの監査イベントでモジュール 入力が作成したログを確認してください。 詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照してください。 脅威インテリジェンスソースの設定 Splunk Enterprise Security では複数の脅威ソースとインデックスされたイベントを比較することで、セキュリ ティに関する監視と調査のための脅威インテリジェンスとコンテキストが提供されます。複数の脅威インテリジェ ンスコレクションソースに対応しているほか、脅威インテリジェンスソースも提供されています。 それぞれのソースは、特定のタイプのセキュリティ脅威やアクティビティに関するナレッジのコレクションです。 ソースが構造化されたデータファイルやストリームとして使用できる場合、Splunk の管理者は ES に新しいソー スを追加できます。 対応している脅威コレクションの方法 構造化テキストファイルとして使用できるコンテンツは、脅威ソースとして ES に追加できます。下記に対応して います。 STIX 文書と TAXII フィード OpenIOC 文書 API または URL 経由で収集されたコンテンツ ファイルベースのコンテンツ データベースでホストされるコンテンツ 対応している脅威インテリジェンスグループ 対応している IOC データ タイプ 脅威コレクション X509 証明書 certificate_intel メール email_intel ファイル名/ハッシュ file_intel HTTP http_intel IP / ドメイン ip_intel プロセス process_intel レジストリのエントリ registry_intel サービス service_intel ユーザー user_intel 詳細 脅威コレクションは collections.conf で定義さ れ、KVStore に保存されています。手動による 脅威データの入力を可能にするため、それぞれ の脅威コレクションには関連するルックアップ ファイルがあります。手動で脅威インテリジェ ンスのデータを追加するには、メニューバー で[設定] > [データ強化] を開き、 [リスト/ ルックアップ]を選択します。 提供されている脅威ソースの確認 Splunk Enterprise Security にはあらかじめ設定されている脅威インテリジェンスソースが含まれています。そ れぞれの脅威ソースのサイトでは、Enterprise Security とは無関係に、ポーリングの間隔などの設定要件に対す る推奨事項が提供されます。ソースサイトのリンクから、脅威ソースの提供者が発行しているドキュメントを確認 してください。 1. Enterprise Security のメニューバーで、[設定] > [データ強化] > [脅威インテリジェンスのダウンロード] を開き、定義されているすべての脅威インテリジェンスソースの [説明] フィールドを確認します。 2. 脅威インテリジェンスのダウンロードの設定 のページで、脅威リストの有効化や設定ができます。 3. 脅威インテリジェンスの監査のダッシュボードを使って、すべての脅威ダウンロードソースのステータスを 確認できます。 4. 脅威のアーティファクトのダッシュボードでは、個々の脅威の要素の特定やクエリができます。 ES に含まれる脅威ソース 58 脅威ソース 脅威の提供者 ソースサイト Alexa Top 1 Million Sites (上位100万サイト ランキング) Alexa Internet http://s3.amazonaws.com/alexa-static/ Emerging Threats 感染 IP ブロックリスト Emerging Threats http://rules.emergingthreats.net/blockrules Emerging Threats fwip ルール Emerging Threats http://rules.emergingthreats.net/fwrules マルウェアドメインホス トリスト Hail a TAXII.com http://hailataxii.com iblocklist LogMeIn I-Blocklist http://list.iblocklist.com iblocklist Piratebay I-Blocklist http://list.iblocklist.com iblocklist プロキシ I-Blocklist http://list.iblocklist.com iblocklist Rapidshare I-Blocklist http://list.iblocklist.com iblocklist スパイウェア I-Blocklist http://list.iblocklist.com iblocklist Tor I-Blocklist http://list.iblocklist.com iblocklist Web attacker I-Blocklist http://list.iblocklist.com ICANN トップレベルド メインリスト IANA http://data.iana.org マルウェアドメインブ ロックリスト Malware Domains http://mirror1.malwaredomains.com MaxMind GeoIP ASN IPv4 データベース MaxMind http://download.maxmind.com MaxMind GeoIP ASN IPv6 データベース MaxMind http://download.maxmind.com Mozilla 公開接尾辞リス ト Mozilla https://publicsuffix.org abuse.ch Palevo C&C IP ブロックリスト abuse.ch https://palevotracker.abuse.ch Phishtank データベース Phishtank http://data.phishtank.com SANS ブロックリスト SANS http://isc.sans.edu abuse.ch ZeuS ブロッ クリスト (悪意ある IP の み) abuse.ch https://zeustracker.abuse.ch abuse.ch ZeuSブロッ クリスト (スタンダード) abuse.ch https://zeustracker.abuse.ch 脅威インテリジェンスのダウンロード設定 脅威インテリジェンスのダウンロードページを使い、API または URL による接続を必要とする、またはルック アップベースの脅威インテリジェンスソースの実装、設定、有効化が可能です。Splunk Enterprise のメニュー バーで、[設定] > [データ強化]を開き、 [脅威インテリジェンスのダウンロード]を選択します。 59 脅威ソース名のフィールドを選択して設定を表示します。 脅威インテリ ジェンスのダ ウンロード設 定 パーシングの オプション ダウンロード のオプション プロキシのオ プション (任 意) タイプ: 脅威ソースの名前またはタイプ(必須) 説明: ソースの詳細(必須) URL: ソースのダウンロードへのリンクフィード提供者が指定するベース URL を使用します。(必須) 加重: リスク分析の計算で使用する脅威ソースの加重乗数(必須) 数値が大き いほど関連性が高くなります。例については、サーチによるリスクスコアの 割り当てを参照してください。 間隔; ダウンロードの間隔 POST 引数: 脅威ソースのダウンロードのために URL に渡せる任意の引数 最大維持期間: 脅威ソースを維持する期間最後の変更からの時間が最大維持 期間を超えると、脅威ソースのデータはコレクションから除外されます。こ の機能を有効にするには、このトピックの「脅威ソース維持の設定」を参照 してください。 区切り正規表現: 脅威ソースの文書で行を分割する区切り文字 抽出の正規表現: 脅威ソースお文書の個々の行からフィールドを抽出するた めの正規表現 フィールド: フィールドの名前の変更や組み合わせに使用する transforms.conf の表現(必須) 無視の正規表現: 脅威ソースで行を無視するための正規表現 ヘッダ行の省略: 脅威ソースの処理で省略するヘッダの行数ルックアップ テーブルでは、「1」を設定します。 再試行の間隔: ダウンロードの再試行を行う前に待機する秒数再試行の間隔 を変更する前に、脅威ソース提供者の推奨ポーリング間隔を見直します。 (必須) リモートサイトユーザー: 必要な場合、リモートの認証に使用するユーザー 名ユーザー名は Splunk の認証情報管理に安全に保尊されている名前に一致 しなければなりません。 再試行: 再試行の最大数 タイムアウト: ダウンロードの試みを失敗と見なすまでに待機する秒数(必 須) プロキシサーバー: プロキシサーバーのアドレス プロキシポート: プロキシサーバーのポート プロキシユーザー: プロキシサーバーのユーザーの認証情報対応している認 証方法は、Basic と Digest です。ユーザー名は Splunk の認証情報管理に 60 安全に保尊されている名前に一致しなければなりません。 重要: 脅威インテリジェンスのダウンロード設定のエディタで既存のプロキ シユーザやパスワードを削除すると、以降のダウンロードでは保存されてい る認証情報が参照されなくなります。認証情報への参照を削除しても認証情 報管理に保存されている認証情報は削除されません。 脅威ソースの編集 脅威インテリジェンスのダウンロードの設定エディタを使って、既存の脅威ソースに関する情報を変更できます。 脅威ソースを編集するには、 1. [設定] > [データ強化] > [脅威インテリジェンスのダウンロード] を開きます。 2. 編集する脅威ソースの名前を選択すると、脅威インテリジェンスのダウンロードの設定エディタが開きま す。 3. フィールドに必要な変更を行います。 4. 変更内容を保存します。 注意: 管理者以外のユーザーによる脅威ソースの編集を許可する場合は『インストールとアップグレード 』マ ニュアルの「ロールへの権限の追加」を参照してください。 脅威ソースの維持の設定 日付に基づいて脅威ソースのデータを脅威コレクションから削除するには、脅威ソースに最大維持期間を設定し、 維持追跡サーチを有効にする必要があります。 1. Splunk Enterprise のメニューバーで、[設定] > [データ強化]を開き、 [脅威インテリジェンスのダウン ロード]を選択します。 2. 脅威ソースを選択します。 3. 相対時間指定子を使って最大維持期間の設定を変更します。例: -7d、-30d.TAXII フィードはこの設定に対 応していません。 4. コレクションの維持サーチを有効にします。Enterprise Security のメニューバーで、[設定] を開き、 [コン テンツ管理] を選択します。 5. サーチフィルタで「維持」をサーチします。 6. 脅威ソースをホストするコレクションの維持サーチを有効にします。デフォルトでは、すべての維持サーチ が無効になっています。 OpenIOC ファイルの追加 ファイルベースの脅威ソースは Enterprise Security のサーチヘッドで監視パスにアップロードするか、マウント されたネットワーク共有スペースに置く必要があります。読み込みとパーシングのためには、OpenIOC ファイル に.ioc の拡張子が必要です。 デフォルト設定 モジュール入力の da_ess_threat_local を設定し、 $SPLUNK_HOME/etc/apps/DA-ESSThreatIntelligence/local/data/threat_intel フォルダの監視、発見した .ioc ファイルの読み込み、処理後の文書の削 除を行います。 da_ess_threat_local の入力設定を確認し、変更するには、 1.Splunk Enterprise のメニューバーで、[設定] > [データ入力]を開き、 [脅威インテリジェンスマネー ジャー]を選択します。 2.da_ess_threat_local のモジュール入力を選択します。 3.必要に応じて設定の確認や変更を行います。 重要:デフォルトの da_ess_threat_default や sa_threat_local の入力は変更しないでください。 STIX ファイルの追加 ファイルベースの脅威ソースは Enterprise Security のサーチヘッドで監視パスにアップロードするか、マウント されたネットワーク共有スペースに置く必要があります。読み込みとパーシングのためには、STIX ファイルに .xml の拡張子が必要です。 デフォルト設定 モジュール入力の da_ess_threat_local を設定し、 $SPLUNK_HOME/etc/apps/DA-ESSThreatIntelligence/local/data/threat_intel フォルダの監視、発見した .xml ファイルの読み込み、処理後の文書の削 除を行います。 61 da_ess_threat_local の入力設定を確認し、変更するには、 1. Splunk Enterprise のメニューバーで、[設定] > [データ入力]を開き、 [脅威インテリジェンスマネー ジャー]を選択します。 2. da_ess_threat_local のモジュール入力を選択します。 3. 必要に応じて設定の確認や変更を行います。 重要: デフォルトのda_ess_threat_default や sa_threat_local の入力は変更しないでください。 TAXI フィードの追加 1. Splunk Enterprise のメニューバーで、[設定] > [データ強化]を開き、 [脅威インテリジェンスのダウン ロード]を選択します。 2. [新規] をクリックして、[脅威インテリジェンスのダウンロードの設定] エディタを表示します。 3. [タイプ] にtaxiiと入力します。 4. taxii に固有のPOST 引数をスペースで区切って入力します。 1. コレクション: TAXII フィードからのデータコレクションの名前例: collection="A_TAXII_Feed_Name" 2. 最初: TAXII フィードから取得する最初の脅威データ例: earliest="-1y" 3. (オプション) taxii_username: TAXII フィードのユーザー名を入力するための任意の方法例: taxii_username="user" 4. (オプション) taxii_password: TAXII フィードのパスワードを入力するための任意の方法パスワード を入力せずにユーザー名を設定すると、認証情報管理でパスワードの検索が開始されます。例: taxii_password="password" 5. (オプション) cert_file: TAXII フィードで証明書による認証を粉う場合は、証明書ファイルの名前を 入力します。ファイル名では大文字と小文字が区別され、完全に一致する必要があります。例: cert_file="cert.crt" 6. (オプション) key_file: TAXII フィードで証明書による認証を行う場合は、証明書のキーファイル名を 入力します。ファイル名では大文字と小文字が区別され、完全に一致する必要があります。例: key_file="cert.key" 5. 変更内容を保存します。 6. 脅威インテリジェンスの監査のダッシュボードから TAXII フィードの設定が適切かどうか、また Splunk Enterprise Security が実際にダウンロードしているかを確認します。 証明書による認証を行う TAXI フィードの追加 1. TAXI フィードを追加する場合は以下の手順に従ってください。 2. $SPLUNK_HOME/etc/apps/SplunkEnterpriseSecuritySuite/auth ディレクトリに証明書を追加します。 3. 同じ /auth ディレクトリに証明書の秘密鍵と公開鍵を追加します。 4. cert_file と key_file 引数を使って証明書と秘密鍵のファイルの名前を指定し、TAXII フィードを追加しま す。 URL ベースの脅威ソースの追加 1. Splunk Enterprise のメニューバーで、[設定] > [データ強化]を開き、 [脅威インテリジェンスのダウン ロード]を選択します。 2. [新規] をクリックして、[脅威インテリジェンスのダウンロードの設定] エディタを表示します。 3. すべての必須フィールドに脅威ソースに関する情報を入力します。たとえば、Enterprise Security で事前 に設定されている脅威ソースを使用ます。 4. 完了したら変更を保存します。 5. 脅威インテリジェンスの監査のダッシュボードでソースが正しく設定、ダウンロードされていることを確認 してください。 カスタムソースの追加 カスタムの脅威ソースをローカルのルックアップファイルとして、Splunk Enterprise Security に追加できま す。ルックアップベースの脅威ソースでは、ファイルや IP インテリジェンスなど、対応している脅威インテリ ジェンスグループのいずれにもデータを追加できます。 前提条件: カスタムの脅威ソースが証明書、ドメイン、メール、ファイル、HTTP、IP、プロセス、レジストリ、 サービス、またはユーザーインテリジェンスのどれに該当するかを特定します。 カスタムの脅威ソースの追加 追加するインテリジェンスのタイプに基づいて、csv ファイルのヘッダを特定する必要があります。 1. [設定] > [データ強化] > [リスト/ルックアップ] を選択します。 2. ローカルの脅威インテリジェンスに一致するルックアップファイルを特定します。例:ローカルファイルイ ンテリジェンス 3. 該当するルックアップを開いて必要なヘッダを表示します。 4. 新しい .csv ファイルを作成します。ここではヘッダ行に必要なフィールドが含まれます。 5. .csv ファイルに脅威データを追加します。 62 作成したルックアップファイルを Splunk Enterprise Security に追加します。 1. 2. 3. 4. 5. 6. Splunk プラットホームのメニューバーで、[設定] > [ルックアップ] を選択します。 ルックアップテーブルファイルの隣にある[新規追加] をクリックします。 [宛先 App] でSA-ThreatIntelligence を選択します。 作成した .csv ファイルをアップロードします。 ファイルの宛先ファイル名を入力します。例:threatindicatorszerodayattack.csv 保存します。 脅威インテリジェンスルックアップを ES に追加した後は、ファイルを使用できるよう適切な権限を設定してくだ さい。 1. 2. 3. 4. 5. 6. ルックアップテーブルファイルを開きます。 追加したルックアップファイルの[権限]を選択します。 [オブジェクトの表示先] を [すべての App] に設定します。 読み取り権限を全員に設定します。 書き込み権限を admin に設定します。 保存します。 ES によるインポートとインテリジェンスのタイプの判断を可能にするため、ルックアップを定義します。 Splunk プラットホームのメニューバーで、[設定] > [ルックアップ] を選択します。 ルックアップ定義の隣にある[新規追加] をクリックします。 [宛先 App] でSA-ThreatIntelligence を選択します。 脅威ソースの名前を入力します。入力した名前は、入力スタンザの threatlist の定義に使用します。 例:zero_day_attack_threat_indicators_list 5. [タイプ] で、[ファイルベース] を選択します。 6. 手順 1 で追加したルックアップファイルを選択します。例:threatindicatorszerodayattack.csv 7. 保存します。 1. 2. 3. 4. ルックアップが正しく機能するよう、ルックアップ定義で権限を設定します。 1. 2. 3. 4. 5. 6. ルックアップ定義を開きます。 手順 4 で追加したルックアップ定義の[権限] をクリックします。 [オブジェクトの表示先] を [すべての App] に設定します。 読み取り権限を全員に設定します。 書き込み権限を admin に設定します。 保存します。 ES が新しい脅威インテリジェンスの場所を把握できるよう、ルックアップファイルに一致する脅威ソースの入力 スタンザを追加します。 [設定] > [データ強化] > [脅威インテリジェンスのダウンロード] を開きます。 新しいコンテンツに一致する脅威ソースの入力を選択します。例:local_file_intel [アクション] 列の [複製] をクリックします。 名前を入力します。例:ゼロデイ攻撃脅威インジケータ タイプを入力します。例:IOCs 説明を入力します。例:ゼロデイマルウェアのファイルベースの脅威インジケータ 手順 3 で作成したルックアップ定義を参照するURLを入力します: lookup://zero_day_attack_threat_indicators_list。 8. (オプション) 脅威データのデフォルトの加重を変更できます。 9. (オプション)ルックアップのデフォルトの再試行の間隔を変更できます。 1. 2. 3. 4. 5. 6. 7. カスタムの脅威ソースが正しく追加され、ES が正確にデータを取得していることを確認します。 1. 2. 3. 4. 5. [監査] > [脅威インテリジェンスの監査] を選択します。 脅威インテリジェンスのダウンロードで脅威ソースが有効になっていることを確認します。 脅威インテリジェンスの監査イベントで、脅威ルックアップの名前に関連するエラーがないか確認します。 [高度な脅威] > [脅威のアーティファクト]を選択します。 脅威ソースのオブジェクトをサーチし、Splunk ES がオブジェクトを発見できることを確かめます。 注意: あらかじめ設定されている入力が脅威インテリジェンスソースに一致しない場合は、[新規] を選択します。 新しく作成した脅威ソースの入力で必須フィールドに記入します。 データベースでホストされるコンテンツの追加 データベースにあるコンテンツを追加する方法の例については、カスタム脅威フィードと Enterprise Security と の統合に関する下記のブログ記事をご覧ください。 (http://blogs.splunk.com/2014/03/10/custom-threatfeed-integration-with-enterprise-security). 手動での脅威データの追加 手動で入力された脅威データに対応できるよう、それぞれの脅威コレクションにはあらかじめルックアップファイ ルが設定されています。 63 ルが設定されています。 1. Enterprise Security のメニューバーで、[設定] > [データ強化]を開き、 [リスト/ルックアップ]を選択しま す。 2. 追加する脅威コレクションのデータに一致する事前に設定されたルックアップファイルを見つけます。 例:ローカル証明書インテリジェンス 3. ルックアップを選択してルックアップエディタを開きます。 4. 各行のすべてのフィールドにデータを追加してルックアップを更新します(行を右クリックし、[行を下に挿 入] を選択します)。 5. 完了したら[保存] をクリックします。 脅威ソースのカスタムフォルダの設定 Enterprise Security では、フォルダの監視とインテリジェンスソースの読み込みのための入力が設定されていま す。脅威インテリジェンスマネージャーページでは、脅威ソースを含むフォルダを監視するための入力を確認、追 加、変更できます。 デフォルト設定 モジュール入力の da_ess_threat_local を設定し、 $SPLUNK_HOME/etc/apps/DA-ESSThreatIntelligence/local/data/threat_intel フォルダの監視、発見した .csv、.ioc と .xml のファイルの読み込み、 処理後の文書の削除を行います。 da_ess_threat_local の入力設定を確認し、変更するには、 1. [設定] > [データ入力] > [脅威インテリジェンスマネージャー] を開きます。 2. da_ess_threat_local のモジュール入力を選択します。 3. 必要に応じて設定の確認や変更を行います。 重要: デフォルトのda_ess_threat_default や sa_threat_local 入力は変更しないでください。 脅威ソースの新しい入力モニターの作成 1. 2. 3. 4. 5. 6. 7. [設定] > [データ入力] > [脅威インテリジェンスマネージャー] を開きます。 [新規] を選択します。 モジュール入力に詳細な名前を入力します。 ファイルレポジトリのパスを入力します。 (オプション): 最大のファイルサイズをバイト単位で指定します。 (オプション): sinkhole オプションを設定します。デフォルトではすべての文書が維持されます。 (オプション): このディレクトリから取得するすべての脅威インテリジェンスの文書に適用するデフォルトの 加重を指定します。 高度な脅威のダッシュボード 高度な脅威のダッシュボードでは、潜在する執拗な脅威を特定できます。 HTTPカテゴリ分析のダッシュボード HTTPカテゴリ分析のダッシュボードでは、トラフィックデータのカテゴリが表示されます。このダッシュボード は、ファイアウォール、ルーター、スイッチ、またはネットワークフローなど、すべてのトラフィックデータの要 約が表示されます。 統計データを比較して、トラフィックの外れ値や通常は見られないトラフィックを特定できます。 標準から外れるカテゴリのカウント (過剰または過少) に注目します。これは脅威を示唆している可能性があ ります。 トラフィック量が少ないアクティビティを見つけ、要約データからドリルダウンしてイベントを調査しま す。 スパークラインを使用すると、不審なアクティビティのパターンをカテゴリごとに特定できます。 不明なトラフィックカテゴリ HTTP カテゴリ分析のダッシュボードの [不明なカテゴリのみを表示] フィルタで Web トラフィックをフィルタ リングし、不明なカテゴリだけを表示します。 不明なトラフィックをフィルタリングする前に、 tags.conf を使って不明なカテゴリを定義する必要があります。 たとえば、「未検出」を不明なカテゴリに指定するには、次の local/tags.conf の設定を作成します。 ## TA-websense/local/tags.conf [category=undetected] unknown = enabled このスタンザはすべてのアドオンや DA-ESS-NetworkProtection 64 に作成できます。 