前回までマシンデータ・プラットフォームのSplunkについて解説してきたが、Splunkはセキュリティ専用装置ではないにもかかわらず、セキュリティのユースケースが広がっている。
上述したサイバーキルチェーンを見つけるためには、Splunk単体では何もできない。各々のセキュリティデバイスでも個々の事象判別、限定対応に留まる。しかし、サーバやネットワーク、Webなどの非セキュリティのマシンデータとセキュリティデータを活用することでサイバーキルチェーンを見つけ出し、連動する脅威の分断に寄与できる。いわゆる「SIEM」と呼ばれる領域だ。マシンデータを分析することで得られる幾つかの特徴のうち、Splunkの主な3つの特徴を見てみたい。
1.キルチェーンを検出するためのファーストトリガー
複数のログの相関分析を行い、アラームを出力する。メッセージ内容、時間軸、回数、カテゴリ別にイベントを生成、ユーザーの意図によって相関することは自由自在だ。例えば、次のようなことができる。
例えば、ランダムジェレネートされたDNSは攻撃元に利用され、また、情報漏えいでDNSがトンネル対象としても度々利用されるようになった。このため、DNSのログやパケットキャプチャから名前解決のNameを解析対象とすることも重要である。よって、Nameの異常性や生存頻度、アクセス頻度から問題を割り出すことで、DNSはサイバーキルチェーンを見つけだすファーストトリガーとして利用できる(図5参照)。
またHTTPのログを利用し、User Agentの異常を見出すことも重要である。異常なUser Agentからのアクセスは、不正な端末からのアクセスの可能性が高く、中間者攻撃の場合、攻撃者はWebブラウザを利用しないため、この手の検出の有効性は特に高い(図6参照)。
Copyright © ITmedia, Inc. All Rights Reserved.