ダッシュボードフィルタ フィルタはHTTP カテゴリリストの整理に役立ちます。 フィルタリ ングの対象 時間範囲 高度なフィ ルタ 説明 対処 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 クリックすると、このダッシュボードでフィルタリング できるカテゴリイベントのリストが表示されます。詳細 は、このマニュアルの「高度なフィルタ」を参照してく ださい。 パネルの結果のフィル タリングで項目をク リックしてホワイトリ ストに追加し、ダッ シュボードのビューか ら除外します。[更新] をクリックしてダッ シュボードに戻り、 ビューを更新します。 ダッシュボードパネル グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーイ ンジ ケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示。ダッシュボードの上部にあるキー インジケータにはサマリー情報が表示されます。このマニュアルの「キーインジケータ」を参照してく ださい。 カテゴ リの分 布 カテゴ リの詳 細 を X 軸、 src_countを Y 軸として、カテゴリのカウントを散布図で表示します。フィルタまたは 時間範囲の変更よってグラフが更新されます。項目にマウスオーバーすると詳細が表示されます。 count 過去 24 時間でのHTTP カテゴリのアクティビティを示すスパークラインなど、HTTP カテゴリの詳細 を表示します。 HTTP ユーザーエージェント分析のダッシュボード HTTP ユーザーエージェント分析のダッシュボードでは、プロキシデータのユーザーエージェント文字列を調査 して、脅威の可能性を特定できます。 ブラウザ名のスペルミス (Mozzila など)や完全に間違ったバージョン番号 (v666 ) を含む不正なユーザー エージェント文字列は、攻撃や脅威を示唆している場合があります。 長いユーザーエージェント文字列は、多くの場合に悪意あるアクセスのサインです。 標準的な長さから外れる (長い、または短い) ユーザーエージェント文字列は脅威の可能性があるため、監視 と評価が必要になります。 ここでは高度なフィルタを使って、特定のユーザーエージェントをブラックリストやホワイトリストに登録できま す。また、統計情報を使って外れ値を視覚的に特定できます。コマンドと制御 (C&C) のアクティビティを行う ユーザーエージェントを概要データを使って評価することで、予期しない HTTP 通信のアクティビティを発見で きます。 ダッシュボードフィルタ ダッシュボードには、ユーザーエージェントのリストの整理に役立つたくさんのフィルタがあります。 フィルタリ ングの対象 説明 対処 標準偏差指 標 パーセンテージ (%)は、その数の標準偏差が選択された 場合に、フィルタリングで除外されるデータを量を指し ます。表示されるユーザーエージェント文字列の数は、 高い偏差の値を指定すると減少し、低い偏差の値を指定 すると増加します。 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ドロップダウン:フィ ルタリングの対象を選 65 択 高度なフィ ルタ クリックすると、このダッシュボードでフィルタリング できるカテゴリイベントのリストが表示されます。詳細 は、このマニュアルの「高度なフィルタ」を参照してく ださい。 パネルの結果のフィル タリングで項目をク リックしてホワイトリ ストに追加し、ダッ シュボードのビューか ら除外します。[更新] をクリックして、ダッ シュボードに戻り、 ビューを更新します。 ダッシュボードのパネル グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーインジ ケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュボードの上部にある キーインジケータにはサマリー情報が表示されます。このマニュアルの「キーインジケータ」を参 照してください。 ユーザー エージェン トの分布 ユーザー エージェン トの詳細 を X 軸、count を Y 軸として、ユーザーエージェント文字列を散布図で表示します。フィル タまたは時間範囲の変更よってグラフが更新されます。項目にマウスオーバーすると raw データ の詳細が表示されます。 length ユーザーエージェントの文字列の値のほか、過去 24 時間のユーザーエージェント文字列を対象と したアクティビティを示すスパークラインなど、環境内のユーザーエージェントの詳細を表示しま す。 新規ドメイン分析のダッシュボード 新規ドメイン分析のダッシュボードには、環境内の新しいドメインが表示されます。これらのドメインは新しく登 録されたものや ES が初めて認識したものです。パネルには、新規ドメインアクティビティのイベント、存在期間 ごとの新規ドメインアクティビティ、トップレベルドメイン(TLD)ごとの新規ドメインアクティビティ、これら のドメインの登録の詳細が表示されます。 ここでは、最近登録されたドメインと通信しているホストを確認できます。 また、存在期間のパネルでは、新規ドメインアクティビティで新しく登録されたドメインに活発にダイレク トされている外れ値を確認できます。 TLDパネルでは、新規ドメインアクティビティにあるトップレベルドメインの想定外なアクティビティを特 定できます。 件数の多い新しいドメインを調査することで、アクティブなトロイの木馬やボットネットなど、悪意ある脅 威がネットワークに存在しないかどうかを確認できます。 ダッシュボードフィルタ ダッシュボードには、表示するドメインのリストを整理するのに役立つたくさんのフィルタがあります。 フィルタリ ングの対象 説明 対処 ドメイン ドメイン (アクセス、エンドポイント、ネットワーク) を 入力します。 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 新規ドメイ ンタイプ 新規登録または新規発見を選択し、表示するドメインの タイプをフィルタリングします。 ドロップダウン:フィ ルタリングの対象を選 択 最長存在期 間(日数) 新規発見/新規登録ドメインの時間範囲デフォルトは 30 日間です。 テキストフィールド 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 クリックすると、このダッシュボードでフィルタリング 66 パネルの結果のフィル タリングで項目をク リックしてホワイトリ 高度なフィ ルタ クリックすると、このダッシュボードでフィルタリング できるカテゴリイベントのリストが表示されます。詳細 は、このマニュアルの「高度なフィルタ」を参照してく ださい。 ストに追加し、ダッ シュボードのビューか ら除外します。[更新] をクリックしてダッ シュボードに戻り、 ビューを更新します。 ダッシュボードのパネル グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 新規ドメインアクティビティ 新規ドメインのアクティビティに関する情報のテーブルビュー 存在期間ごとの新規ドメインアクティビティ Age TLDごとの新規ドメインアクティビティ (TLD = トップレベルドメイン) Count 登録の詳細 を X 軸、 Count を Y 軸として表示する散布図図にマウスオー バーすると、存在期間と新しいドメインの数が表示されます。 を X 軸、TLD を Y 軸とする棒グラフグラフにマウスオー バーすると、トップレベルドメインの最新のイベント件数が表示 されます。 新規ドメインの登録情報に関する情報のテーブルビューテーブル のドメインをクリックするとそのドメインのサーチが開き、raw イベントが表示されます。 WHOIS データのための外部 API の設定 新規ドメイン分析のダッシュボードのデータを表示するには、外部ドメインのルックアップデータソースとの接続 を設定する必要があります。モジュール入力の設定と有効化が完了するまで、このダッシュボードではドメインが 新しく認識されたをものかどうかだけが報告されます。 ドメインのルックアップは、WHOIS データに有料の API を提供する外部のドメインソースの domaintools.com を使用します。 1. domaintools.com アカウントにサインアップしてください。 2. サイトから、API のホスト名と API アクセスのための認証情報を取得します。API アクセスの認証情報は、 ご使用中のメールアドレスとは異なります。 Splunk Enterprise Security では、API 情報を使ってモジュール入力を設定します。 1. モジュール入力を有効にします。[設定] > [データ入力] > [ネットワーク問い合わせ]へと進みま す。whois_domaintoolsの隣にある [有効] をクリックします。 2. モジュール入力の名前をクリックし、domaintools API にアクセスするための API のホスト名とユーザー名 を追加します。 3. 認証情報管理ダッシュボードで API の認証情報を保存します。 注意: モジュール入力を有効にするまで、入力によって処理されるドメインはキューに入りません。これにより、 チェックポイントディレクトリがファイルでいっぱいになるのが防止されます。 モジュール入力を有効にしたら、outputcheckpoint_whois マクロを有効にしてチェックポイントデータを作成しま す。 1. [設定] > [全般] > [全般設定] へと進みます。 2. ドメイン分析の設定を noop から outputcheckpoint modinput=whois に変更します。 モジュール入力では、情報が whois_tracker.csv ルックアップファイルに保存されま す。$SPLUNK_HOME/var/lib/splunk/modinputs/whois ディレクトリにファイルが保存されると、 whois インデックスへの データの追加が開始されます。処理が終わると、チェックポイントファイルが削除されます。 トラフィックサイズ分析のダッシュボード トラフィックサイズ分析の ダッシュボードでは、トラフィックデータと統計データと比較して、環境内の通常の 状態とは異なるトラフィックを発見できます。このダッシュボードは、ファイアウォール、ルーター、スイッチ、 またはネットワークフローなど、すべてのトラフィックデータの要約が表示されます。 トラフィックデータのバイト長を調査し、リクエストごとのバイト数が大きい接続や小さいバイト数の大量 の接続の試みを特定できます。 グラフを使って、送信データの不審なパターンを発見できます。 概要データを掘り下げ、異常なソース/宛先のトラフィックを特定します。 67 ダッシュボードフィルタ フィルタを使って、ダッシュボードのトラフィックサイズのイベントリストを整理できます。 フィルタリ ングの対象 説明 対処 標準偏差指 標 パーセンテージ (%)は、その数の標準偏差が選択された 場合に、フィルタリングで除外されるデータを量を指し ます。表示されるユーザーエージェント文字列の数は、 高い偏差の値を指定すると減少し、低い偏差の値を指定 すると増加します。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 クリックすると、このダッシュボードでフィルタリング できるカテゴリイベントのリストが表示されます。詳細 は、このマニュアルの「高度なフィルタ」を参照してく ださい。 パネルの結果のフィル タリングで項目をク リックしてホワイトリ ストに追加し、ダッ シュボードのビューか ら除外します。[更新] をクリックしてダッ シュボードに戻り、 ビューを更新します。 高度なフィ ルタ ダッシュボードパネル グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 キーイ ンジ ケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュボードの上部にあるキー インジケータにはサマリー情報が表示されます。このマニュアルの「キーインジケータ」を参照して ください。 異常な トラ フィッ クサイ ズの推 移 異常なトラフィックサイズの件数の推移を表示するグラフフィルタで選択した標準偏差 (デフォルトで は 2) を上回るトラフィックを、X 軸を時間、Y 軸を件数とする線グラフで表示します。 トラ フィッ クサイ ズの詳 細 それぞれのトラフィックイベントと、そのサイズ (バイト) などの関連する詳細を表示する表ソース IP アドレスから複数のイベントが発生している場合は、count 列に検出されたイベントの件数が表示され ます。bytes 列には、表示されているトラフィックイベントの最小、最大、平均のバイト数が表示され ます。Z はトラフィックイベントの標準偏差を示します。 URL 長の分析のダッシュボード URL 長の分析のダッシュボードでは、URL 文字列情報を含むプロキシまたは HTTP データが分析されます。この ダッシュボードでは、ファイアウォール、ルーター、スイッチ、ネットワークフローなど、URL の文字列やパス の情報を含むすべてのトラフィックデータが要約、表示されます。 ここでは URL を統計的に比較することで外れ値を特定できます。 リファラのない長い URL を調査します。 SQL インジェクション用の埋め込まれた SQL コマンド、クロスサイトスクリプティング (XSS)、埋め込ま れたコマンドと制御 (C&C) の指示、その他の悪意あるコンテンツを含む異常に長い URL を検索します。 ここでは詳細テーブルを使って、URL と通信しているアセットの数を確認できます。 キーインジケータを使って新しい URL を比較し、通常では見られない異常な URL 文字列を特定します。通常の 長さ(通常より長い、または短い)に当てはまらない URL は、脅威である可能性があります。見慣れない送信元 や宛先との間での異常に長い URL パスは、多くの場合に悪意あるアクセスのサインであり、調査が必要です。 ダッシュボードフィルタ フィルタを使って、ダッシュボードに表示される URL 長のインベントを整理できます。 68 フィルタリ ングの対象 説明 対処 標準偏差指 標 パーセンテージ (%)は、その数の標準偏差が選択された 場合に、フィルタリングで除外されるデータを量を指し ます。表示されるユーザーエージェント文字列の数は、 高い偏差の値を指定すると減少し、低い偏差の値を指定 すると増加します。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 クリックすると、このダッシュボードでフィルタリング できるカテゴリイベントのリストが表示されます。詳細 は、このマニュアルの「高度なフィルタ」を参照してく ださい。 パネルの結果のフィル タリングで項目をク リックしてホワイトリ ストに追加し、ダッ シュボードのビューか ら除外します。[更新] をクリックしてダッ シュボードに戻り、 ビューを更新します。 高度なフィ ルタ ダッシュボードのパネル グラフの要素やテーブルの行をクリックすると、raw イベントが表示されます。この機能の詳細は、「ダッシュ ボードのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュボードの上部にあるキー キーイン インジケータにはサマリー情報が表示されます。このマニュアルの「キーインジケータ」を参照して ジケータ ください。 異常な URL 長 の推移 異常な URL 長の件数の推移を表示するグラフフィルタで選択した標準偏差 (デフォルトでは 2) を上 回る URL 長を、X 軸を時間、Y 軸を件数とする線グラフで表示します。 URL 長 の詳細 URL文字列のほか、完全な URI 文字列などの詳細を表示する表ソース IP アドレスから複数のイベン トが発生している場合は、count 列に検出されたイベントの件数が表示されます。Z は URL 長の標準 偏差を示します。 ネットワークドメイン ネットワークダッシュボード ネットワーク保護ドメインでは、ルーター、スイッチ、ファイアウォール、IDS デバイスなどのネットワークベー スのデバイスやのネットワークの詳細が提供されます。このドメインでは、全体的なトラフィック量、トラフィッ クの特定のパターン、トラフィックを発生させているデバイスやユーザー、ポートごとのトラフィックなど、ネッ トワークのすべてのトラフィックが集計されます。ネットワークの脆弱性スキャンの結果も表示されます。 トラフィックセンターのダッシュボード トラフィックセンターのダッシュボードでは、全体的なネットワークのトラフィックがプロファイリングされ、タ イプの傾向やトラフィック量の変化の検出、変化の原因 (たとえば、特定のデバイスやポート) の分離に役立ちま す。これは、トラフィックの増加がセキュリティの問題なのか、またはネットワークのサーバーやその他のデバイ スの関係のない問題によって発生しているのかを判断する上で有用です。 フィルタを使って表示する項目を限定できます。[設定] メニューで新しいデータ入力を設定するか、インシデント レビューから特定のネットワーク侵入イベントを直接サーチします。 フィルタリ ングの対象 アクション ビジネスユ 説明 対処 ファイアウォール規則のアクションに基づいてフィルタ リング ID を対象とするグループまたは部署の分類 69 ドロップダウン:フィ ルタリングの対象を選 択 テキストフィールドデ フォルトは空白アスタ ニット ID を対象とするグループまたは部署の分類 リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュ ボードの上部にあるキーインジケータにはサマリー情報が表示されます。こ のマニュアルの「キーインジケータ」を参照してください。 アクションごとの トラフィックの推 移 ネットワークトラフィックをアクションごとに表示します。ドリルダウンで はトラフィックサーチのダッシュボードにページがリダイレクトされ、選択 したアクションと時間範囲がサーチされます。 プロトコルごとの トラフィックの推 移 特定のプロトコルについて、一日当たりのイベント数を表示します。ドリル ダウンではトラフィックサーチのダッシュボードにページがリダイレクトさ れ、選択したプロトコルと時間範囲がサーチされます。 上位のソース 一定の期間での全トラフィック量の上位を占めるソースを、ピークのイベン ト一致となるスパークラインとともに表示します。ドリルダウンではトラ フィックサーチのダッシュボードが開き、選択したソース IP と時間範囲が サーチされます。 スキャンアクティ ビティ (多数のシ ステム) ポートスキャナや脆弱性スキャナからのネットワークアクティビティを表示 し、こうしたスキャナの許可されていないインスタンスを特定します。ドリ ルダウンではトラフィックサーチのダッシュボードにページがリダイレクト され、選択したソース IP と時間範囲がサーチされます。 トラフィックサーチのダッシュボード ネットワークプロトコルのデータのサーチに役立つトラフィックサーチのダッシュボードは、サーチフィルタで整 理できます。このダッシュボードはネットワークデータのアドホックサーチで使用します。また、トラフィックセ ンターのダッシュボードパネルのドリルダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、トラフィックサーチのダッシュボードには結果が表示されません。 フィルタリ ングの対象 説明 対処 アクション ファイアウォール規則のアクションに基づ いてフィルタリング ドロップダウン:フィルタリングの 対象を選択 ソース ソース IP または名前に基づいてフィルタ リング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 宛先 宛先 IP または名前に基づいてフィルタリ ング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 伝送プロト コル 伝送プロトコルに基づいてフィルタリング ドロップダウン:フィルタリングの 対象を選択 宛先ポート 宛先ホストのポートに基づいてフィルタリ ング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 侵入センターのダッシュボード 70 侵入センターでは、侵入検出システム (IDS) と親友防止システム (IPS) のデバイスデータからのすべてのネット ワーク侵入イベントの概要が提供されます。このダッシュボードには IDS イベントの重大度と分量が表示される ため、IDS のアクティビティに関する報告に役立ちます。 フィルタリ ングの対象 説明 対処 IDS のタイ プ 指定した IDS のタイプに一致するイベントに基づいて フィルタリング ドロップダウン:フィ ルタリングの対象を選 択 IDS のカテ ゴリ ベンダー定義のカテゴリに一致するイベントに基づいて フィルタリング ドロップダウン。フィ ルタの対象を選択 重大度 イベントの重大度に基づいてフィルタリング ドロップダウン:フィ ルタリングの対象を選 択 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュ ボードの上部にあるキーインジケータにはサマリー情報が表示されます。こ のマニュアルの「キーインジケータ」を参照してください。 重大度ごとの攻撃 の推移 上位の攻撃の推移を重大度ごとに表示します。ドリルダウンでは侵入サー チのダッシュボードが開き、選択した重大度と時間範囲がサーチされます。 上位の攻撃 上位の攻撃を件数とシグネチャごとに表示します。ドリルダウンでは侵入 サーチのダッシュボードが開き、選択したシグネチャがサーチされます。 スキャンアクティ ビティ (多数の攻 撃) 一定の攻撃パターンを示しているソース IP を表示します。ドリルダウンで は侵入サーチダッシュボードが開き、選択したソース IP と時間範囲がサーチ されます。 新しい攻撃 - 過去 30 日間 初めて特定された攻撃を表示します。新しい攻撃ベクトルは、新しいマル ウェア感染など、特に新しい脅威の存在が原因でネットワークに変化が生じ たことを示唆します。ドリルダウンで侵入サーチのダッシュボードを開き、 選択したシグネチャと時間範囲をサーチします。 侵入サーチダッシュボード 侵入サーチのダッシュボードは、攻撃や偵察関連のアクティビティなど、IDS 関連イベントのサーチをサーチフィ ルタで定義された基準に基づいて行う上で役立ちます。このダッシュボードはネットワークデータのアドホック サーチで使用します。また、侵入センターダッシュボードパネルのドリルダウンサーチの第一の宛先でもありま す。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、侵入サーチのダッシュボードには結果が表示されません。 フィルタリ ングの対象 IDS のカテ ゴリ 重大度 説明 対処 ベンダー定義のカテゴリに一致するイベン トに基づいてフィルタリング ドロップダウン:フィルタリングの 対象を選択 イベントの重大度に基づいてフィルタリン ドロップダウン:フィルタリングの 71 重大度 グ 対象を選択 シグネチャ IDS のシグネチャ名に基づいてフィルタリ ング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 ソース ソース IP または名前に基づいてフィルタ リング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 宛先 宛先 IP または名前に基づいてフィルタリ ング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 脆弱性センターダッシュボード 脆弱性センターのダッシュボードでは、デバイスデータからの脆弱性イベントの概要が提供されます。 フィルタリ ングの対象 説明 対処 重大度 イベントの重大度に基づいてフィルタリン グ ドロップダウン:フィルタリングの 対象を選択 ビジネスユ ニット ID を対象とするグループまたは部署の分 類 テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリン グ詳細は、このマニュアルの「ダッシュ ボードフィルタ」を参照してください。 ドロップダウン:フィルタリングの 対象を選択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 60 日間のダッシュボードソースに該当するメトリックスを表示ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 上位の脆弱性 脆弱性スキャナが最も頻繁に報告した問題を表示します。問題が検出された 回数ではなく、問題発生のユニーク件数がグラフに表示されるよう、報告さ れた問題はホストごとに集計されます (同じのホストを複数回スキャンする と、そのたびに同じ脆弱性が検出されることが想定されるため)。ドリルダウ ンでは脆弱性サーチダッシュボードが開き、選択したシグネチャと時間範囲 がサーチされます。 最も脆弱なホスト 問題の報告件数が多いホストを表示します。ドリルダウンでは脆弱性サー チダッシュボードが開き、選択した重大度、ホスト、時間範囲がサーチされ ます。 重大度ごとの脆弱 性 脆弱性スキャナによって割り当てられた重大度ごとに問題を表示します。脆 弱性を個別に確認しても気づかない傾向を把握するのに役立ちます。ドリル ダウンでは脆弱性サーチのダッシュボードが開き、選択した重大度と時間範 囲がサーチされます。 新しい脆弱性 直近に発見された脆弱性と最初の発見日を表示します。調査の必要がある潜 在攻撃のベクトルとして、ネットワークに出現した新しい問題を特定するに 有用です。ドリルダウンでは脆弱性サーチダッシュボードが開き、選択した シグネチャと時間範囲がサーチされます。 脆弱性の操作のダッシュボード 脆弱性の操作のダッシュボードでは、環境にデプロイされている脆弱性検出製品のステータスとアクティビティを 追跡できます。このダッシュボードを使用すると、スキャンシステムの全体的な健全性の把握、長期的な問題の特 72 定、脆弱性のスキャンが行われなくなったシステムの発見が可能になります。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分 類 テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリン グ詳細は、このマニュアルの「ダッシュ ボードフィルタ」を参照してください。 ドロップダウン:フィルタリングの 対象を選択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 ダッシュボードパネル パネル 説明 スキャンアクティ ビティの推移 システムごとの脆弱性スキャンのアクティビティの推移を表示します。項目 にマウスオーバーすると詳細が表示されます。ドリルダウンでは脆弱性サー チダッシュボードが開き、選択した時間範囲がサーチされます。 存在期間ごとの脆 弱性 シグネチャ、宛先、イベント時間とともに、検出された脆弱性を存在期間ご とに表示します。項目をクリックすると、脆弱性のプロファイラに詳細が表 示されます。ドリルダウンでは脆弱性サーチのダッシュボードが開き、選択 したシグネチャまたは宛先ホストと時間範囲がサーチされます。 大きな脆弱性のス キャン 重大度が「高」の脆弱性のスキャンを表示します。ここにはシグネチャも含 まれます。ドリルダウンでは脆弱性サーチのダッシュボードが開き、選択し た宛先ホストと時間範囲がサーチされます。 脆弱性サーチのダッシュボード 脆弱性サーチのダッシュボードには、サーチフィルタで定義された基準に基づく脆弱性に関連するすべてのイベン トのリストが表示されます。このダッシュボードは脆弱性データのアドホックサーチで使用します。また、脆弱性 センターのダッシュボードパネルのドリルダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、脆弱性サーチのダッシュボードには結果が表示されません。 フィルタリングの 対象 説明 対処 脆弱性のカテゴリ ベンダー定義のカテゴリに一致する イベントに基づいてフィルタリング ドロップダウン:フィルタリングの 対象を選択 重大度 イベントの重大度に基づいてフィル タリング ドロップダウン:フィルタリングの 対象を選択 シグネチャ ベンダーのシグネチャ名に基づいて フィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 参照 (bugtraq、 cert、cve など) 共通のリファレンス標準に基づいて フィルタリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 宛先 宛先 IP または名前に基づいてフィル タリング テキストフィールドデフォルトは空 白アスタリスク (*) のあるワイルド カード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリングの 対象を選択 ネットワークのダッシュボードでのトラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ ボードには何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照 してください。 73 Web センターとネットワーク変更のダッシュボード Web センター Web センターのダッシュボードは、デプロイで Web トラフィックをプロファイルするために使用します。この ダッシュボードでは、プロキシサーバーから収集された Web トラフィックに関する報告が行われます。過剰な帯 域幅の使用やプロキシクライアントのためのコンテンツを送信しなくなったプロキシなど、潜在する問題の解決に 役立ちます。Web センターを使って、クライアントがリクエストしているコンテンツのタイプや、それぞれのク ライアントによる帯域幅の使用量をプロファルできます。 Splunk の [設定] で新しいデータ入力を設定するか、 インシデントレビューから特定のトラフィックイベントを 直接サーチします。画面上部にあるフィルタで表示する項目を制限できます。フィルタはキーインジケータに適用 されません。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに関するメトリックスを表示ダッシュ ボードの上部にあるキーインジケータにはサマリー情報が表示されます。こ のマニュアルの「キーインジケータ」を参照してください。 メソッドごとのイ ベントの推移 メソッド、またはクライアントによってリクエストされた HTTP メソッド (POST、GET、CONNECT など) ごとに、プロキシイベントの総数の推移を表 示します。 ステータスごとの イベントの推移 ステータスまたは HTTP の応答のステータスごとに集計されたプロキシイベ ントの総数を表示します。 上位のソース 大量のネットワークトラフィックに関連しているソース大量のネットワーク トラフィックを使用しているソース (ファイル共有ホストなど) や頻繁にリク エストされることで大量のトラフィックを発生している宛先 (YouTube や Pandora など) を特定するのに役立ちます。 上位の宛先 大量のネットワークトラフィックに関連している宛先大量のネットワークト ラフィックを使用しているソース (ファイル共有ホストなど) や頻繁にリクエ ストされることで大量のトラフィックを発生している宛先 (YouTube や Pandora など) を特定するのに役立ちます。 Web サーチ Web サーチのダッシュボードは、サーチフィルタで定義される基準に基づいて、注目すべき Web イベントを サーチするのに役立ちます。このダッシュボードは Web データのアドホックサーチで使用します。また、Web センターのダッシュボードのパネルのドリルダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を行ってから [送信] をクリックした場合を除き、Web サーチのダッシュボードには結果が表示されません。 フィルタリ ングの対象 HTTP のメ ソッド 説明 対処 HTTP のメソッドに基づいてフィルタリング 74 テキストフィールドデフォルト は空白アスタリスク (*) のある ソッド ワイルドカード文字列 HTTP のス テータス HTTP のステータスコードに基づいてフィルタ リング テキストフィールドデフォルト は空白アスタリスク (*) のある ワイルドカード文字列 ソース ソース IP または名前に基づいてフィルタリン グ テキストフィールドデフォルト は空白アスタリスク (*) のある ワイルドカード文字列 宛先 宛先 IP または名前に基づいてフィルタリング テキストフィールドデフォルト は空白アスタリスク (*) のある ワイルドカード文字列 URL URL の詳細に基づいてフィルタリング テキストフィールドデフォルト は空白アスタリスク (*) のある ワイルドカード文字列 時間範囲 表示する時間範囲を選択 ドロップダウン:フィルタリン グの対象を選択 ネットワークの変更 ネットワークの変更のダッシュボードでは、ファイアウォールやその他のネットワークデバイスの設定の変更を追 跡できます。このダッシュボードはデバイスの問題解決に役立ちます。ファイアウォールやデバイスが頻繁に停止 するのは、最近の設定の変更が原因です。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 アクションごとの ネットワークの変 更 デバイスに加えられたすべての変更を変更のタイプごとに、またはデバイス が追加、削除、変更、変更されたかどうかを表示します。ドリルダウンでは 「新規サーチ」のダッシュボードが開き、選択したアクションと時間範囲が サーチされます。 デバイスごとの ネットワークの変 更 変更されたデバイスと変更の件数を、変更の件数が多いデバイスでソートし て表示します。ドリルダウンでは「新規サーチ」のダッシュボードが開き、 選択したデバイスと時間範囲がサーチされます。 最近のネットワー クの変更 直近のネットワークデバイスへの変更を最新の日付でまとめた表を表示しま す。 トラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ ボードには何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照 してください。 ポート /プロトコルトラッカーのダッシュボード ポート/プロトコルトラッカーでは、Enterprise Security の [設定] > [データ強化] > [リスト/ルックアップ] で 設定されるルールに基づいて、ポートとプロトコルのアクティビティが追跡されます。ルックアップテーブルは組 織が許容するネットワークポートを指定します。このダッシュボードでポートごとの新たなアクティビティを確認 75 することで、組織の方針に準拠していないデバイスを特定できるほか、禁止されているトラフィックの検出も可能 です。 フィルタリ ングの対象 説明 対処 ビジネスユ ニット ID を対象とするグループまたは部署の分類 テキストフィールドデ フォルトは空白アスタ リスク (*) のあるワイ ルドカード文字列 カテゴリ ホストのカテゴリに基づいてフィルタリング詳細は、こ のマニュアルの「ダッシュボードフィルタ」を参照して ください。 ドロップダウン:フィ ルタリングの対象を選 択 ダッシュボードパネル パネル 説明 ポート/プロトコ ルプロファイラ ポートのアクティビティが増加または減少しているかを評価するためのネッ トワークのトランスポート量とポートのアクティビティを表示します。承認 されていないポートのアクティビティの急増は、感染といったネットワーク デバイスの変化を示すことがあります。ドリルダウンでは「新規サーチ」の ダッシュボードが開き、選択したトランスポート先のポートと時間範囲が サーチされます。 新しいポートのア クティビティ - 過 去 7 日間 トランスポートとポートのトラフィック通信の推移をまとめた表を表示しま す。ドリルダウンではトラフィックサーチのダッシュボードが開き、選択し たトランスポートと時間範囲がサーチされます。 禁止されている/ 安全でないトラ フィックの推移 過去 24 時間 禁止されているポートのアクティビティの推移が表示されるため、承認され ていないポートのアクティビティが増加、または減少しているかを把握でき ます。ドリルダウンでは「新規サーチ」のダッシュボードが開き、選択した 伝送先のポートと時間範囲がサーチされます。 禁止されているト ラフィックの詳細 - 過去 24 時間 禁止されているネットワークトラフィックのイベントの件数を表にまとめて 表示します。ドリルダウンでは「新規サーチ」ダッシュボードが開き、選択 したソース IP、宛先 IP、トランスポート、ポート、時間範囲がサーチされま す。 トラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ ボードには何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照 してください。 プロトコルインテリジェンスのダッシュボード プロトコルインテリジェンスは、一般的なネットワークプロトコルから収集された情報について報告を行うダッ シュボードとサーチのコレクションです。これらのダッシュボードでは、システムやネットワークの HTTP、 DNS、TCP/UDP、TLS/SSL、一般的なメールプロトコルに関する詳細を把握できます。 プロトコルインテリジェンスのダッシュボードでは、「Splunk App for Stream」や「Splunk Add-on for Bro IDS」など、App からのパケットキャプチャデータが使用されます。該当するデータがない場合。ダッシュボード には何も表示されません。 パケットキャプチャデータには、通常はログファイルで収集されないセキュリティ関連の情報が含まれます。ネッ トワークプロトコルのデータの統合によって、セキュリティ関連の脅威の検出、監視、応答時のための追加のコン テキストの充実したソースが提供されます。 Splunk App for Stream の統合に関する情報については、『インストールとアップグレード 』マニュアルの 「Splunk App for Stream の統合」を参照してください。 Splunk App for Stream が対応しているプロトコルについては『Splunk App for Streamのデプロイと使用 』マ ニュアルのSplunk App for Stream の「対応プロトコル」を参照してください。 プロトコルセンター プロトコルセンターのダッシュボードでは、セキュリティ関連のネットワークプロトコルのデータの概要が提供さ れます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表示され 76 ます。 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに該当するメトリックスを表示ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 プロトコルごとの 接続 すべてのプロトコルの接続の合計の推移をプロトコルごとに表示します。プ ロトコルごとの接続の分布では、メールや HTML/SSL など、環境で最も多く 使用されているプロトコルが表示されます。プロトコルが悪用されている と、サービスのタイプに不相応な数の接続が表示される場合があります。 プロトコルごとの 使用量 すべてのプロトコルトラフィックのバイト数の合計の推移をプロトコルごと に表示します。プロトコルごとの帯域幅の使用量は、ネットワークトラ フィックの合計に対して一貫性を示します。プロトコルが悪用されている と、使用量に不相応なトラフィックの増加が示される場合があります。 上位の接続ソース プロトコルトラフィックの送受信の合計ごとに、上位 10 件のホストの推移 を表示します。大量の接続が認められるホストでは、大きな負荷、問題、ま たは不審なアクティビティが発生している可能性があります。ドリルダウン ではトラフィックサーチのダッシュボードにページがリダイレクトされ、選 択したソース IP がサーチされます。 ウェルノウンポー トの使用量 プロトコルトラフィックの合計の推移を 1024 に該当するポートごとにソー トして表示します。ポートごとの帯域幅の使用量は、ネットワークトラ フィックの合計に対して一貫性を示します。ポートが悪用されていると、使 用量に不相応な帯域幅の増加が示される場合があります。ドリルダウンで はトラフィックサーチのダッシュボードにページがリダイレクトされ、選択 したポートがサーチされます。 長い接続 3 分を超える TCP の接続を表示します。ホスト間の長い接続は、異常な、ま たは不審なアクティビティを示唆している場合があります。ドリルダウンで はトラフィックサーチのダッシュボードが開き、選択したイベントがサーチ されます。 データソース プロトコルセンターのダッシュボードのレポートでは、ネットワークトラフィックのデータモデルのフィールドが 使用されます。関連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆 弱性スキャナやパケット分析ツールで取得されたネットワークの TCP および UDP のプロトコルトラフィックを 生成するすべてのデバイスやユーザーが含まれます。 DNS のアクティビティ DNS のアクティビティのダッシュボードには、監視されている DNS のインフラに関するデータの概要が表示さ れます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表示され ます。 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに該当するメトリックスを表示ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 ユニークソースご との上位の応答 コード ホストで観察された上位の DNS 応答コードを表示します。不明または利用不 可能なドメインに対して大量の DNS クエリを行っているホストでは、大量の DNS ルックアップの失敗(一部は成功)が報告されます。このような DNS クエリのパターンは、データ漏えいの試み、または不審なアクティビティを 示唆している場合があります。ドリルダウンではDNS サーチのダッシュボー ドが開き、選択した応答コードがサーチされます。 上位の DNS クエ リのソース ネットワークでの DNS クエリの上位のソースを表示します。大量の DNS ク エリを送信しているホストでは、不適切な設定、技術的な問題、不審なアク ティビティが発生している可能性があります。ドリルダウンではDNS サー チのダッシュボードが開き、選択したソース IP アドレスがサーチされます。 77 上位の DNS クエ リ DNS クエリのリクエストの上位 10 件の推移を表示します。ドリルダウンで はDNS サーチのダッシュボードが開き、クエリを行ったホストのアドレスが サーチされます。 ドメインごとのク エリ ドメインでグループ化された最も頻繁なクエリを表示します。見慣れないド メインがネットワーク上のホストから大量のクエリを受信していると、デー タ漏えいの試みや不審なアクティビティが発生している可能性があります。 ドリルダウンではDNS サーチのダッシュボードが開き、クエリを行ったドメ インのアドレスがサーチされます。 最近の DNS クエ リ 最近の 50 件の DNS 応答のクエリを詳細とともに表示します。ドリルダウン ではDNS サーチのダッシュボードが開き、選択したクエリのアドレスがサー チされます。 データソース DNSのダッシュボードのレポートでは、ネットワーク解決のデータモデルのフィールドが使用されます。関連す るデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケッ ト分析ツールで取得されたネットワークの DNS のプロトコルトラフィックを生成するすべてのデバイスやユー ザーが含まれます。 DNS サーチ DNS プロトコルのデータのサーチに役立つDNS サーチのダッシュボードは、サーチフィルタで整理できます。 このダッシュボードは DNS データのアドホックサーチで使用します。また、DNSダッシュボードパネルのドリル ダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] を クリックした場合を除き、DNS サーチのページには結果が表示されません。 フィルタリングの 対象 説明 対処 ソース ソース IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 宛先 宛先 IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード クエリ DNS クエリ テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード メッセージのタイ プ DNS メッセージのタイプ:クエ リ、応答またはすべて ドロップダウン:フィルタリングの対象を 選択 応答コード DNS 応答のタイプ:すべて、す べてのエラー、一般的な応答 コードのリスト ドロップダウン:フィルタリングの対象を 選択 SSL のアクティビティ SSL のアクティビティのダッシュボードには、 SSL を使用するトラフィックと接続の概要が表示されます。この ダッシュボードでは、ペイロードを復号することなく、SSL で暗号化されたトラフィックを使用ごとに確認でき ます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表示されま す。 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに該当するメトリックスを表示ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 共通名ごとの SSL のアクティ ビティ SSL 証明書の共通名 (CN) ごとにアウトバウンドの SSL 接続を表示します。 見慣れないドメインがネットワーク上のホストから大量の SSL 接続を受信し ていると、データ漏えいの試みや不審なアクティビティが発生している可能 性があります。ドリルダウンではSSL サーチのダッシュボードにページがリ ダイレクトされ、選択した共通名がサーチされます。 既知のクラウドサービスをとなる CN ごとに、アクティブなセッションの件 78 SSL クラウド セッション 最近の SSL セッ ション 数を表示します。CN はクラウドドメインのルックアップファイルに事前設定 されているクラウドサービスのドメインのリストと比較されます。ルック アップの編集についての詳細は、このマニュアルの「リスト/ルックアップエ ディタ」を参照してください。ドリルダウンではSSL サーチダッシュボード が開き、選択したソース IP と共通名がサーチされます。 最も新しい 50 件の SSL セッションを SSL キーに関する情報とともに表で表 示します。ssl_end_time、ssl_validity_window および ssl_is_valid のフィールド では色分けされたテキストが使用されているため、期限切れの証明書、期間 が短い証明書、無効な証明書をすばやく特定できます。ドリルダウンで はSSL サーチのダッシュボードにページがリダイレクトされ、選択したイベ ントの完全な詳細が表示されます。 データソース SSL のアクティビティのダッシュボードのレポートでは、証明書データモデルのフィールドが使用されます。関 連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパ ケット分析ツールで取得されたネットワークの SSL のプロトコルトラフィックを生成するすべてのデバイスや ユーザーが含まれます。 SSL サーチ SSL プロトコルデータのサーチに役立つSSL サーチのダッシュボードは、サーチフィルタで整理できます。この ダッシュボードは SSL プロトコルのデータのアドホックサーチで使用します。また、SSL アクティビティダッ シュボードパネルのドリルダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] を クリックした場合を除き、SSL サーチのページには結果が表示されません。 フィルタリングの 対象 説明 対処 ソース ソース IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 宛先 宛先 IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 件名/発行者の共 通名 x.509 証明書の件名 または発行 者のフィールドから取得した共 通名 テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 証明書のシリアル 番号 x.509 証明書のシリアル番号の フィールド テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 証明書のハッシュ x.509 証明書のシグネチャの フィールド テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード メールアクティビティ メールアクティビティのダッシュボードには、監視されているメールのインフラに関するデータの概要が表示され ます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表示されま す。 ダッシュボードパネル パネル 説明 キーインジケータ 過去 48 時間のダッシュボードソースに該当するメトリックスを表示ダッ シュボードの上部にあるキーインジケータにはサマリー情報が表示されま す。このマニュアルの「キーインジケータ」を参照してください。 上位のメールソー ス メールプロトコルのトラフィックを多く発生しているホストを表示します。 ホストがネットワークで過剰な量のメールを送信していると、異常な、また は不審なアクティビティが発生している可能性があります。スパークライン で確認されるホストに周期性が認められる場合は、スクリプトによるアク ションの可能性があります。ドリルダウンではメールサーチのダッシュボー ドが開き、選択したソース IP がサーチされます。 大容量のメール 2MB を超えるメールを送信しているホストを表示します。大容量のメールを 繰り返し送信するホストの存在は、不審なアクティビティやデータ漏えいを 79 大容量のメール 示唆している場合があります。ドリルダウンではメールサーチのダッシュ ボードが開き、選択したソース IP がサーチされます。 稀な送信元 メールをほとんど送信していない送信元のメールアドレスを表示します。 サービスアカウントや非ユーザーのアドレスからメールが送信されている場 合は、不審なアクティビティやフィッシングの試みが発生している可能性が あります。ドリルダウンではメールサーチダッシュボードが開き、選択した 送信元がサーチされます。 稀な受信先 メールをほとんど受信していない受信先のメールアドレスを表示します。 サービスアカウントや非ユーザーのアドレスでメールが受信されている場合 は、不審なアクティビティやフィッシングの試みが発生している可能性があ ります。ドリルダウンではメールサーチダッシュボードが開き、選択した受 信先がサーチされます。 データソース メールのダッシュボードのレポートでは、メールのデータモデルのフィールドが使用されます。関連するデータ ソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケット分析 ツールで取得されたネットワークのメールのプロトコルトラフィックを生成するすべてのデバイスやユーザーが含 まれます。 メールサーチ メールプロトコルのデータのサーチに役立つメールサーチのダッシュボードは、サーチフィルタで整理できます。 このダッシュボードはメールプロトコルのデータのアドホックサーチで使用します。また、メールアクティビ ティのダッシュボードパネルのドリルダウンサーチの第一の宛先でもあります。 ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] を クリックした場合を除き、メールサーチのページには結果が表示されません。 フィルタリングの 対象 説明 対処 メールのプロトコ ル メール通信のプロトコル ドロップダウンフィルタリングの対象を選 択 ソース ソース IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 送信元 送信元のメールアドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 宛先 宛先 IP アドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード 受信先 受信先のメールアドレス テキストフィールドデフォルトは空白アス タリスク (*) のあるワイルドカード プロトコルインテリジェンスのダッシュボードでのトラブルシューティング プロトコルインテリジェンスのダッシュボードでは、「Splunk App for Stream」や「Splunk Add-on for Bro IDS」など、App からのパケットキャプチャデータが使用されます。適合するデータがない場合、ダッシュボード には何も表示されません。Splunk App for Stream と ES の統合についての概要は、『インストールとアップグ レード 』マニュアルの「Splunk App for Stream の統合」を参照してください。詳細は、このマニュアルの 「ダッシュボードのトラブルシューティング」を参照してください。 ダッシュボード ダッシュボードの概要 Splunk Enterprise Security には、システムのすべてのセキュリティ脅威に関する高度な概要を提供するための さまざまなダッシュボードが用意されています。 デフォルトのダッシュボード このセクションでは、Enterprise Security のデフォルトのダッシュボードについて説明します。表示させるダッ シュボードやメニューは変更することができます。 80 デフォルトでは次のダッシュボードが表示されます。 セキュリティ体制 インシデントレビュー 自分の調査 予測分析 エンティティ調査 高度な脅威 セキュリティドメインのダッシュボード: アクセス、エンドポイント、ネットワーク、 ID 監査 サーチのダッシュボードには、ダッシュボード、レポート、ピボット、サーチが含まれます。 セキュリティ体制とインシデントレビューのダッシュボード セキュリティ体制とインシデントレビューのダッシュボードでは、Splunk Enterprise Security のデプロイの高 度な概要が提供されます。これらのダッシュボードでは、調査を必要とする特定のパターンやセキュリティの問題 を発見するために集約されるイベントの重要なイベントが使用されます。重要なイベントは相関サーチと呼ばれる サーチによって生成されます。 セキュリティ体制: 「セキュリティに問題はないか?」Enterprise Security の主要なダッシュボード環境全 体の過去 24 時間の重要なイベントに関する高度なサマリーと傾向を視覚的に表示します。このダッシュ ボードはリアルタイムサーチによって常に更新されます。 インシデントレビュー: 「今、何をすべきか?」環境内で特定されたすべての重要なイベントの詳細を表示 します。このダッシュボードでは、重要なイベントのアクティビティの監視、緊急度やドメインなどの基準 によるイベントのフィルタリング、重要なイベントのステータスの管理を行うことができます。 注意: 最初、これらのダッシュボードには何も表示されません。基礎となる相関サーチが有効にされるまで、コン テンツは表示されません。このマニュアルの「相関サーチを有効にする」をご覧ください。 ドメインのダッシュボード セキュリティの 3 つの主要なドメインであるアクセス保護、エンドポイント保護、ネットワーク保護を可視化し ます。 アクセス: ログインの試みやアクセス制御に関するイベントなど、認証データに関連するダッシュボー ドのコレクション エンドポイント: マルウェア感染、システム設定、システムメトリックス、パッチ履歴、時間同期の情 報など、エンドポイントのデータに関連するダッシュボードのコレクション ネットワーク: ファイアウォール、ルーター、ネットワークベースの侵入検出システム、ネットワーク 脆弱性スキャナ、プロキシサーバー、ホストなど、デバイスから提供されるネットワークトラフィッ クデータに関連するダッシュボードのコレクション ID : ユーザーによって定義されたアセットや ID の情報に関連するダッシュボードのコレクション それぞれのドメインには、重要なセキュリティ要素の概要を提供するサマリーダッシュボードのほか、詳細情報の ドリルダウンが可能なサーチのダッシュボードがあります。 センター: 「マルウェアセンター」や「アセットセンター」など、一定のドメインを対象とするセキュ リティイベントの概要を提供します。これらのダッシュボードでは、対策を必要とする重大な傾向や 関連する問題を特定できます。 分析: 「トラフィックサイズ分析」、「HTTP ユーザーエージェント分析」など、イベントに関する統 計的情報を提供します多様なカスタムフィルタを使用して、調査の必要がある異常なイベントを発見 できます。 サーチのダッシュボード: 「プロキシサーチ」や「脆弱性サーチ」など、Splunk のサーチ言語に関す る高度な知識がなくても、ドメイン専用のサーチツールを簡単に使用できます。 監査のダッシュボード: バックグラウンドプロセスやタスクの詳細を提供します。監査のダッシュボー ドは、システムやユーザーが実行したアクティビティを確認し評価するために使用します。 ダッシュボードの共通機能 ドメインのダッシュボードには、たくさんの共通する機能があります。 ダッシュボードフィルタ 多くのダッシュボードには、選択した基準に一致するイベントだけを表示するためのフィルターバーがあります。 選択は現在のダッシュボードだけに適用され、他のダッシュボードには影響しません。ダッシュボードのフィルタ 81 は、そのダッシュボード内のすべてのパネルに適用されるない場合があります。 フィルタを使用するには、選択および/または希望するテキストの入力、文字列でのワイルドカードの使用(必要 に応じて)、時間範囲の調整、サーチを行う必要があります。たとえば、たくさんのダッシュボードはビジネスユ ニットやカテゴリの選択に対応しているため、異なる部署間でセキュリティ体制やパターンを比較できます。 アクション フィルタの動作 成功: アクションのソースはアクションを完了しました (たとえば、宛先デバイスへの認 ソースに基づくアク 証の成功)。 ション 失敗: アクションのソースはアクションを完了できませんでした (たとえば、宛先デバイ スへの認証の失敗)。 デバイスに基づくア 許可: デバイスがアクションを許可しました。 クション ブロック: デバイスがアクションをブロックしました。 許可: 悪意ある実行ファイルの存在が許可されました。 エンドポイントまた ブロック: 悪意ある実行ファイルによるアクションの実行が阻止されました。 はマルウェアに基づ 保留: 悪意ある実行ファイルを完全に修正できませんでしたが、後日完全に修正されま くアクション す。これは、システムが再起動されるまでファイルを削除できない場合に多くみられ、次 の再起動まで削除が保留されることになります。 ビジネスユニット フィルタの動作 ホストのビジネスユニットに基づいてフィルタリングビジネスユニットと照合するための文 字列を入力します。文字数に関係なく照合を行うには、アスタリスクのワイルドカード (*) を使用します。照合では大文字と小文字が区別されしません。すべてのテキストの値は小文 字にする必要があります。 ビジネスユニットは、アセットや ID のリストに関連して実装される自由な形式のフィール ドです。このフィルタを使うには、デプロイでアセットのリストを設定する必要がありま ビジネスユニット す。詳細は、このマニュアルの「新しいアセットまたは ID のリストの設定」を参照してく ださい。 注意: サーチではシステムの所有者のビジネスユニットも考慮されるため、ビジネスユニッ トでのフィルタリングには想定外のシステムも含まれます。APAC のフィルタには APAC に 基づくシステムのほか、APAC のマネージャに所有される他のビジネスユニットに基づくシ ステムが含まれます。 カ テ ゴ リ フィルタの動作 カ テ ゴ リ ホストのカテゴリに基づいてフィルタリングサーバー、ワークステーション、ドメインコントローラ、PCI などのコンプライアンスやセキュリティの標準など、カテゴリ名は機能のカテゴリを示します。すべのカテ ゴリを選択してフィルタリングを行い、それらのカテゴリを結果に含めることができます。カテゴリのフィ ルタを使用するには、カテゴリのリストとアセットの設定が必要です。 ダッシュボードのドリルダウン ダッシュボードを構成する表やグラフはパネルと呼ばれ、イベントが総合的に表示されます。グラフの点やセグメ ント、表の行をクリックすると、イベントの詳細を参照できます。ドリルダウンでは、クリックした場所から取得 した値を使って詳細な結果が表示されます。 82 パネルエディタ パネルエディタでは、パネル内のデータを生成するサーチの詳細を参照できます。また、パネルにマウスオーバー すると表示されるアイコンから、たくさんのオプションを利用できます。 [サーチ] App でサーチを開く。 サーチ結果をさまざまな形式でエクスポートする。 サーチジョブ調査でサーチを表示する。 サーチを更新する。 ワークフローアクション ワークフローアクションを使って、データ内の特定のフィールドと他のアプリケーションや Web リソース間のや り取りができます。単純なワークフローアクションは、IP アドレス持つフィールドが含まれるすべてのソースイ ベントで利用できます。このアクションを選択すると、IP アドレスの値に基づく外部の WHOIS サーチが起動し ます。 イベントアクションとアクションのメニューには関連するワークフローアクションが含まれ、ソースイベントを表 示するすべてのダッシュボードで使用できます。ダッシュボードパネルからドリルダウンを使って、ソースイベン トを確認できます。 83 新しいワークフローアクションの実装 ワークフローアクションの構築に関する詳細と例については、『ナレッジ管理 』マニュアルの「フィールドおよ びイベントメニューへのワークフローアクションの表示設定」を参照してください。 高度なフィルタ 一部のダッシュボードには、ダッシュボードのビューに表示されていないイベントをフィルタリングできる高度な フィルタのオプション(「パネルごとのフィルタリング」)があります。この機能を利用することで、調査が必要な イベントの発見が容易になります。 イベントが脅威だと判断したら、高度なフィルタのエディタを使って、既知の脅威としてイベントをブラッ クリストに追加します。 イベントが脅威でないと判断したら、そのイベントをホワイトリストに追加してダッシュボードのビューか ら除外します。 注意: 高度なフィルタのアイコンは、ユーザーに権限がなければ表示されません。権限の設定については、『イン ストールと設定』マニュアルの「ユーザーとロールの設定」を参照してください。 ホワイトリストのイベント イベントが脅威ではないと判断したら、そのイベントをホワイトリストに登録してダッシュボードのビューで非表 示にできます。ホワイトリストに登録されたイベントはダッシュボードに表示されなくなるものの、サマリー統計 の対象外になることはありません。 イベントをホワイトリストに登録する 高度なフィルタを使って、イベントをホワイトリストに登録、またはフィルタリングします。 たとえば、トラフィックサイズ分析のダッシュボードでトラフィックイベントをホワイトリストに登録します。 1. チェックボックスを使ってフィルタリングする項目を選択します。 2. 右上の[高度なフィルタ...] をクリックし、このダッシュボードでフィルタリング可能なイベントのオプショ ンを表示します。 3. ラジオボタンを選択肢てイベントをフィルタリングします。たとえば、トラフィックサイズ分析のダッシュ ボードでは、イベントをフィルタリングしてビューに表示させないようにしたり、重要なものとして目立た せるために強調表示することができます。 4. 完了したら[保存] をクリックします。 84 注意: フィルタリングされたイベントはビューには表示されなくなるものの、ダッシュボードで行われる計算から は除外されません。 ホワイトリストに追加すると、イベントには問題がない (脅威ではない) と見なされ、トラフィックサイズ分 析ダッシュボードに表示されなくなります。 ホワイトリストからのイベントの削除 1. [高度なフィルタ] の次に [ルックアップファイルの表示/編集] をクリックし、フィルタリングされているエ ントリのリストを表示します。 2. 表のセルを右クリックし、コンテキストメニューを表示します。 3. [行を削除] を選択し、ホワイトリストに登録されているイベントの行を削除します。 4. [保存] をクリックします。 ブラックリストイベント イベントはブラックリストにも登録できます。ブラックリストへの登録は、悪意あるイベントが特定された場合、 または悪意あるコマンド・制御サーバーとの通信が考えられる場合に行います。イベントや文字列がデータに現れ た場合は、脅威の拡大の本質を把握するために、システム、システムに関連するユーザー、web のアクティビ ティを必ず調査したほうがよいでしょう。 イベントや文字列のブラックリストへの登録は、ホワイトリストの場合と変わりありません。ブラックリストに登 録できるのは、ダッシュボードでフィルタリングされたイベントだけです。 イベントをブラックリストに登録する たとえば、トラフィックサイズ分析のダッシュボードでトラフィックイベントをブラックリストに追加する方法は 下記のとおりです。 1. [高度なフィルタ] のページから、[ルックアップファイルの表示/編集] をクリックし、フィルタリングされて いるエントリのリストを表示します。 2. ブラックリストに登録するエントリを見つけます。フィルタ列で、[ホワイトリスト] の文字をダブルクリッ クしてセルを編集します。[ホワイトリスト] を消去し、[ブラックリスト] と入力します。 3. [保存] をクリックします。 パネルごとのフィルタのリストの編集 パネルごとのフィルタの最新のリストをダッシュボードに表示するには、[設定] > [データ強化] > [リスト/ルッ クアップ] へと進みます。ダッシュボードフィルタであることの説明があるリストに、そのダッシュボードの現在 のパネルごとのフィルタが表示されます。ダッシュボードのホワイトリストに追加されたイベントもここに表示さ れます。 たとえば、脅威アクティビティフィルタのリストには脅威アクティビティのダッシュボードのフィルタが表示され ます。 パネルごとのフィルタのリストを編集します。 1. 該当するダッシュボードのフィルタのリストを開きます。たとえば、 ppf_threat_activity など、フィルタの 名前が左上の隅に表示されます。。 2. フィールドを編集するには、セルを選択してから入力を行います。 3. フィルタの行や列を挿入または削除するには、フィールドを右クリックして編集のオプションを表示しま す。行を削除すると、イベントがダッシュボードパネルのビューに戻り、ホワイトリストから削除されま す。 4. イベントをブラックリストに登録するには、エディタを使ってテーブルに新しい行を追加し、[フィルタ] 列 に [ブラックリスト] と指定します。 5. 完了したら[保存] をクリックします。 パネルごとのフィルタの監査 パネルごとのフィルタへの変更は、パネルごとのフィルタリングの監査ログに記録されます。ルックアップエディ タとパネルごとのフィルタのモジュールでは、パネルごとのフィルタが変更されます。パネルごとのフィルタ は、パネルごとのフィルタの監査のダッシュボードで監査されます。 キーインジケータ Splunk Enterprise Security には、ES 内のセキュリティドメインダッシュボードの使用事例に合わせて設定され た事前定義のキーインジケータが含まれます。キーインジケータには、インジケータの重要性や優先度を示すため の値インジケータ、傾向の値、傾向インジケータ、閾値などがあります。 キーインジケータは、セキュリティに関するメトリックスを一目で把握できるよう設計されています。インジケー タにはいくつかの要素が表示されます。 85 メトリックスの説明: セキュリティ関連のメトリックスの簡単な説明 値インジケータ: イベントの現在の件数を表示閾値を超えた件数は表示される色が変わります(閾値が設定 されている場合)。これは、ドリルダウンサーチのリンク元でもあります。 傾向の値: イベントの件数の推移を表示 傾向インジケータ: 傾向の値の変化を矢印で表示表示内容により、矢印の方向と色が変わります。 キーインジケータは、イベントの件数の推移を示すサーチによって追加されます。デフォルトの相対期間は 48 時 間です。キーインジケータのサーチは Enterprise Security で定義されているデータモデル、または Common Information Model App で定義されているデータモデルに対して実行されます。ほんの一部のキーインジケータ は、重要なイベントの件数に対してもサーチを実行します。 キーインジケータの編集 Enterprise Security にはあらかじめ設定されたキーインジケータが含まれています。ダッシュボードのキーイン ジケータの行ではエディタを使用できるため、ダッシュボードを離れることなく、キーインジケータの表示を直 接、簡単に変更できます。また、Enterprise Security の [コンテンツ管理] ページではさらに詳細な変更を行うこ とができます。 ダッシュボードの編集 インジケータバーの左上にある[編集] の鉛筆アイコンをクリックします。インジケータの上に編集ツールが表示さ れます。 キーインジケータの並べ替え インジケータをドラッグ アンド ドロップして再配置できます。それぞれの行に 5 つまでのインジケータを配置で きます。また、複数の行を配置できます。 キーインジケータの削除 インジケータを削除するには、インジケータの右上にある [X] をクリックします。ダッシュボードからインジ ケータを削除しても、Enterprise Security のキーインジケータの設定は削除されません。 キーインジケータの追加 キーインジケータを追加するには、エディタタブの [+] アイコンをクリックし、[インジケータの追加] パネルを 表示します。60 を上回るキーインジケータがあらかじめ用意されています。チェックマークのアイコンをクリッ クして保存します。 閾値の設定 それぞれのキーインジケータには閾値を設定できます。閾値はインジケータが受け入れられるイベントの件数で す。閾値が設定されている場合、イベントの件数が正常か、または注意すべきかを示すために値インジケータの色 が変わります。閾値を設定しない場合、値インジケータは黒で表示されます。閾値が値インジケータの値を上回る と、値インジケータの値は緑で表示されます。閾値が値インジケータの値を下回ると、値インジケータの値は赤で 表示されます。 キーインジケータの設定 キーインジケータの設定は Enterprise Security で変更できます。[設定] > [コンテンツ管理] へと進みます。 コンテンツ管理ページ [コンテンツ管理] のページには、すべてのビュー、キーインジケータ、保存データ、エンティティ調査、相関サー 86 チが表示されます。タイプごとにソートすることで、表示する内容を整理できます。キーインジケータのタイプを 選択すると、キーインジケータだけを表示できます。キーインジケータの場合、サーチの高速化オプションは、 [コンテンツ管理] ページまたは [キーインジケータサーチの編集] ページで直接有効にできます。 アクション [コンテンツ管理] ページのアクション列を使って、キーインジケータサーチを高速化できます。 [コンテンツ管理] ページの高速化リンクを選択して高速化を有効にし、更新頻度スケジュール済みレポートの基本 スケジュールを設定します。キーインジケータが高速化されると、 [コンテンツ管理] ページに次の予定時刻が追 加され、インジケータの雷記号の色がグレーから黄色に変わります。 キーインジケータサーチの編集のページ [設定] > [コンテンツ管理]へと進み、[キーインジケータサーチ] を選択して[キーインジケータサーチの編集] ページを表示します。このページでは、キーインジケータの詳細オプションを変更できます。[プレビュー] ボタン では、設定の変更を保存する前に確認できます。 [キーインジケータサーチの編集] の設定ページでは、多数のフィールドが定義されます。 サーチ名: インジケータサーチの簡単な説明 宛先 App: サーチを含む App の名前 タイトル: ダッシュボードのインジケータの上に表示されるタイトルテキスト サブタイトル: 件数のタイプを示し、タイトルの下に表示されるテキスト サーチ: 実行するサーチ文字列 ドリルダウンの URL: キーインジケータに組み込まれているリンクのデフォルト動作を上書きするための フィールドフィールドが空白の場合は、キーインジケータのリンクをクリックして、キーインジケータの データを生成するサーチの結果を表示します。[ドリルダウンのURL] フィールドに新しいサーチ URL を挿 入すると、リンクをクリックしてカスタムサーチを開けます。 高速化 キーインジケータはスケジュール設定によって高速化できます。高速化されたキーインジケータサーチは、スケ ジュール済みレポートとして実行されます。スケジュール済みレポートの結果はキャッシュされるため、キーイン ジケータがダッシュボードでよりすばやく表示されるようになります。キャッシュされたサーチ結果が利用可能に なると、キーインジケータのロード時間が短縮されます。 スケジュール: チェックボックスを選択すると、キーインジケータサーチの高速化が有効になります。 Cron スケジュール: 標準的な Cron 表記を使って、スケジュールの頻度を編集または変更します。 キーインジケータが高速化されると、 [カスタムサーチ] ページに次の予定時刻が追加され、インジケータの雷記 号の色がグレーから黄色に変わります。 表示のオプション 閾値: 値インジケータが表示される色を決定する値 閾値を設定しない場合、値インジケータは黒で表示されます。 閾値が値インジケータの値を上回ると、値インジケータの値は緑で表示されます。 閾値が値インジケータの値を下回ると、値インジケータの値は赤で表示されます。 傾向インジケータの矢印の方向は、閾値によって変化します。反転オプションで使用する色を変更で きます。 値のサフィックス: 値インジケータの任意の記述名値のサフィックスは値インジケータ と傾向インジケー タの間で使用されます。. 反転: このチェックボックスを選択すると、傾向インジケータの閾値のデフォルト動作が変更され、表示さ れる色が反転します。 閾値が値インジケータの値を上回ると、値インジケータの値は赤で表示されます。 閾値が値インジケータの値を下回ると、値インジケータの値は緑で表示されます。 プレビュー: キーインジケータの表示オプションの変更を保存する前にプレビューするためのボタン カスタムキーインジケータの作成 Enterprise Security の [コンテンツ管理] ページでは、新しいキーインジケータを追加できます。 1. [設定] > [コンテンツ管理] へと進みます。 2. [新しいコンテンツの作成] から [キーインジケータサーチ]を選択します。 3. [新しいキーインジケータサーチ] のページでキーインジケータの名前、サーチ、その他の詳細を指定しま す。ES のキーインジケータは、データモデルを使用して結果の取得を高速化します。カスタムキーインジ ケータでデータモデルの高速化を使用にするには、[スケジュール] を選択します。 4. [保存] をクリックします。 監査のダッシュボード 87 監査のダッシュボードでは、セキュリティやデータの整合性を検証できます。ここでは、フォワーダーが機能して いるかどうか、データの改ざんがなく安全に送信されているかどうか、見直しが行われているのは相関サーチで発 見された重要なイベントかどうかを検証できます。 インシデントレビューの監査 インシデントレビューの監査のダッシュボードでは、インシデントレビューのアクティビティの概要が提供されま す。パネルには、レビューされているインシデントの件数やその担当者のほか、最近レビューされたイベントのリ ストが表示されます。セキュリティマネージャーはこのダッシュボードのメトリックスを使用して、アナリストの 作業内容を見直すことができます。 パネル 説明 レビュー担当者ごとのレ ビュー作業 ユーザーごとにレビュー中のイベントの件数を表示します。このパ ネルは、インシデントレビューの担当者やレビューされたインシデ ントの合計件数の推移を把握するのに役立ちす。ドリルダウンで は、選択したレビュー担当者ごとのすべてのアクティビティのサー チが開きます。 上位のレビュー担当者 インシデント確認を行っている上位のユーザーを表示します。パネ ルには、インシデントレビューが最初/最後に実施された日やレ ビューの合計件数など、それぞれの担当者に関する詳細が表示され ます。ドリルダウンでは、選択したレビュー担当者ごとのすべての アクティビティのサーチが開きます。 ステータスごとの重要なイ ベント - 過去 48 時間 過去 48 時間の重要なイベントのステータス、件数、緊急度を表示 します。このパネルは、レビュー担当者がインシデントについて理 解しているかどうか、未対応のインシデントがたまっていないかど うかを把握するのに役立ちます。ドリルダウンではインシデントレ ビューのダッシュボードが開き、選択した過去 48 時間の緊急度と ステータスがサーチされます。 所有者ごとの重要なイベン ト - 過去 48 時間 過去 48 時間の重要なイベントの所有者、件数、緊急度を表示しま す。このパネルはどのレビュー担当者に割り当てられているインシ デントの件数やインシデントの緊急度を把握するのに役立ちます。 ドリルダウンではインシデントレビューのダッシュボードが開き、 選択した過去 48 時間の緊急度がサーチされます。 トリアージまでの平均時間 - 過去 14 日間 重要なイベントの作成からトリアージまでにかかった過去 14 日間 の平均時間をイベントの名前ごとに表示します。このパネルは、重 要なイベントのトリアージにかかった時間のほか、特定の種類のイ ンシデントが他のインシデントよりもトリアージに時間がかかって いるかどうかを把握するのに役立ちます。ドリルダウンは選択した 重要なイベント名を過去 14 日間についてサーチするインシデント レビューダッシュボードを開きます。 終了までの平均時間 - 過去 60 日間 過去 60 日間における重要なイベントの生成から終了までの時間の 平均を、イベントの名前ごとに分けて表示。このパネルは各インシ デントタイプについて調査の修了までどれほどの時間を要している かを把握できます。ドリルダウンではインシデントレビューのダッ シュボードが開き、過去 60 日間に終了した重要なイベントの名前 がサーチされます。 最近のレビューアクティビ ティ トリアージのアクションなど、インシデントレビューのダッシュ ボードでの最新の 10 件の変更を表示します。ドリルダウンは選択 したルール ID のサーチを開きます。 データソース インシデントレビューの監査のダッシュボードのレポートでは、KVStore コレクションにある重要インデックス とインシデントレビューのオブジェクトのフィールドが参照されます。重要インデックスの詳細は、このマニュア ルの「重要なイベントのインデックス」を参照してください。 抑制の監査 抑制の監査のダッシュボードでは、重要なイベントの抑制アクティビティの概要が提供されます。重要なイベント の抑制の監査と報告を目的に、このダッシュボードには抑制されているイベントの件数とその担当者が表示されま す。 セキュリティマネージャはこのダッシュボードのメトリックスをを使用して、アナリストの作業内容を見直すこと ができます。これは、相関サーチの調整にも役立ちます。アナリストのキャパシティを超える件数の重要なイベン トを生成している相関サーチのルールを特定し、必要に応じてルールの調整を行うことができます。 88 パネル 説明 抑制されたイベントの 推移 - 過去 24 時間 過去 24 時間に抑制された重要なイベントを表示します。 抑制履歴の推移 - 過去 30 時間 抑制された重要なイベントの履歴表示します。 抑制管理アクティビ ティ 期間内の抑制管理のアクティビティを表示します。 期限切れの抑制 期限切の抑制を表示します。 データソース 抑制の監査のダッシュボードのレポートでは、重要インデックスのイベントが参照されます。 パネルごとのフィルタの監査 パネルごとのフィルタの監査のダッシュボードでは、環境内で使用中のフィルタに関する情報が提供されます。 下記の表はこのダッシュボードのパネルについての説明です。 パネル 説明 レビュー担当者別のパ ネルごとのフィルタ レビュー担当者別のパネルごとの更新の件数を表示します。 上位のユーザー ユーザー、傾向のスパークライン、閲覧の数、最初/最後に閲覧された時 刻を表示します。 最近のフィルタアク ティビティ 時間、ユーザー、アクション、ファイル名ごとのアクティビティ 脅威インテリジェンスの監査 脅威インテリジェンスの監査のダッシュボードでは、すべての脅威インテリジェンスソースの現在のステータスを 追跡、表示できます。ここでは、脅威ソースが最新のものであるかを確認したり、脅威インテリジェンスソースに 関連する問題を解決したりできます。 パネル 説明 脅威インテリジェンス のダウンロード [脅威インテリジェンスのダウンロード] の設定ページに設定されている すべての脅威ソースのステータスを表示します。フィルタを使って、ス テータスまたはダウンロード場所でソートします。 脅威インテリジェンス の監査イベント 脅威インテリジェンスのダウンロードと脅威インテリジェンスマネー ジャーの設定ページで設定されている脅威インテリジェンスのダウン ロードに関連するログイベントを表示します。フィルタを使って、表示 されるイベントのソートとフィルタリングを行います。 脅威ソースのダウンロードに失敗すると、システムメッセージが自動で生成されます。 データソース 脅威インテリジェンスの監査のダッシュボードのレポートは、_internal インデックスのイベントと /services/data/inputs/threatlist REST エンドポイントのステータス情報を参照します。 ES 設定の健全性 ES 設定の健全性のダッシュボードを使って、インストールされている最も新しいバージョンの Enterprise Security と以前のバージョンを比較し、設定の異常を検出します。このダッシュボードではアドオンの変更 (TA) が報告されません。以前の ES バージョンフィルタを使って、環境にインストールされている以前のバージョンの Enterprise Security を選択します。 モード 説明 未出荷の設定では、インストールされている Enterprise Security の最 新のバージョンとインストールパッケージの内容が比較されます。カス 89 タマイズのためのファイルやスクリプトなど、Enterprise Security のイ ンストールで提供されない項目は未集荷項目として表示されます。未出 荷項目を確認します。その使用について評価し、依然として必要かどう かを判断した上で、必要に応じて調整を行います。未出荷の設定では以 前のバージョンのフィルタが無視されます。 未出荷 削除されたスタンザ 削除されたスタンザの設定では、インストールされている Enterprise Security の最新のバージョンとフィルタで選択したバージョンが比較さ れます。削除されたスタンザとは、廃止予定の脅威リストや入力など、 バージョンの更新に伴って変更された設定スタンザを指します。削除さ れたスタンザを確認します。その使用について評価し、依然として必要 かどうかを判断した上で、必要に応じて調整を行います。 ローカルオーバーライ ド ローカルオーバーライドの設定では、インストールされている Enterprise Security のバージョンとフィルタで選択したバージョンが比 較されます。インストールされているバージョンに矛盾する、または有 線する設定は、ローカルオーバーライドとして表示されます。ローカル オーバーライドの設定を確認します。その使用について評価し、依然と して必要かどうかを判断した上で、必要に応じて調整を行います。 コンテンツプロファイル コンテンツプロファイルのダッシュボードでは、Enterprise Security で提供されるナレッジオブジェクトとオブ ジェクトが必要とするデータモデルが比較され、その結果がデプロイの完全性としてパーセンテージで表示されま す。 パネル 説明 デプロイの完全性 追加されたデータモデルを参照するナレッジオブジェクトの割合を表示 します。100% に到達するには、ナレッジオブジェクトが参照するデー タモデルにデータが存在する必要があります。 未使用のデータモデル データが追加されていないデータモデルの件数を表示します。未使用の データモデルを選択すると、データモデル情報のビューにデータが追加 されていないデータモデルだけが表示されます。 未使用のナレッジオブ ジェクト データが追加されていないデータモデルが原因で使用できないナレッジ オブジェクトの件数を表示します。 データモデル情報 それぞれのデータモデルを名前で表示します。選択のドロップダウンに は、オブジェクトのタイプと名前の詳細が表示されます。たとえば、 Application_State データモデルを選択すると、20 以上のユニークな サーチと App 別のパネルが表示されます。 データソース コンテンツプロファイルのダッシュボードのレポートでは、Enterprise Security のナレッジオブジェクトが検証 され、オブジェクトが使用するデータモデルが決定されます。参照されるデータモデルにイベントがあると、ナ レッジオブジェクトは完全で使用可能と見なされます。 ナレッジオブジェクトの分析はデータモデルの名前に限定され、ナレッジオブジェクトで参照されるデータモデル オブジェクトは対象となりません。そのため、このダッシュボードで完全性が 100% になっても、サーチや ビューでデータが表示されない場合があります。 データモデルに高速化されたデータがあるかどうかを確認するには、データモデルの監査のダッシュボードを使い ます。ダッシュボードパネルが参照するデータモデルオブジェクトを検証するには、このマニュアルの「ダッシュ ボードの要件一覧表」を参照してください。 データモデルの監査 データモデルの監査のダッシュボードには、環境内のデータモデル高速化の状態に関する情報が表示されます。 フィールド名のパネル 説明 サイズごとの上位の高速 化 高速化デされているデータモデルをサイズ (ディスク上のMB) が大き い順に表示します。 実行時間ごとの上位の高 速化 高速化されているデータモデルを高速化タスクの実行時間の順に表示 します。 高速化の詳細 高速化されているデータモデルの表を詳細とともに表示します。 90 データソース データモデルの監査のダッシュボードのレポートでは、Splunk の監査データモデルのフィールドが参照されま す。データモデルオブジェクトと制限の一覧については『Common Information Model アドオン 』マニュアル の「Splunk の監査ログ」を参照してください。 フォワーダーの監査 フォワーダーの監査のダッシュボードでは、 Splunk Enterprise にデータを転送するホストについての報告が行 われます。 サーチフィルタと時間範囲セレクタを使って、フォワーダーのグループや個々のフォワーダーに焦点を置くことが できます。 フィルタリングの対 象 説明 対処 想定されるホストだ けを表示します。 想定されるホストとは、アセットテーブルで想定され るホストフィールドである is_expected によって定義さ れているホストを指します。 ドロップダウン:フィルタリン グの対象を選択 ホスト アセットテーブルのホストフィールドでフィルタリン グ テキストフィールドアスタリス ク (*) のあるワイルドカード ビジネスユニット アセットテーブルのビジネスユニットの フィールドでフィルタリング テキストフィールドアスタリス ク (*) のあるワイルドカード カテゴリ アセットテーブルのカテゴリフィールドでフィルタリ ング bunit の ドロップダウン:フィルタリン グの対象を選択 パネル 説明 ホストごとのイベント 件数の推移 フィルタで選択された期間に報告されたイベントの件数を表示します。 イベントはホストごとに表示されます。 最後の報告時刻ごとの ホスト イベントが最後に報告された時刻の順にホストのリストを表示します。 Splunkd プロセス使用 フォワーダーの Splunk デーモンの します。 Splunk サービスのス タートモード イベントを転送しているものの、起動時に splunkd をスタートするよう 設定されていないホストの名前を表示します。 splunkd によるリソースの使用を表示 データソース フォワーダーの監査のダッシュボードに関連するデータソースには、Splunk の環境にあるすべてのフォワーダー からのデータと Application_State データモデルが含まれます。詳細は 『Common Information Model アドオ ン』マニュアルを参照してください。Common Information Model のフィールドお bunit と category は、自動 ID ルックアップから派生したもので、直接のマッピングは不要です。 インデックス作成の監査 インデックス作成の監査のダッシュボードは、Splunk Enterprise でインデックスされるイベントデータの分量を 見積もるために使用します。ダッシュボードでは、インデックス当たりのイベントの量とインデックス当たりのイ ベント合計数の変化率の推移を追跡するためのメトリックスとして、EPD (1 日当たりのイベント数)が使用されま す。EPD はイベントの件数だけに適用され、ライセンスのために使用する Volume Per Day (1 日当たりの量) と は関係ありません。 パネル 説明 キーインジケータ このダッシュボードのキーインジケータは「過去 24 時間」ではなく 「全時間」を対象としています。 1 日当たりのイベント 件数の推移 1 日当たりのイベント件数を縦棒グラフで表示します。 1 日当たりのイベント 件数 1 日当たりのイベント件数と平均 EPS を表示で表示します。 インデックスごとのイ ベント件数 (最新の日 インデックスごとの最新の日付のイベント件数を表で表示します。 91 付) データソース インデックス作成の監査のダッシュボードのレポートでは、 Audit - Events Per よって生成され、KVStore コレクションに保存されるデータが参照されます。 Day - Lookup Gen 保存済みサーチに サーチの監査 サーチの監査のダッシュボードでは Splunk Enterprise で実行されるサーチに関する情報が提供されます。この ダッシュボードは長時間続いているサーチを特定し、ユーザーごとのサーチアクティビティを追跡するのに有用で す。 パネル 説明 タイプごとのサーチの 推移 実行されたサーチの件数の推移を、アドホック、スケジュール済み、リ アルタイムなどのタイプごとに表示します。Splunk のパフォーマンスが 過剰なサーチの影響を受けていないかどうかを特定するのに役立ちま す。 ユーザーごとのサーチ 件数の推移 実行されたサーチの件数をユーザーごとに表示します。特定のユーザー がいつ過剰なサーチを行ったのかを特定するのに役立ちます。splunksystem-user はスケジュール済みサーチの実行に使用されるアカウント名 です。 実行時間ごとの上位の サーチ 時間を消費している上位のサーチを表示します。Splunk のパフォーマン スに悪影響を及ぼしている可能性がある特定のサーチを発見するのに役 立ちます。 データソース サーチの監査のダッシュボードのレポートでは、audit インデックスのスケジュール済みサーチ監査イベントが参 照されます。 ビューの監査 ビューの監査のダッシュボードは Splunk Enterprise で最も活発なビューついて報告します。ビューの監査では 日常的にアクセスされるビューを追跡し、ユーザーがダッシュボードパネルを確認する際に発生するエラーを特定 できます。 パネル ビューのアクティビ ティの推移 想定されるビューのア クティビティ Web サービスエラー 説明 多くのアクセスがあるビューの推移を表示します。ドリルダウンでは、 選択した期間のすべてのページのアクティビティのサーチビューが開き ます。 [想定されるビュー] のリストに設定されているビューを一覧で表示しま す。デプロイについては、これらのビューを日常的に見直すことが推奨 されます。ダッシュボードの [想定されるビューのスコアカード] パネル で詳細を確認できます。 [設定] > [リスト/ルックアップ] > [想定されるビュー] を開き、[想定 されるビュー] のリストを設定します。 Web インターフェースのロード中に発生したエラーを表示します。エ ラーが含まれるカスタムビューや Splunk にエスカレーションする必要 がある根本的な問題の特定に役立ちます。 データソース ビューの監査のダッシュボードのレポートでは、Splunk の監査データモデルのフィールドが参照されます。デー タモデルオブジェクトと制限の一覧については『Common Information Model アドオン 』マニュアルの 「Splunk の監査ログ」を参照してください。 データ保護 データ保護のダッシュボードでは、データ統合性制御の状態が報告されます。 92 パネル 説明 インデックスごとの データ統合性制御 データ保護が有効になっているすべてのインデックスのビューをサーチ ピアでソートして表示します。データ統合性の設定や検証の詳細は、 『Splunk Enterprise のセキュリティ 』マニュアルの「データ統合性制 御」を参照してください。 機密データ 機密データが含まれるイベントの件数を表示します。このパネルでは個 人情報の検出の相関サーチを有効にする必要があります。 予測分析のダッシュボード 予測分析 のダッシュボードでは、データで発生するさまざまな異常なイベントをサーチできます。予測分析の ダッシュボードは Splunk の予測分析機能を使って結果に関する統計情報を提供し、データの外れ値を特定しま す。 予測分析 のダッシュボードフィルタは左から右へと実行されます。たとえば、オブジェクトフィルタはデータモ デルの選択に基づいてデータを追加します。予測分析でデータを分析するには、データモデルの次にオブジェク ト、関数、属性、期間を選択して[サーチ] をクリックします。 ダッシュボードフィルタ 用意されているダッシュボードフィルタを使って、ダッシュボードパネルに表示される結果を整理できます。 フィルタリ ングの対象 説明 対処 データモデ ル サーチするデータモデルを指定します。指定可能なデー タモデルはドロップダウンリストに表示されます。 ドロップダウン:フィ ルタリングの対象を選 択 オブジェク ト サーチするデータモデルでオブジェクトを指定しま す。データモデルを選択してオブジェクトを適用する必 要があります。 ドロップダウン:フィ ルタリングの対象を選 択 関数 サーチするオブジェクトの関数を指定します。関数は、 サーチ結果を使って実施する分析のタイプを指定しま す。たとえば、サーチ結果の平均を分析する場合は、 「avg」を選択します。一意の結果のカウントを作成する には「dc"」を選択します。 ドロップダウン:フィ ルタリングの対象を選 択 属性 サーチするオブジェクトにある制約の属性を指定しま す。 属性はサーチ結果での制約です。たとえば、ソースから の結果を表示する場合は、「src」を選択します。オブ ジェクトを選択して属性を適用する必要があります。 ドロップダウン:フィ ルタリングの対象を選 択 時間範囲 表示する時間範囲を選択 ドロップダウン:フィ ルタリングの対象を選 択 詳細 高度な予測オプションにアクセスします。 リンク: 予測設定のウ インドウ(任意) ダッシュボードパネル パネル 説明 予測の推移 [予測の推移] パネルには、選択した期間に基づく結果の予測分析の推移が表 示されます。影付き領域には、サーチ結果全体の平均値の 2 つの標準偏差に 当てはまる結果が表示されます。 外れ値 [外れ値] パネルには、サーチ結果全体の 2 つの標準偏差に当てはまらない結 果が表示されます。 データソース 予測分析のダッシュボードは特定のデータソースに制限されず、ユーザーが選択したデータモデルのデータが参照 されます。選択した期間でデータモデルの高速化が使用できない、または不完全な場合、分析サーチのダッシュ ボードは高速化されていない raw データに戻ります。 93 相関サーチの作成 このダッシュボードでは、現在の予測分析サーチのサーチパラメータに基づく相関サーチを作成できます。この相 関サーチではイベントを返すときにアラートが生成されします。 1. 2. 3. 4. [相関サーチとして保存] をクリックし、[相関サーチの作成] ダイアログを開きます。 このサーチによって作成された重要なイベントのセキュリティドメインと重大度を選択します。 サーチ名と説明を追加します。 [保存] をクリックします。 相関サーチを表示したり、編集したりするには、[設定] > [コンテンツ管理] を開きます。このマニュアルの「相 関サーチの編集」を参照してください。 トラブルシューティング このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、パネルに は何も表示されません。詳細は、このマニュアルの「ダッシュボードのトラブルシューティング」を参照してくだ さい。 同梱されているアドオン Splunk ESで Splunk UBAが検出する脅威と異常を分析 Splunk User Behavior Analytics(UBA) が検出した脅威と異常を Splunk Enterprise Security の相関サーチと ともに使用することで、環境内のセキュリティ体制の状況ををさらに把握できます。まず、UBA が検出する脅威 や異常を送信できるように環境を設定する必要があります。脅威と異常を確認するには、Splunk UBA バージョン 2.1.2 以上が必要です。 Splunk UBA と Splunk ES の統合が完了すると、UBA が検出する脅威と異常を調査できるようになります。 セキュリティ体制とインシデントレビューでの脅威の表示 Splunk UBA の脅威は重要なイベントとして表示されます。セキュリティ体制のダッシュボードでは、UBA の脅 威の件数を UBA の重要なキーセキュリティーインジケータとして表示できます。インシデントレビューのダッ シュボードでは、Splunk UBA の脅威によって作成された特定の重要なイベントを確認できます。 イベントの詳細を展開して、Splunk UBA の脅威に関する詳しい情報を確認します。説明、脅威のカテゴ リ、相関サーチでは UBA が参照されます。 イベントのワークフローアクションから要因となる異常を表示し、Splunk UBA で [脅威の詳細] を開きま す。 UBA の異常のダッシュボードでの異常の表示 [UBA の異常]のダッシュボードでは、環境での異常なアクティビティを把握できます。このダッシュボードを表 示するには、[高度な脅威] > [UBA の異常] を選択します。 さまざまなメトリックスの件数の過去 48 時間の推移をキーインジケータを使って確認します。UBA 重要項 目、UBA 異常アクター、UBA 異常シグネチャ、脅威ごとの UBA 異常、UBA 異常の総数を確認します。 異常の推移パネルでは、異常なアクティビティの急増を調査し、アクターの数を異常の数と比較できます。 最も活発なシグネチャパネルでは、最も頻繁に発生している異常のタイプを特定できます。 最も活発なアクターパネルでは、最も頻繁に発生している異常アクティビティの原因となっているユー ザー、デバイス、App や他のアクターを特定できます。 最近の UBA の異常パネルでは、最新の異常アクティビティを特定できます。 94 ダッシュボードの値クリックして Splunk UBA の異常の表示すると、サーチを開始できます。特定の異常イベン トのイベントアクションを使って要因となる異常を表示し、Splunk UBA を開いて異常の詳細ビューを表示しま す。詳細は、Splunk UBA の『ユーザー 』マニュアルの「異常の詳細」を参照してください。 注意: このダッシュボードは、Splunk UBA と Splunk ES の統合後に Splunk Enterprise Security のメニュー バーに表示されます。「Splunk ESへのSplunk UBA 脅威の送信」を参照してください。統合を完了する前に、手 動でナビゲーションにダッシュボードを追加できます。ナビゲーション を参照してください。 エンティティ調査んおダッシュボードでの脅威 /異常スイムレーンの表示 アセット/ID 調査のダッシュボードでスイムレーンを使って、UBA の脅威や異常と他の重要なイベントを相関で きます。 サーチするアセットや ID に関連する異常や脅威の情報を確認するには、アセット調査と ID 調査のダッシュボー ドに UEBA の脅威とUBA の異常のスイムレーンを追加します。スイムレーンの編集を参照してください。 スイムレーンをクリックしてサーチのドリルダウンを開き、Splunk UBA の異常を確認します。イベントアクショ ンから要因となる異常を表示へ移動し、Splunk UBA を開いて異常の詳細または脅威の詳細を表示します。詳細 は、「現在の脅威の詳細」を参照してください。 異常と脅威によるリスクスコアの変更 Splunk ES では Splunk UBA の異常や脅威のリスクスコアを使って、関連しているアセットや ID のリスクスコ アが変更されます。リスク修飾子は、Splunk UBA の異常や脅威のリスクスコアの 10 倍になります。 例: Splunk UBA は Splunk ES へホスト 10.11.12.123 に適用される異常を送信します。この異常のリスクスコア を 8 とします。 Splunk ES は、この異常にもとづいて、ホスト 10.11.12.123 のリスクスコアを変更します。UBA のリスクス コアに 10 を乗じるため、リスク修飾子は 80 になります。 リスク分析のダッシュボードでリスクスコアを分析する際に、リスクを増加させているソースを確認できます。 Splunk ES での異常なアクティビティと脅威の調査 以下のサーチを使って、Splunk UBA から Splunk ES に送信された raw の脅威と異常を確認できます。 Splunk ES に送信されたすべての UBA の異常と脅威の確認: | datamodel UEBA All_UEBA_Events search Splunk ES に送信されたすべての UBA の脅威の確認: | datamodel UEBA UEBA_Threats search Splunk ES に送信されたすべての UBA の異常の確認: | datamodel UEBA UEBA_Anomalies search 設定とトラブルシューティング 設定 Splunk 管理者は Splunk Enterprise Security のインストールのさまざまな設定を変更できます。 全般設定 インストール向けの閾値など、頻繁に変更される値を確認するには、[設定] > [全般] > [全般設定] へと進みま す。 設定 説明 自動一時停止 ドリルダウンサーチが一時停止する前の時間を設定します (秒)。 ドメイン分析 Web ドメインの WHOIS 追跡を有効または無効にします。 HTTP カテゴリ分 析のスパークライ HTTP ユーザーカテゴリ分析のダッシュボードのスパークラインの開始時間 95 析のスパークライ ンの開始時間 を設定します。 HTTP カテゴリ分 析のスパークライ ンのタイムスパン HTTP ユーザーカテゴリ分析ダッシュボードのスパークラインのタイムスパ ンを設定します。 HTTP ユーザー エージェント分析 のスパークライン の開始時間 HTTP ユーザーエージェント分析のダッシュボードのスパークラインの開始 時間を設定します。 HTTP ユーザー エージェント分析 のスパークライン のタイムスパン HTTP ユーザーエージェント分析のダッシュボードのスパークラインのタイ ムスパンを設定します。 IRT ディスク同期 の遅延 ディスクのフラッシュが終了するまでに待機する秒数を指定します。 インシデントレ ビューでのアナリ ストのキャパシ ティ アナリストに割り当てることのできる重要なイベントの最大数を指定しま す。 リアルタイムイン デックス作成 リアルタイムインデックスの作成を有効または無効にします。 大容量メール閾値 このバイト数を超えるメールを大容量と見なします。 ライセンスイベン トカウントフィル タ 「1 日当たりのイベント件数」のサマリーから除外するインデックスのリス トを指定します。 新規ドメイン分析 のスパークライン のタイムスパン 新規ドメイン分析のダッシュボードのスパークラインのタイムスパンを設定 します。 サーチのディスク 容量割り当て (admin) admin ユーザーがサーチジョブ結果を保存できる最大のディスク容量 (MB) を設定します。 サーチのジョブ割 り当て (admin) admin ユーザーに許容される同時サーチの最大数を設定します。 サーチのジョブ割 り当て (power) power ユーザーに許容される同時サーチの最大数を設定します。 短期アカウント閾 値 この閾値を超えるアカウント作成と削除があると、異常と判定します。 TSTATS による古 いサマリーの許容 現在のデータモデル設定に一致しないフィールドを含むデータモデルの高速 化のサーチを有効または無効にします。 TSTATS ローカル TSTAT マクロが分散されるかどうかを指定します。 TSTATS サマリー 限定 TSTAT とサマリー専用のマクロが高速化イベントのみをサーチするかどうか 指定します。 [その他]の使用 デフォルトのシリーズの制限を超えるグラフで、[その他] を有効または無効 にします。 Web サイト監視 リストサーチ [監視リストのイベント] の相関サーチで使用される監視 Web サイトのリス ト 認証情報管理 [認証情報管理] ページには、脅威リストやルックアップなど、スクリプト入力やモジュール入力として実行される オブジェクトの保存された認証情報が表示されます。認証情報を参照する入力設定では、認証情報の値をここから 探します。 入力への新しい認証情報の追加 1. Enterprise Security のメニューバーで[設定] > [全般]を選択し、 [認証情報管理]を開きます。 96 2. [新しい認証情報] をクリックして、新しいユーザーの認証情報を入力します。 3. 編集パネルから新しい認証情報のユーザー名とパスワードを追加します。 4. (オプション) 同じユーザー名を持つ複数の認証情報を区別するには、領域フィールドを使用します。 5. 認証情報のアプリケーションを選択します。 6. [保存] をクリックします。 既存の入力の認証情報の編集 1. Enterprise Security のメニューバーで[設定] > [全般]を選択し、 [認証情報管理]を開きます。 2. 認証情報の [アクション] 列で、[編集] を選択します。 3. エディタを使って、認証情報のユーザー名、パスワード、アプリケーションを変更します。認証情報に適用 された領域は変更できません。領域を変更するには、新しい認証情報を作成する必要があります。 4. [保存] をクリックします。 既存の入力の認証情報の削除 1. Enterprise Security のメニューバーで、[設定] > [全般]を選択し、 [認証情報管理]を開きます。 2. 認証情報の [アクション] 列で、[削除] を選択します。 権限 [設定] > [全般] > [権限] へと進み、管理者以外のロールに割り当てられているカスタムの権限を編集します。 ES の権限については、『インストールとアップグレード 』マニュアルの「ロールへの権限追加」を参照してく ださい。 ナビゲーション ナビゲーションエディタは Enterprise Security のメニューバーに表示されるドメインやダッシュボードを配置、 表示するために使用します。[設定] > [全般] > [ナビゲーション] へと進み、ナビゲーションエディターを開きま す。メニューバーの設定を変更するには、Enterprise Security mp管理者権限が必要です。 97 デフォルトメニューの編集 ナビゲーションエディタでは、項目を選択して既存のメニューに追加したり、新しいメニュー項目を作成したりで きます。 1.ナビゲーションエディタを使って、個々の項目またはメニュー全体を無効にできます。メニューバーからドメイ ンやダッシュボードを削除すると、その項目のナビゲーションと表示が無効になります。 ドメインやダッシュボードを無効にするには、メインメニューのパネルにある [ X ] をクリックします。 1 つのメニュー項目を無効にするには、項目を選択し (選択するとチェックマークが表示されます) 、項目の 隣にある [ X ] をクリックします。 2.メニューの表示の配置を変えるには、メニューをクリックして希望する位置にドラッグします。 3.変更を完了したら[保存] をクリックします。 未使用、無効または削除されたオブジェクトは、ナビゲーションエディタの左にある未使用レポートに表示されま す。 メニューへの新しいダッシュボードの追加 1. ナビゲーションエディタの左にある未使用レポートからダッシュボードまたはレポートを選択します。 2. レポートをメニューにドラッグし、メニューのタイトルの下に配置します。既存のメニュー項目が移動し、 新しい項目のためのスペースが確保されます。 3. [保存] をクリックします。 ナビゲーションエディタからメニューバーに追加するダッシュボードのリストについては、このマニュアルの 「ダッシュボードの要件一覧表」を参照してください。 コンテンツ管理 [コンテンツ管理] のページを使って、相関サーチ、キーインジケータ、保存済みサーチ、エンティティ調査サーチ を独自に表示、設定、編集できます。 アクション [設定] > [コンテンツ管理] へと進みます。アクション列には、コンテンツに応じていくつかのオプションが提供 されてます。 相関サーチを有効または無効にします。 相関サーチをスケジュール済みサーチまたはリアルタイムサーチに切り替えます。 キーインジケータサーチを高速化します。 98 このマニュアルの「相関サーチの設定」を参照してください。 サーチコンテンツのエクスポート [コンテンツ管理] のページでは、選択されたサーチをダウンロード用のカスタム App にエクスポートするオプ ションが提供されていますたとえば、開発環境やテスト環境のカスタムサーチを本番環境に移行するなど、このオ プションを使ってカスタムコンテンツを他の ES のインスタンスと共有できます。 デフォルトでは、管理者のみがコンテンツをエクスポートできます。他のロールにエクスポートの権限を付与する には、『インストールとアップグレード 』マニュアルの「ロールへの権限追加」を参照してください。 1. サーチオブジェクトの隣にある選択ボックスをクリックし、エクスポートするサーチコンテンツを選択しま す。 2. [選択した項目の編集] を開き、[エクスポート] を選択します。 3. [サーチを App にエクスポート] のページで、App 名、ラベル、バージョン、ビルド番号のフィールドに入 力します。コンテンツを Enterprise Security にインポートし直すことが想定される場合、App 名のフィー ルドでは App のインポートの命名規則に従う必要があります。詳細は『インストールとアップグレード 』 マニュアルの「アドオンのインストール」を参照してください。 4. [エクスポート] をクリックします。 5. コンテンツのエクスポートが成功したことを示すダイアログが表示されたら、[今すぐ App をダウンロー ド] をクリックして App を入手します。App は拡張子が .spl のアーカイブファイルです。 6. [閉じる] をクリックして [コンテンツ管理] ページに戻ります。 エクスポートされたコンテンツの制限 エクスポートされたコンテンツには、選択されたオブジェクトの savedsearches.conf、correlationsearches.conf およ び governance.conf 設定のみが含まれます。直接的、または間接的に参照される他のアーティファクトは含まれま せん。 例: エクスポートされたコンテンツには、リスクの割り当て、スクリプト名、メールアドレスなど、定義されて いるすべてのアラートアクションが含まれます。 エクスポートされたコンテンツはダウンロード後もサーチヘッドに残り、 $SPLUNK_HOME/etc/apps/SAUtils/local/data/appmaker/* に保存されます。 エクスポートされたコンテンツには、サーチオブジェクトによって参照されるマクロ、スクリプトファイ ル、ルックアップ、またはバイナリファイルは含まれません。 また、サーチオブジェクトによって参照されるコンテキスト生成サーチ、コンテキスト、コンセプトなどの エクストリームサーチオブジェクトも含まれません。 エクスポートされたコンテンツは、Enterprise Security の古いバージョンでは機能しない場合がありま す。 リストとルックアップの設定 Splunk Enterprise Security で使用するリストやルックアップファイルを設定したり、編集するには、[データ強 化] パネルの [リスト/ルックアップ] をクリックします。 リスト/ルックアップ を使って、デフォルトのリストやルックアップを表示、編集できます。 99 リストを表示または編集するには、リストの名前をクリックします。[エクスポート] をクリックしてファイルのコ ピーを CSV 形式でをエクスポートします。 内部ルックアップ 内部ルックアップは、ダッシュボードの使用や重要なイベントの作成に必要な情報を生成するために Enterprise Security によって使用されます。 これらのルックアップは、以下の3つの方法で作成されます。 静的ルックアップテーブルによるデータの追加 サーチコマンドによる内部でのデータの追加 インターネットからの情報の追加 Splunk Enterprise Security は、インターネットのオープンソースの情報を含むルックアップファイルを同梱し ています。これらのルックアップは、さまざまなオンラインリソースによって悪意のある、または不審と見なされ るホストを特定する一部の相関サーチで使用されます。インターネットに接続できない場合、これらのファイルは 更新されません。リストが更新されないと、これらに依存する相関サーチが正しく機能しない場合があります。 注意: これらのルックアップの多くは、ルックアップエディタで更新できるため、ファイルシステムのアクセスは 必須ではありません。 あらかじめ設定されている脅威インテリジェンスソースについては、このマニュアルの 「ES に含まれる脅威ソー ス」を参照してください。 リスト /ルックアップエディタ [設定] > [リスト/ルックアップ] を開き、現在のルックアップファイルのリストを表示します。ファイル名をク リックし、ルックアップエディタでルックアップファイルを開きます。 CSV ファイルの名前がパネルの左上の隅に表示されます。この例では assets.csv 。ルックアップのフィールドは 表の上部に表示され、フィールドの値がその下の行に表示されます。正の数は緑、負の数は赤で表示されます。こ のファイルでは優先度が色分けされます。CSV ファイルに含まれるフィールドによって、ファイルの表示はやや 異なります。 ルックアップの編集を有効にする 100 ルックアップファイルを編集するには、ルックアップファイルが置かれている App で があります。 local.meta を変更する必要 たとえば、SA-AuditAndDataProtection ($SPLUNK_HOME/etc/apps/SA-AuditAndDataProtection/metadata/local.meta/) に あるexpected_views.csv を編集するには、以下のスタンザを local.meta ファイルに追加します。 [lookups] access = read : [ * ], write : [ admin,user ] ルックアップのコンテンツの編集 ルックアップテーブルを右クリックすると、コンテキストに応じたドロップダウンメニューが表示されます。この メニューを使って、ファイルに行や列を追加できます。 注意: ヘッダフィールドが空のルックアップファイルは保存できません。 セルの値を変更するには、セルを選択して新しい値を入力します。 ファイルに新しい値を追加するには、テーブルを右クリックし、ドロップダウンから [行を追加...] を選択し ます。 完了したら[保存] をクリックします。キャンセルでルックアップリストに戻ります。 注意: 存在しないファイルの編集を試みると、ファイルが存在しないことを示す警告メッセージが表示されます。 ルックアップファイルのインポート 管理者は新しい CSV ファイルをインポートして、アプリケーションの新しい機能や強化データに対応できます。 そのためには、 1. [設定] > [ナレッジ] > [ルックアップ] > [ルックアップテーブルファイル] へと進みます。 2. [新規] をクリックします。宛先 App に SplunkEnterpriseSecuritySuite が設定されていることを確認 します。 3. ファイルがある場所へ進み、インポートするファイルを選択します。 4. ルックアップリストに表示する宛先ファイル名を入力します。 5. [保存] をクリックします。 他のユーザーが新しい情報を利用できるようにするため、ファイルの権限を 「Private」から「App」または 「Global」に変更します。CSV ファイルはユーザーのフォルダから移動し、サーチ、更新イベント、他のユー ザーが使用できるようになります。 1. 新しくインポートした CSV ファイルの隣にある [権限] をクリックします。 2. ファイルに適切なレベルとタイプの権限を選択します。この App だけにアクセスする場合は「App」、 Splunk インスタンスのすべての App からアクセスする場合は「Global」に権限を設定します。 3. [保存] をクリックします。 ルックアップファイルの検証 ルックアップファイルはリスト/ルックアップエディタを使うか、またはサーチヘッドのファイルシステムで直 接、更新または差し替える必要があります。変更後は Splunk のルックアップリストが自動で変更を受け付けます (再起動の必要はありません)。 101 CSV ファイルのインポートや編集については、「リスト/ルックアップエディタ」を参照してください。 ファイルの編集後は、inputlookup サーチコマンドでリストを表示し、コンテンツが正しくロードされていること を確認します。 inputlookup append=T application_protocol_lookup 注意: ルックアップとして使用される CSV ファイルは、Unix の行末 ("\n") を使って作成する必要があります。 Splunk は Macintosh ("\r") や Windows ("\r\n") の行末を使って保存されたルックアップファイルを正しく読み 込めません。 アプリケーションプロトコル アプリケーションプロトコルは、ポート/プロトコルの組み合わせと組織での承認のステータスのリストです。こ のリストはポート/プロトコルトラッカーのダッシュボードで必要です。アプリケーションプロトコル のリストは サーチヘッドの次の場所にあります。 $SPLUNK_HOME/etc/apps/SA-NetworkProtection/lookups/application_protocols.csv 次の表はこのファイルのフィールドの詳細です。 フィール ド 説明 dest_port 宛先ポート番号 (0~65535) transport ネットワークトラフィックのプロトコル (icmp、tcp、udp) App アプリケーション名 status ポートの承認ステータス (承認、保留、未承認)デフォルトではポートが承認されていると見なされ ます。 アセット アセットのルックアップには、デプロイに関係するアセットについての情報が含まれます。このアセットのリスト は発生するイベントと照合されます。アセットリストの設定に関しては、このマニュアルの「アセットデータの追 加」を参照してください。 カテゴリ カテゴリはアセットと ID で使用される論理的な分類、またはグループ化です。カテゴリリストには、アセットや ID を整理するために選択したカテゴリを含めることができます。アセットの一般的なカテゴリとしては、PCI な どのコンプライアンスやセキュリティの標準のほか、サーバーや web_farmなどの機能に関するものなどが挙げ られます。ID の一般的なカテゴリとしては、タイトルやロールなどが挙げられます。その他の例については、こ のマニュアルの「アセットルックアップのフィールド」と「 ID ルックアップのフィールド」を参照してくださ い。 デフォルトでは、カテゴリリストを手動で更新します。リストにアクセスして更新するには、[設定] > [データ強 化] > [リスト/ルックアップ] へと進み、[アセット/ ID のカテゴリ]リストを選択します。 アセットと ID の両方でカテゴリのフィールドにあるのすべてのレコードを収集し、リストを更新してルックアッ プに追加する保存済みサーチを使用できます。[ID - カテゴリ作成 - ルックアップ生成]の保存済みサーチを有効 にするには、[設定] > [コンテンツ管理]へと進み、サーチフィルタを使って有効にするサーチを選択し、 [アク ション] > [有効にする] を選択します。 カテゴリのリストは $SPLUNK_HOME/etc/apps/SA-IdentityManagement/lookupsに保存されているルックアップです。 想定されるビュー 想定されるビュー のリストは、定期的な監視が必要であり、ビューの監査ダッシュボード(監査 > ビューの監査) で使用されるビューが指定されます 。 想定されるビュー のリストはサーチヘッドの次の場所にあります。: $SPLUNK_HOME/etc/apps/SA-AuditAndDataProtection/lookups/expected_views.csv 次の表はこのファイルのフィールドの詳細です。 フィールド app 説明 ビューが含まれるアプリケーション (この場合は SplunkEnterpriseSecuritySuite) 102 is_expected 「true」または「false」デフォルトでは、アクティビティが想定されないため、「false」を含 むエントリは必要はありません。 view URL にあるビューの名前 ビューの名前を見つけるには: 1. Enterprise Security でビューへ進みます。 2. URL の最後のセグメントでビューの名前を見つけます。 たとえば、以下の URL にあるビューの名前は、 incident_review です。 ID IDのルックアップには、発生するイベントと照合される ID のリストが含まれています。 ID リストの設定方法に ついては、このマニュアルの「 ID 管理」を参照してください。 重要なポート 重要なポートには、デプロイにおいて必須、禁止、危険と見なされる TCP および UDP ポートのリストが含まれ ます。ソリューション管理者は、許可または拒否するポートを定義するポリシーを策定する必要があります。 1. 重要なポートのリストを表示します。 2. ポリシーの定義に基づいて、フィールドの変更と新しいエントリの追加を行います。 3. アラートを生成する相関サーチを有効にします。 重要なポートのリストのルックアップのフィールド リストは [設定] > [データ強化] > [リスト/ルックアップ] にあります。重要なポートを選択します。ルックアッ プエディタでは、ルックアップファイル interesting_ports.csv が表示されます。ファイルの最初の行はファイルの フィールドを説明するヘッダです。 フィールド 説明 例 App アプリケーションまたはサービス名 Win32Time dest ネットワークサービスの宛先ホスト ワイルドカードの使用が可能 DARTH*、10.10.1.100、my_host など。ワイルド カード*を使用すると、すべてのホストと照合され ます。 dest_pci_domain オプションの PCI ドメインワイルド カードの使用が可能 (trust、untrust、など)。 dest_port 宛先ポート番号ワイルドカードの使 用が可能 443、3389、5900 など transport 伝送プロトコルワイルドカードの使 用が可能 tcp または udp is_required サービスを実行が必須があるかない 場合はアラート 「true」または「false」 is_prohibited サービス/トラフィック/ポートは実 行を禁止されているかある場合はア ラート 「true」または「false」 is_secure サービスのトラフィックが暗号化さ れているか 「true」または「false」 note サービスの手短な説明と使用例 「暗号化されていない telnet サービスは安全ではあ りません」「必ず探して、除外します」 このリストはエディタで編集します。完了したら[保存] をクリックします。 サーチを使って、ルックアップファイルを編集したユーザーとその時刻を確認できます。例: index=_internal uri_path="/splunk-es/en-US/app/SplunkEnterpriseSecuritySuite/ess_lookups_edit" ルックアップは正規表現に対応していません。 重要なプロセス 103 重要なプロセスにはプロセスのリストが含まれます。このリストは、プロセスが必要か、禁止されているか、およ び/または安全かを判定するために使用します。このリストを変更または追加を加えるには、リスト/ルックアップ エディタを使用します。重要なプロセスのファイルは、サーチヘッドの次の場所にあります。 $SPLUNK_HOME/etc/apps/SA-EndpointProtection/lookups/interesting_processes.csv 次の表はこのファイルのフィールドの詳細です。 縦棒 説明 app アプリケーション名 dest プロセスの宛先 dest_pci_domain 使用できる場合の PCI ドメイン is_required 「true」または「false」 is_prohibited 「true」または「false」 is_secure 「true」または「false」 note このプロセスに関するその他の情報 重要なサービス 重要なサービスには、デプロイでのサービスのリストが含まれます。このリストは、サービスが必要か、禁止され ているか、および/または安全かを判定するために使用します。このリストを変更または追加を加えるには、リス ト/ルックアップエディタを使用します。重要なサービスのファイルはサーチヘッドの次の場所にあります。 $SPLUNK_HOME/etc/apps/SA-EndpointProtection/lookups/interesting_services.csv 次の表はこのファイルのフィールドの詳細です。 縦棒 説明 app アプリケーション名 dest プロセスの宛先 dest_pci_domain 使用できる場合の PCI ドメイン is_required 「true」または「false」 is_prohibited 「true」または「false」 is_secure 「true」または「false」 note プロセスに関する他の追加情報 主要な機能 主要な機能には、デプロイでの主要なプロセスやサービスとそれらの機能のリストが含まれます。このリストは、 主要なサービスのほか、使用するポートやトランスポートを指定するために使用します。主要な機能のファイルは サーチヘッドの次の場所にあります。 $SPLUNK_HOME/etc/apps/SA-EndpointProtection/lookups/primary_functions.csv 次の表はこのファイルのフィールドの詳細です。 列 説明 process プロセス名 service サービス名 dest_pci_domain 使用できる場合の PCI ドメイン transport tcp または udp port ポート番号 is_primary 「true」または「false」 104 このプロセスの機能 (たとえば、プロキシ、認証、データベース、DNS、Web、メール) function 禁止トラフィック 禁止トラフィックには、検出によってアラートが生成されるプロセスが一覧化されています。このリストはシステ ムセンターダッシュボードで使用され、セキュリティ方針によって禁止されているソフトウェア (IRC やデータ破 壊ツールなど) や悪意があるとわかっているソフトウェア (最近拡散したマルウェアなど) を検出するのに役立ちま す。 禁止トラフィックのファイルはサーチヘッドの次の場所にあります。 $SPLUNK_HOME/etc/apps/SA-NetworkProtection/lookups/prohibited_traffic.csv 次の表はこのファイルのフィールドの詳細です。 フィールド 説明 プロセス名 (echo、chargen など) app is_prohibited 「true」または「false」 プロセスを拒否する説明 note 緊急度のレベル 緊急度のレベルには、重要なイベントの緊急度を決定する優先度と重大度の組み合わせが含まれています。詳細 は、このマニュアルの「重要なイベントへの緊急度の割り当て」を参照してください。 ダッシュボードのトラブルシューティング Enterprise Security の各ダッシュボードは、さまざまなデータモデルのデータが参照されます。該当するデータ がない場合、ダッシュボードには何も表示されません。データの表示が想定されるのに表示がない場合、または古 いデータが表示される場合は、以下のトラブルシューティングに従ってください。 1.データモデルに対してサーチを実行します。ダッシュボードビューの左下の隅にある [サーチで開く] をクリッ クし、データモデルに対して直接サーチを実行します。新規サーチのダッシュボードにも、特定のビューにデータ を追加するサーチコマンドやオブジェクトがあります。 2.このサーチでも結果が表示されない場合は、ダッシュボードに必要なデータがデータモデルで利用できるかどう かを確認します。 a.ダッシュボードで使用されているデータモデルオブジェクトを特定するには、このマニュアルの「ダッ シュボードの要件一覧表」を参照してください。 b. データモデルのイベントをサーチするには、データモデルとデータモデルオブジェクトを使用します。 対処 データが Common Information Model に対して 正規化されてい ることを確認し ます。 サーチ 想定される結果 | datamodel data_model_name root_object_name search | table _time, sourcetype, root_object_name.* 例: | datamodel Network_Traffic All_Traffic search | dedup sourcetype | table _time, sourcetype, All_Traffic.* ソースタイプ、デー タモデルオブジェク ト、ソースタイプに よってデータが追加 されるフィールドの リストを返します。 3.データが利用できない場合は、データモデルが高速化されているかどうかを確認します。 a.Enterprise Security で、[監査] > [データモデルの監査] へと進みます。 b.高速化の詳細パネルで、データモデルが高速化された最新の日付や高速化が 100% 完了しているかなど、 データモデル高速化のステータスに関する情報を確認します。 注意: 詳細は インストールとアップグレード マニュアルの「データモデルの設定」を参照してください。 4.データモデル高速化のステータスが想定通りであれば、追加で必要なデータソースが利用できるかどうかを確認 します。たとえば、ユーザーアクティビティのダッシュボードは追加のデータソースを使用します。 ダッ シュ ボー ド名 データ タイプ データソース 105 ユー ザー アク ティ ビ ティ アク セス の異 常 ルック アップ クラウドドメイン、企業のメールドメイン、企業の Web ドメインの ルックアップファイル ID ID フィールド: bunit、email、watchlist、work_city、work_country、work_lat、work_long。 詳細は、このマニュアルの「ID 相関」を参照してください。 相関 サーチ * 企業以外のドメインとの大量のメールアクティビティ * 監視リストのイベントの発見 * ユーザーによる企業以外のドメインへの Web のアップロード 相関 サーチ * ユーザーによる不可能な移動イベントの検出 ダッシュボードの要件一覧表 Enterprise Security のダッシュボードは Common Information Model (CIM) に適合したイベントに依存し、特 に断りのない限り、高速化データモデルからデータを取得します。 データモデルのダッシュボードパネル A- E ダッシュボー ド名 アクセスの異 常 アクセスセン ター パネルのタイトル 地理的に異常なアクセ ス 同時アプリケーション アクセス データモデ ル 認証 データモデルオブジェクト Authentication.app、.src、 .user_bunit Authentication.app、.src、.user アクションごとのアク セスの推移 Authentication.action App ごとのアクセスの 推移 Authentication.app ソースごとの上位アク セス 認証 ユニークユーザーごと の上位アクセス Authentication.src Authentication.user、.src Authentication.action、.app、src、 .dest、.user、src_user アクセスサーチ 最初のアクセス - 過去 7 日間 アクセスト ラッカー 無効アカウントの使用 過去 90 日間 完全に無効なアカウン ト - 過去 90 日間 期限切れ ID のアカウン ト使用 - 過去 7 日間 アカウント管 理 なしaccess_tracker ルックアップの呼び出し 認証 Authentication.dest アカウント管理の推移 All_Changes.Account_Management、 .action アカウントのロックア ウト All_Changes.Account_Management、 .result ソースユーザーごとの アカウント管理 上位のアカウント管理 のイベント 変更分析 All_Changes.Account_Management、 .src_user All_Changes.Account_Management、 .action 106 優先度ごとのアセット アセットセン ター ビジネスユニットごと のアセット アセットと ID カテゴリごとのアセッ ト All_Assets.priority、.bunit、 .category、.owner アセット情報 アセット調査 ダッシュボー ド名 データ保護 デフォルトの アカウントア クティビティ DNS アクティ ビティ アセット調査 パネルタイトル スイムレーンの選択に基づく データモ デル データモデルオブジェクト インデックスごとの データ統合性制御 インシデント管理 機密データ なしデータ統合性制御を確認するインデックスでの REST サーチの呼び出し App ごとのデフォル トのアカウントの使用 の推移 Authentication.Default_Authentication、 .action、.app 認証 使用中のデフォルトア カウント Authentication.user_category、.dest、 .user デフォルトのローカル アカウント なしuseraccounts_tracker ルックアップの呼び出し ユニークソースごとの 上位の応答コード DNS.message_type、DNS.reply_code 上位の DNS クエリの ソース DNS.message_type、DNS.src 上位の DNS クエリ ドメインごとのクエリ DNS.message_type、DNS.query ネット ワーク解 決 DNS DNS.message_type、DNS.query 最新の DNS クエリ DNS.message_type DNS.message_type、DNS.reply_code、 DNS.dest、DNS.src、 DNS.query_type、DNS.query、 DNS.answer DNS サーチ ダッシュボード 名 メールアクティ ビティ パネルのタイトル データモデ ル 上位のメールソース All_Email.src 大容量メール All_Email.size、src、.src_user、 .dest 稀な送信元 メール All_Email.protocol、.src、 .src_user、.recipient All_Email.protocol、.src、 recipient 稀な受信者 All_Email.protocol、.recipient、 .src、.src_user、.dest メールサーチ アクションごとのエンド ポイントの変更 エンドポイント の変更 データモデルオブジェクト タイプごとのエンドポイ ントの変更 All_Changes.Endpoint_Changes、 .action 変更分析 システムごとのエンドポ イントの変更 All_Changes.Endpoint_Changes、 .object_category All_Changes.Endpoint_Changes、 .object_category、.dest F- M 107 ダッシュ ボード名 パネルのタイト ル ホストごとのイ ベント件数の推 移 フォワー ダーの監 査 HTTP ユーザー エージェ ント分析 データモデルオブジェクト なしhost_eventcount マクロとサーチの呼び出し 最後の報告時刻 ごとのホスト Splunkd プロセ ス使用 Splunk サービ スのスタート モード HTTP カ テゴリ分 析 データ モデル カテゴリの分布 カテゴリの詳細 ユーザーエー ジェントの分布 ユーザーエー ジェントの詳細 ダッシュボード 名 アプリ ケー ション の状態 All_Application_State.Processes.cpu_load_percent、 mem_used、.process、All_Application_State.dest All_Application_State.Services.start_mode、 .status、.service Web.src、.category Web Web.src、.dest、.category Web.http_user_agent_length、.http_user_agent Web Web.http_user_agent_length、.src、.dest、 .http_user_agent パネルのタイトル データモデ ル データモデルオブジェクト 優先度ごとの ID ID センター ビジネスユニットごとの ID カテゴリごとの ID アセットと ID All_Identities.priority、.bunit、 .category ID 情報 ID 調査 ID 調査 スイムレーンの選択に基づく レビュー担当者ごとのレ ビュー作業 上位のレビュー担当者 インシデントレ ビューの監査 ステータスごとの重要なイ ベント - 過去 48 時間 なしes_notable_events KVStore コレクショ ンに対するサーチの呼び出し 所有者ごとの重要なイベン ト - 過去 24 時間 最近のレビューアクティビ ティ 1 日当たりのイベント件数 の推移 インデックス作 成の監査 1 日当たりのイベント件数 なしlicensing_epd KVStore コレクションに対 するサーチの呼び出し インデックスごとのイベン ト件数 (最新の日付) 侵入センター 重大度ごとの攻撃の推移 IDS_Attacks.severity 上位の攻撃 IDS_Attacks.dest、.src、 .signature スキャンアクティビティ (多数の攻撃) 侵入検出 新しい攻撃 IDS_Attacks.signature IDS_Attacks.ids_type IDS_Attacks.severity、 108 侵入サーチ ダッシュボード 名 .category、.signature、.src、 .dest パネルのタイトル データモデ ル アクションごとのマルウェ アアクティビティの推移 マルウェアセン ター データモデルオブジェクト Malware_Attacks.action シグネチャごとのマルウェ アアクティビティの推移 マルウェア Malware_Attacks.signature Malware_Attacks.signature、 .dest 上位の感染 新しいマルウェア - 過去 30 日間 なしmalware_tracker ルックアップの呼び出し 製品バージョンごとのクラ イアント マルウェア操作 なしmalware_operations_tracker ルックアッ プの呼び出し シグネチャのバージョンご とのクライアント 最も古い感染 Malware_Attacks.action、 .signature、.dest 感染の再発 マルウェア マルウェアサーチ 自分の調査 Malware_Attacks.action、 .file_name、.user、 .signature、.dest 自分の調査 なしinvestigative_canvas KVStore コレク ションに対するサーチの呼び出し 調査タイムライン なしinvestigative_canvas_entries KVStore コ レクションに対するサーチの呼び出し アクション履歴 なしaction_history KVStore コレクションに対 するサーチの呼び出し N- S ダッシュボード 名 ネットワークの 変更 パネルのタイトル アクションごとのネット ワークの変更 デバイスごとのネット ワークの変更 データモデ ル 変更分析 データモデルオブジェクト All_Changes.Network_Changes、 .action All_Changes.Network_Changes、 .dvc 新規ドメインアクティビ ティ 新規ドメイン分 析 存在期間ごとの新しいド メインのアクティビティ Web.dest TLDごとの新しいドメイ ンのアクティビティ 登録の詳細 ダッシュボード 名 Web なし パネルのタイトル データモデ ル ポート/プロトコルプロファ イラ ポート/プロトコ 禁止されている/安全でない トラフィックの推移 - 過去 24 時間 データモデルオブジェクト All_Traffic.transport、 .dest_port ネットワー クトラ フィック 109 All_Traffic.src_category、 .dest_category、.src、.dest、 .transport、.dest_port ルトラッカー 新しいポートのアクティビ ティ - 過去 7 日間 プロトコルセン ター リスク分析 ダッシュ ボード名 All_Traffic.src_category、 .dest_category、.src、.dest、 .transport、.dest_port 禁止されているトラフィッ クの詳細 - 過去 24 時間 なしアプリケーションプロトコルのルックアッ プの呼び出し プロトコルごとの接続 All_Traffic.app プロトコルごとの使用量 All_Traffic.app、.bytes 上位の接続ソース ウェルノウンポートの使用 量 ネットワー クトラ フィック All_Traffic.src All_Traffic.bytes、.dest_port 長い接続 All_Traffic.src、.src_port、 .duration、.dest、 .dest_port、.transport リスク修飾子の推移 All_Risk.risk_score オブジェクトごとのリスク スコア All_Risk.risk_score リスク分析 最も活発なソース All_Risk.risk_score、 .risk_object 最近のリスク修飾子 All_Risk.* パネルのタイト ル データモ デル データモデルオブジェクト 緊急度ごとの重 要なイベント セキュリ ティ体制 重要なイベント の推移 上位の重要なイ ベント なしes_notable_events KVStore コレクションに対するサーチ の呼び出し 上位の重要なイ ベントソース セッション センター SSL のア クティビ ティ セッションの推 移 セッションの詳 細 ネット ワーク セッショ ン All_Sessions.* 共通名ごとの SSL のアクティ ビティ All_Certificates.SSL.ssl_subject_common_name SSL のクラウド セッション All_Certificates.SSL.ssl_subject_common_name、 .src 最近の SSL セッ ション 証明書 All_Certificates.src、.dest、 .ssl_subject_common_name、 .ssl_subject_email、.ssl_issuer_common_name、 .ssl_issuer_organization、.ssl_start_time、 .ssl_end_time、.ssl_validity_window、.ssl_is_valid SSL サーチ 抑制されたイベ ントの推移 - 過 去 24 時間 抑制の監査 All_Sessions.Session_* 抑制履歴の推移 - 過去 30 時間 抑制管理アク 重要なイベントをサーチするマクロの呼び出し なし サマリー生成情報のマクロとサーチの呼び出し イベントタイプごとのサーチの呼び出し 110 イベントタイプごとのサーチの呼び出し ティビティ 期限切れの抑制 システムセ ンター イベントタイプごとのサーチの呼び出し オペレーティン グシステム なしsystem_version_tracker ルックアップの呼び出し システムごとの 上位平均 CPU 負荷 パフォー マンス All_Performance.CPU.cpu_load_percent、 All_Performance.dest アプリ ケーショ ンの状態 All_Application_State.Services システムの件数 ごとのサービス システムの件数 ごとのポート All_Application_State.Ports T- Z ダッシュボー ド名 パネルのタイトル データモ デル データモデルオブジェクト 脅威アクティビ ティの推移 脅威アクティ ビティ 活発な脅威のコレ クション 活発な脅威ソース 侵入検出、ネットワークトラフィック、Web詳細は、「脅 威アクティビティのデータソース」を参照してください。 脅威アクティビ ティの詳細 脅威の概要 エンドポイントの アーティファクト 脅威のアー ティファクト ネットワークの アーティファクト メールのアーティ ファクト なし脅威インテリジェンス KVStore コレクションの呼び出 し詳細は、「脅威インテリジェンスソースの設定」を参照 してください。 証明書のアーティ ファクト 脅威インテリ ジェンスの監 査 脅威インテリジェ ンスのダウンロー ド なしREST エンドポイントごとのサーチの呼び出し 脅威インテリジェ ンスの監査イベン ト なしイベントタイプごとのサーチの呼び出し 時間同期の失敗 時間が同期されて いないシステム タイムセン ター パフォー マンス インデックス時間 の遅延 なしサマリー情報サーチの結果の呼び出し タイムサービスの スタートモードの 異常 アプリ ケーショ ンの状態 アクションごとの トラフィックの推 移 トラフィック All_Performance.OS.Timesync、 All_Performance.dest、 .dest_should_timesync、 OS.Timesync.action プロトコルごとの トラフィックの推 移 All_Application_State.Services.start_mode、 .Services.status、.dest_should_timesync、 .tag、.dest All_Traffic.action ネット All_Traffic.transport 111 移 センター スキャンアクティ ビティ (多数のシス テム) ネット ワークト ラフィッ ク 上位のソース All_Traffic.src All_Traffic.action、.src_port、.src、.dest、 .transport、.dest_port トラフィックサーチ 異常なトラフィッ クサイズの推移 トラフィック サイズ分析 トラフィックサイ ズの詳細 ダッシュ ボード名 パネルのタイトル ネット ワークト ラフィッ ク 必要な更新上位 アップデートサーチ URL 長の分 析 ユーザーア クティビ ティ 異常な URL 長の推 移 All_Traffic.bytes、.dest、.src データモデルオブジェクト Updates.status、.dest、.signature_id、 .vendor_product 更新 更新されていないシ ステム - 30 日以上 更新サービスのス タートモードの異常 All_Traffic.transport、.src データモ デル 更新が必要な上位の システム アップデー トセンター All_Traffic.dest、.src Updates.status、.dest、.signature_id、 .vendor_product Updates.dest_should_update、.dest、 .signature_id、.vendor_product、.status アプリ ケーショ ンの状態 All_Application_State.Services.start_mode、 .Services.status、.Services.service、.tag 更新 Updates.dest_should_update、.status、 .dest、.signature_id、.vendor_product Web URL 長の詳細 Web.http_method、.url Web.url_length、.src、.dest、.url リスクスコアごとの ユーザー リスク分 析 All_Risk.risk_object 企業のサイト外への Web アップロード Web Web.bytes、.user、.http_method、.url 企業以外のメールア クティビティ メール All_Email.size、.recipient、.src_user 監視リストサイトの アクティビティ Web Web.src、.url 遠隔アクセス 認証 Authentication.src、.user チケットアクティビ ティ チケット 管理 All_Ticket_Management.description、 .priority、. severity、.src_user ダッシュボード 名 ビューの監査 パネルのタイトル ビューのアクティビティの 推移 想定されるビューのアク ティビティ データモデ ル Splunk の監 査ログ View_Activity.app、.view View_Activity.app、.view、 .user Vulnerabilities.signature、 .dest 上位の脆弱性 脆弱なホスト データモデルオブジェクト 脆弱性 脆弱性センター Vulnerabilities.signature、 .severity、.dest Vulnerabilities.signature、 .severity、.dest 重大度ごとの脆弱性 112 新しい脆弱性 脆弱性操作 vuln_signature_reference ルックアップの呼 び出し スキャンアクティビティの 推移 Vulnerabilities.dest 存在期間ごとの脆弱性 Vulnerabilities.severity、 .signature、.dest 大きな脆弱性のスキャン 脆弱性 Vulnerabilities.category、 .signature、.dest、.severity、 .cve 脆弱性サーチ Web センター Vulnerabilities.dest メソッドごとのイベントの 推移 Web.http_method ステータスごとのイベント の推移 Web.status 上位のソース Web 上位の宛先 Web.dest、.src Web.dest、.src Web.http_method、.status、 .src、.dest、.url Web サーチ アドオンのダッシュボード Splunk Enterprise Security で提供されているダッシュボードは下記のとおりです。ナビゲーションエディタを 使用すると、メニューバーにダッシュボードを追加、再配置できます。 ES のダッシュボードの完全なリストは、[サーチ] > [ダッシュボード] で確認できます。 ダッシュボード名 セキュリティドメイン アドオンの一部 アクセスの異常 アクセス DA-ESS-AccessProtection アクセスセンター アクセス DA-ESS-AccessProtection アクセスサーチ アクセス DA-ESS-AccessProtection アクセストラッカー アクセス DA-ESS-AccessProtection アカウント管理 アクセス DA-ESS-AccessProtection アセットセンター アセット SA-IdentityManagement アセット調査 アセット SA-IdentityManagement コンテンツプロファイ ル 監査 SplunkEnterpriseSecuritySuite データモデルの監査 監査 Splunk_SA_CIM デフォルトのアカウン トアクティビティ アクセス DA-ESS-AccessProtection DNS のアクティビ ティ ネットワーク DA-ESS-NetworkProtection DNS サーチ ネットワーク DA-ESS-NetworkProtection メールアクティビティ ネットワーク DA-ESS-NetworkProtection メールサーチ ネットワーク DA-ESS-NetworkProtection エンドポイントの変更 エンドポイント DA-ESS-EndpointProtection フォワーダーの監査 監査 SA-AuditAndDataProtection HTTP カテゴリ分析 ネットワーク DA-ESS-NetworkProtection HTTP ユーザーエー ネットワーク DA-ESS-NetworkProtection 113 ネットワーク DA-ESS-NetworkProtection ID センター ID SA-IdentityManagement Identity_investigator ID SA-IdentityManagement インシデントレビュー 脅威 SA-ThreatIntelligence インシデントレビュー の監査 脅威 SA-ThreatIntelligence インデックス作成の監 査 監査 SA-AuditAndDataProtection 侵入センター ネットワーク DA-ESS-NetworkProtection 侵入サーチ ネットワーク DA-ESS-NetworkProtection マルウェアセンター エンドポイント DA-ESS-EndpointProtection マルウェア操作 エンドポイント DA-ESS-EndpointProtection マルウェアサーチ エンドポイント DA-ESS-EndpointProtection ネットワークの変更 ネットワーク DA-ESS-NetworkProtection 新規ドメイン分析 ネットワーク DA-ESS-NetworkProtection パネルごとのフィルタ の監査 監査 SA-Utils ポート/プロトコルト ラッカー ネットワーク DA-ESS-NetworkProtection ジェント分析 予測分析 Splunk_SA_CIM プロトコルセンター ネットワーク DA-ESS-NetworkProtection REST の監査 監査 SA-Utils リスク分析 脅威 SA-ThreatIntelligence サーチの監査 監査 SA-AuditAndDataProtection セキュリティ体制 SplunkEnterpriseSecuritySuite セッションセンター ID SA-IdentityManagement SSL のアクティビティ ネットワーク DA-ESS-NetworkProtection SSL サーチ ネットワーク DA-ESS-NetworkProtection 抑制の監査 脅威 SA-ThreatIntelligence システムセンター エンドポイント DA-ESS-EndpointProtection 脅威アクティビティ 脅威 DA-ESS-ThreatIntelligence 脅威のアーティファク ト 脅威 DA-ESS-ThreatIntelligence 脅威インテリジェンス の監査 監査 DA-ESS-ThreatIntelligence タイムセンター エンドポイント DA-ESS-EndpointProtection トラフィックセンター ネットワーク DA-ESS-NetworkProtection トラフィックサーチ ネットワーク DA-ESS-NetworkProtection トラフィックサイズ分 析 ネットワーク DA-ESS-NetworkProtection アップデートセンター エンドポイント DA-ESS-EndpointProtection アップデートサーチ エンドポイント DA-ESS-EndpointProtection 114 URL 長の分析 ネットワーク DA-ESS-NetworkProtection ユーザーアクティビ ティ ID DA-ESS-IdentityManagement ビューの監査 監査 SplunkEnterpriseSecuritySuite 脆弱性センター ネットワーク DA-ESS-NetworkProtection 脆弱性の操作 ネットワーク DA-ESS-NetworkProtection 脆弱性サーチ ネットワーク DA-ESS-NetworkProtection Web センター ネットワーク DA-ESS-NetworkProtection Web サーチ ネットワーク DA-ESS-NetworkProtection 詳細ガイド エクストリームサーチ エクストリームサーチは Spluink プラットフォームのサーチ言語を強化します。Splunk Enterprise Security に 実装されているため、エクストリームサーチのコマンド使うことで下記が可能になります。 イベントデータに基づく動的閾値の作成 イベントカウントを自然な表現に置き換えることによるコンテキストの提供 たとえば、Enterprise Security のマルウェアセンターのダッシュボードでは、過去 48 時間にマルウェアに感染 していたシステム数の合計件数がキーセキュリティーインジケータの感染の合計数に表示されます。 Splunk ES は、現在の感染数と前日の感染数を比較し、表示する変化率を決定します。感染システム数の 1 日の 通常範囲は自動で決定されません。閾値はユーザーによって指定されます。感染数が3倍に増えても、それが重大 な増加であるかどうかのコンテキストが値では提供されません。 エクストリームサーチを使用する同じインジケータでは、デフォルトの感染の合計数のインジケータでは提供され ない詳細な関連情報が表示されます。 エクストリームサーチでは動的な更新モデルを使って、感染数と新しい感染の比率が計算されます。キーセキュリ ティーインジケータでは、文脈的なわかりやすい表現が使用されます。この場合では、マルウェア感染数の合計が その他の日よりも多くなく、感染の変化率もの増加率も異常ではありません。 エクストリームサーチでのコンテキストとコンセプトの使用 コンテキストとコンセプトという中核的な概念は、エクストリームサーチを理解する上で重要です。これらの概念 は、エクストリームサーチのコマンドが使用する動的な閾値のデータモデルの基礎となっています。 1. コンテキスト: コンテキストではフィールドやデータに対する関係が数字で定義します。モデル化される データはサーチ結果の数値を指します。コンテキストの例としては、過去 24 時間のネットワークスルー プットの合計やネットワーク遅延などがあります。 2. # コンセプト: データに適用される用語であり、数量的な記述ではなく、質的な記述を指します。コンセプ トの例としては、「極度」、「高」、「中」、「低」、「最低」などがあります。 エキストリームサーチはコンテキストとコンセプトを組み合わせることで、データに意味と値を追加します。 過去 24 時間のネットワークスループットの合計は、「極度」、「高」、「中」、「低」、または「最低」 だった。 過去 24 時間のネットワーク遅延は、「極度」、「高」、「中」、「低」、または「最低」だった。 115 両方の例で、コンセプトの用語はネットワークアクティビティについて説明しているものの、適用されるコンテキ ストによって意味が変わります。ネットワークスループットの合計が最低と報告された場合は警告になります。 ネットワークお遅延が最低と報告された場合、ネットワークは正常に機能しています。 データモデルとエクストリームサーチ データを表現するためのコンセプトとコンテキストを選択すると、データモデルが作成されます。データモデルは エクストリームサーチのコマンドを使用して、コンセプトによるイベントの統計値とコンテキストをマッピングし ます。エクストリームサーチのコマンドでは、この組み合わせによるモデルがコンテキストと呼ばれます。 保存済みサーチでは、動的な閾値のコンテキストなどのコンテキストが更新されます。保存済みサーチではイベン トデータがサーチされ、コンテキストの更新に使用される統計値が取得されます。コンテキストを更新する保存済 みサーチのリストについては、このトピックの「コンテナ、コンテキスト、保存済みサーチ」を参照してくださ い。 Splunk Enterprise でのエクストリームサーチの設定 Splunk Enterprise でのエクストリームサーチのコマンドの使用には、追加の設定が必要ありません。デフォルト のインストールでエクストリームサーチのコマンドに必要なすべてのコンテキストが提供され、コマンドを維持す る保存済みサーチが有効になります。 Enterprise Security に実装されているコンテキストと保存済みサーチのリストについては、このトピック の「コンテナ、コンテキスト、保存済みサーチ」を参照してください。 エクストリームサーチを使用するキーセキュリティーインジケータのリストについては、このトピックの 「エクストリームサーチのキーセキュリティーインジケータ」を参照してください。 エクストリームサーチを使用する相関サーチのリストについては、このトピックの「エクストリームサーチ の相関サーチ」を参照してください。デフォルトでは、すべての相関サーチが無効になっています。 エクストリームサーチの相関サーチ デフォルトでは、Enterprise Security のすべての相関サーチが無効になっています。このマニュアルの「相関 サーチを有効にする」をご覧ください。 サーチ作成ガイダンスは、エクストリームサーチのコマンドを使用する相関サーチに対応していません。エクスト リームサーチを使用する相関サーチは下記のとおりです。 サーチ名 コンテキスト ブルートフォースのアクセス挙動検出 failures_by_src_count_1h 1日のブルートフォースのアクセス挙動検出 failures_by_src_count_1d ユーザによる異常に多いエンドポイントの変更 change_count_by_user_by_change_type_1d 過剰なメール送信を行っているホスト recipients_by_src_1h イベントの大幅な増加 count_by_signature_1h ポートのアクティビティの大幅な増加 count_by_dest_port_1d 異常な量のネットワークアクティビティ count_30m ソースごとの異常に多い HTTP メソッドのイベント count_by_http_method_by_src_1d エクストリームサーチのキーセキュリティーインジケータ エクストリームサーチを使用するキーセキュリティーインジケータは、数値ではなく意味的言語を扱うため、容易 に特定できます。デフォルトでは、それぞれのダッシュボードのキーインジケータが有効になっています。 サーチ名 コンテキスト アクセス - アクセスの試みの合計 authentication: count_1d、percentile マルウェア - 感染の合計件数 malware: count_1d、percentile リスク - リスクスコアの中央値 median_object_risk_by_object_type_1d、percentile リスク - [システム] ごとのリスクスコアの中央値 median_object_risk_by_object_type_1d、percentile リスク - [ユーザー] ごとのリスクスコアの中央値 median_object_risk_by_object_type_1d、percentile リスク - [その他] ごとのリスクスコアの中央値 median_object_risk_by_object_type_1d、percentile 116 リスク - リスクの総計 total_risk_by_object_type_1d、percentile リスク - システムリスクの総計 total_risk_by_object_type_1d、percentile リスク - ユーザーリスクの総計 total_risk_by_object_type_1d、percentile リスク - その他のリスクの総計 total_risk_by_object_type_1d、percentile コンテナ、コンテキスト、保存済みサーチ Splunk Enterprise Security ではコンテナと呼ばれるオブジェクトにコンテキストが保存されています。コンテ ナはファイルシステムのオブジェクトであると同時に、コンテキストを分類する論理的な設定でもあります。 Enterprise Security では、コンテナは .context の拡張子を持つファイルです。コンテナには複数のコンテキスト を保存することもできます。コンテキストを生成する保存済みサーチは[コンテンツ管理] のページで確認できま す。 注意: デフォルトでは、動的コンテキスト保存済みサーチが有効になっています。 コンテナ名 認証 change_analysis コンテキスト名 App の場所 動的コ ンテキ スト サーチ 名 failures_by_src_count_1h アクセ スソース ごとの 認証失 敗Context Gen failures_by_src_count_1d アクセ ス-1 日当た りの ソース ごとの 認証の 失敗 Context Gen SA-AccessProtection count_1d アクセ ス-1 日当た りの認 証件数 Context Gen change_count_by_user_by_change_type_1d SA-EndpointProtection アクセ ス-1 日当た りの ユー ザーと 変更の タイプ ごとの 変更の 合計 Context Gen エンド ポイン ト-宛 先件数 ごとの メール - destinations_by_src_1h 117 email malware ids_attacks SA-EndpointProtection Context Gen recipients_by_src_1h エンド ポイン トソース ごとの メール Context Gen count_1d SA-NetworkProtection エンド ポイン ト-1 日のマ ルウェ アの件 数Context Gen SA-NetworkProtection ネット ワーク 1 時間 当たり のシグ ネチャ ごとの イベン ト件数 Context Gen count_by_signature_1h count_by_dest_port_1d ネット ワーク 宛先 ポート ごとの ポート アク ティビ ティ Context Gen src_count_30m ネット ワーク 30 分当 たりの トラ フィッ クソー ス数 Context Gen count_30m ネット ワーク 30 分当 たりの トラ フィッ ク量 Context Gen network_traffic SA-NetworkProtection アクセ ス-1 日当た りの ソース と HTTP 118 web count_by_http_method_by_src_1d SA-NetworkProtection リスク 1 日当 たりの オブ ジェク トリス クの中 央値 Context Gen median_object_risk_by_object_type_1d risk default SA-ThreatIntelligence total_risk_by_object_type_1d リスク 1 日当 たりの リスク オブ ジェク ごとの リスク 合計 Context Gen percentile ESS パーセ ンタイ ルContext Gen SA-Utils なし height default メソッ ドごと の Web イベン トの件 数Context Gen trendchange Splunk_SA_ExtremeSearch なし compatibility なし 例 エクストリームサーチのコマンドを実装した相関サーチの詳細は、このマニュアルの「エクストリームサーチの 例」を参照してください。 エクストリームサーチの例 既存の相関サーチをエクストリームサーチコマンドを使うものに変換できます。この例では、変換したサーチを Splunk Enterprise Security に実装します。エクストリームサーチを使うように変更したサーチの使用には、設 定の変更は一切不要です。 総当りアクセス挙動検出のサーチ 総当りアクセス挙動検出相関サーチは認証成功で終了する大量のログイン失敗をサーチします。ベースとなるサー チは重要なイベントをさがし、「失敗」タイプのイベントを集計し、続いて「成功」イベントがあるか確認しま す。これを過去1時間の各ホスト認証について調べます。検出されたイベントが閾値を超えると、サーチはアラー トアクションを起動し、重要なイベントや他のタイプのアラートを生成します。 エクストリームサーチコマンドを使わない「総当りアクセス挙動検出」相関サーチ: | `datamodel("Authentication","Authentication")` | stats values(Authentication.tag) as tag,count(eval('Authentication.action'=="failure")) as failure,count(eval('Authentication.action'=="success")) as success by Authentication.src | `drop_dm_object_name("Authentication")` | search failure>6 success>0 | `settags("access")` エクストリームサーチコマンドを使わない場合は、サーチに静的な閾値が "success" イベントについて設定され ています。その部分の文字列が | search failure>6 です。管理者は閾値を決めるか、デフォルトを受け入れる必要 119 があります。管理者が閾値を低く設定すると、大量の重要なイベントが発生します。高すぎると、サーチは重要な イベントを取りこぼし、セキュリティ脅威の盲点を作ってしまいます。 エクストリームサーチを実装したサーチは静的な値を削除します。この例では、入力されている認証データから環 境で想定される認証失敗の水準を推定します。 1.データを調査 エクストリームサーチを使うには、コマンドのためのデータモデルを作成する必要があります。データモデルを作 るには、データの意味と問題の本質を理解する必要があります。 この「総当りアクセス挙動検出」相関サーチの例では、認証失敗の回数がゼロ以下にはならず、それどころか相当 高い数値になることが想定できます。規模の尺度を考えることで、サーチで求めている認証の値を表現できます。 2.コンテキストの選択 コンテキストは 3 種類から選択できます。それぞれにデータポイントが 3 つ必要です。 中央値または平均値:中央値または平均値、標準偏差、イベントの総数が必要です。 ドメイン:最低値、最高値、イベントの総数が必要です。 この例では、認証イベントの計数は負の値を含まず、漸増する性質があるため、ドメインが最良の選択です。 3.コンセプトの選択 コンセプトはデータを質的に記述します。Splunk Enterprise Security には、変更、方向、規模を質的な値とし て解釈するためのコンセプトが事前に設定されています。コンセプトは使用する用語によって区別されます。 変更では「最小限に、やや、ある程度、大きな、極端な」が使用されます。 方向では「減少、変わりなし、増加」が使用されます。 規模では「最低、低、中、高、極度」が使用されます。 この場合では、規模のコンセプトが認証の失敗を最もよく表しています。 4.コンテキストの作成 このマニュアルの「エクストリームサーチ」に説明されるとおり、コンテキストには名前のほか、App に保存さ れるコンテナがあります。「ブルートフォースのアクセス挙動検出」の相関サーチは認証イベントに対して実行さ れるため、コンテキストのコンテナは「認証」と呼ばれます。「認証」コンテナは「SA-AccessProtection」の App のほか、認証サーチやその他のオブジェクトに保存されます。 ES ではあらかじめ初期化された認証コンテキストが提供されます。保存済みサーチがイベントを使って更新しな い限り、このコンテキストは環境を反映しません。Splunk Enterprise Security ではこのコンテキストが提供さ れるため、コンテキストの作成で使用される値よりも更新に重点が置かれます。この認証コンテキストのドメイン では、min=0、max=10、count=0 と指定されています。 「ブルートフォースのアクセス挙動検出」のサーチについては、すばやい特定を行うためにコンテキスト名が選択 されます: failures_by_src_count_1h 最初のコンテンツを作成します。 | xsCreateUDContext app="SA-AccessProtection" name=failures_by_src_count_1h container=authentication scope=app terms=`xs_default_magnitude_concepts` min=0 max=10 count=0 type=domain 作成したコンテキストを表示します。 | xsdisplaycontext failures_by_src_count_1h in authentication エクストリームサーチを実装する前、認証失敗の静的な閾値は 6 でした。コンテキスト failures_by_src_count_1h を使用して、6という数が「中」の最後でモデル化されます。このモデルは、更新された「ブルートフォースのア クセス挙動検出」のサーチがfailures_by_src_count_1h を更新する保存済みサーチと認証データをサーチした後に変 更されます。 120 コンテキストで使用する用語を一覧化します。 | xslistconcepts failures_by_src_count_1h in authentication 5.サーチにコンテキストを適用する サーチコマンドの xsWhere を使って、コンテキストに対するデータの値を評価できます。この相関サーチは xsWhere を使って認証失敗の件数をコンテキストの failures_by_src_count_1h と比較し、件数が「中」を上回るかどうかを 特定します。 この例では「中」のコンセプトが、データによってコンテキストが更新された後に変更される値の範囲となってい ます。コンテキストは保存済みサーチによって更新されます。保存済みサーチが特定したイベントの件数が「中」 を上回る場合、エクストリームサーチを使用する相関サーチがアラートアクションを起動し、重要なイベントを生 成します。 エクストリームサーチの機能を使用する「ブルートフォースのアクセス挙動検出」 | `datamodel("Authentication","Authentication")` | stats values(Authentication.tag) as tag,count(eval('Authentication.action'=="failure")) as failure,count(eval('Authentication.action'=="success")) as success by Authentication.src | `drop_dm_object_name("Authentication")` | search success>0 | xswhere failure from failures_by_src_count_1h in authentication is above medium | `settags("access")` 6.コンテキストの更新 サーチの閾値は保存済みサーチを使ってコンテキストを更新するため、閾値を動的なものにすることができます。 エクストリームサーチのコンテキスト情報を生成する保存済みサーチは名前の最後が「Context Gen」のため、 簡単に特定できます。 「ブルートフォースのアクセス挙動検出」の相関サーチが使用するドメインコンテキストには、最小、最大、件数 の値が必要です。これらの値は、認証データモデルから取得されます。「ブルートフォースのアクセス挙動検出 」の相関サーチに対してfailures_by_src_count_1h のコンテキストを生成する「アクセス - ブルートフォースのアク セス挙動検出 - Context Gen」の保存済みサーチ コンテキストでは、外れ値が基礎となるコンテキストを歪曲させることによって見落とし が発生しないよう、コンテキストが生成されたサーチ結果で最大の値が中央値の倍数に変更されます。 failures_by_src_count_1h 「アクセス - ソースごとの認証の失敗 - Context Gen」の保存済みサーチ | tstats `summariesonly` count as failures from datamodel=Authentication where Authentication.action="failure" by Authentication.src,_time span=1h | stats median(failures) as median, min(failures) as min, count as count | eval max = median*2 | xsUpdateDDContext app="SA-AccessProtection" name=failures_by_src_count_1h container=authentication scope=app このサーチは failures_by_src_count_1h コンテキストを xsUpdateDDContext で更新します。この場合、サーチから得 られるデータがコンテキストに追加され、コンテキストを提供する履歴の傾向が作成されます。 デフォルトでは、相関サーチと保存済みサーチの「アクセス - ソースごとの認証の失敗 - Context Gen」が 1 時 間ごとに実行されるよう設定されています。 7.ヘッジによる結果の変更 ヘッジはコンセプトが示す範囲を変更する意味的な用語です。ヘッジを使用すると、コンセプトの用語がデータの モデリングに使用する曲線の形を制限、縮小、変更できます。「上」と「下」は、一致する値の範囲を再定義する サーチにアラートを出すことに役立ちます。 エクストリームサーチを使用する「ブルートフォースのアクセス挙動検出」の相関サーチにはヘッジが適用されて いるため、失敗の件数が「中より上」になった場合だけにアラートアクションが起動します。 さまざまなヘッジが適用されたコンセプトの例 ヘッジの例 Image | xsDisplayConcept medium from failures_by_src_count_1h in authentication | xsDisplayConcept very medium from failures_by_src_count_1h in authentication | xsDisplayConcept above medium from failures_by_src_count_1h in 121 authentication | xsDisplayConcept below medium from failures_by_src_count_1h in authentication | xsDisplayConcept around medium from failures_by_src_count_1h in authentication エクストリームサーチのヘッジは、Splunk_SA_ExtremeSearch のApp の に含まれます。 synonyms.csv のルックアップファイル サマリー Splunk Enterprise Securirty では、エクストリームサーチを使用する「ブルートフォースのアクセス挙動検出」 の相関サーチを使用できます。コンテキストは、一定の間隔で実行されるコンテキスト生成サーチによって更新さ れます。相関サーチではコンテキストが参照され、コンテキスト内にあるコンセプトが閾値を設定します。コンセ プトは「中より上」とヘッジされているため、相関サーチは認証の成功前の失敗の件数が「高」や「極度」の場合 だけに重要なイベントを作成します。 簡単に言えば、エクストリームサーチは「ブルートフォースのアクセス挙動検出」の相関サーチの内容を「認証の 失敗が X 回続いた後に認証が成功したイベントをすべて特定する」から「多い、または極度に多い認証の失敗の 後に認証が成功したイベントをすべて特定する」に変換したことになります。 エクストリームサーチのコマンド サーチコマンド 説明 xsWhere 指定したコンテキスト内でコンセプトを照合し、適合性について判断す るために使用されます。 xsFindBestConcept サーチのカウントを評価してコンテキストと比較するために使用されま す。最も近い一致によって、コンセプトの用語が返されます。このコマ ンドはキーセキュリティーインジケータによって使用されます。 データで定義されるコンテキストを更新するために使用されます。 "xsUpdateDDContext" を呼び出すスケジュール済みレポートが、履歴 xsUpdateDDContext ビューを示すコンテキストを作成します。|xsUpdateDDContext in app=<app> name=<context> container=<container> scope=app xsListContexts コンテナ | xsListContexts in <container> にあるすべてのコンテキストを 一覧化するために使用されます。 xsListConcepts コンテナ | xsListConcepts from <context> in <container> にあるすべての コンセプトを一覧化するために使用されます。 xsDisplayContext コンセプトで使用される用語など、コンテキストの値の範囲を表示する ために使用されます: | xsDisplayContext <context> IN <container> xsDisplayConcept コンセプトで使う値の範囲を表示するために使用されます: | xsDisplayConcept <concept> from <context> in <container> | xsDisplayConcept <hedge> <concept> from <context> in <container> カスタムダッシュボードの追加 Splunk Enterprise Security では、事前に設定されたデフォルトのダッシュボードが提供されています。デプロ イに合わせてこれらのダッシュボードを変更したり、セキュリティの状況に応じて新しいダッシュボードを作成し たりできます。 新しいダッシュボードを作成する場合は、[サーチ] > [ダッシュボード] へと進みます。[ダッシュボード]の ペー ジでは、『データの視覚化 』マニュアルの「ダッシュボードエディタを開く」の解説に従ってください。 メニューに表示させるダッシュボードは、ナビゲーションエディタを使って変更できます。詳細は、このマニュア ルの「ナビゲーション」を参照してください。 122
© Copyright 2024 Paperzz