SplunkプラットフォームでCisco Talosの脅威インテリジェンス情報が無償で利用可能に：セキュリティソリューション

SplunkはSOCチームの脅威検出能力を強化する複数の新サービスを公開した。この中にはSplunk ESの新バージョン8.0やCisco Talosの脅威インテリジェンス情報の無償提供などが含まれる。

[田渕聖人，ITmedia]

　Splunkは2024年6月12日（現地時間）、SIEM（Security Information and Event Management）製品「Splunk Enterprise Security」（以下、Splunk ES）の新バージョン8.0を公開した。現在プライベートプレビューの段階で、2024年9月には一般提供を開始する。

SOCチームを強化する複数の新サービスを発表　Cisco Talosとの連携も

　この他、「Cisco Talos」の脅威インテリジェンスをSplunkプラットフォームにおいて無償で利用できるなど、SOC体制の強化及びセキュリティ担当者の時間コストを削減する複数のサービスについても発表した。

　Splunk ES 8.0には「Splunk Mission Control」が標準で搭載される。SOAR（Security Orchestration, Automation and Response）製品「Splunk SOAR」や脅威インテリジェンス製品「Splunk Threat Intelligence Management」を導入している場合、それらの状況を単一のビューで確認できる。これによってセキュリティ担当者は脅威の検出や調査、対応を一元化されたインタフェースで簡単に実行できるようになるため、運用効率を向上させられる。

　Splunkは、Splunk ES 8.0の新機能を活用することで、以下が実現するとしている。

• シームレスなワークフローエクスペリエンスを活用：　統一されたワークスペースと対応計画を提供し、脅威の特定、評価、対応を支援する
• 調査の効率化を促進：　最新の情報集約機能とトリアージ機能により、事前に設定した条件に基づいて調査結果を自動的に集約し、重要なインサイトを網羅的に表示する
• 重大なインシデントに注力して時間を節約：　検出機能の強化により、リスクベースのアラート戦略を理解して実装するためのターンキー型の機能を提供する。調査が必要な信頼性の高いアラートのみが集約されて生成される
• 効率的なコミュニケーションと迅速な対応：　各Splunkソリューションで使われる用語を統一した

　SplunkのSenior Vice President and General Manager of Securityを務めるマイク・ホーン氏は「Splunk ES 8.0の最新機能は、アナリストのTDIR（Threat：脅威、Detection：検出、Investigation：調査、Response：対応）ライフサイクルを大きく変化させる。Splunk SOARの自動化機能の統合など、シームレスな調査とケース管理が可能な最新版を活用すれば、SOCチームは複雑なセキュリティの問題を効率的に解決できるようになる。Splunk ES 8.0は、将来のSOCの基盤として機能し、進化し続ける脅威にもプロアクティブに対応できる」と述べた。

Amazon Security Lakeと連携する新機能も公開

　この他、Splunk ES 8.0には、脅威ハンティングや頻繁な脅威検出のために、外部にデータが保存されている場所でも直接データを分析できる新機能「Federated Analytics」も追加される。

　Federated Analyticsは、「Splunk Cloud Platform」とSplunk ESのプライベートプレビュー版に搭載され2024年7月から提供を開始する。これはAmazon Web Services（AWS）が提供するセキュリティデータレイクサービス「Amazon Security Lake」で直接データを分析する機能だ。Amazon Security Lakeとシームレスに統合することで、データを再配置することなく、セキュリティインシデントを効率的に検出して調査できる。この機能によって豊富なコンテキストを利用したデータ分析を迅速に実行でき、運用の俊敏性が強化される。

　Federated Analyticsにより、SOCチームは以下が実現できる。

• あらゆる場所にあるデータを分析：　さまざまな場所に保存されたデータにタイムリーにアクセスして分析でき、データの整合性を維持しながら遅延を低減する
• セキュリティ状況をまとめて可視化：　アナリストはSplunkとAmazon Security Lakeのデータをシームレスに統合して分析し、セキュリティデータ全体を一元的に表示することで、データ保管のコストと移動の複雑さを軽減できる
• 効率性と費用対効果を向上：　データのレベル分けや選択的な取り込みや、スマートなデータ管理戦略で運用コストを最適化し、データ管理にかかる支出を大幅に削減する

　AWSのリスク管理ディレクターのマーク・テレンツォーニ氏は「組織はFederated Analyticsによって、Amazon Security Lakeの包括的な機能を活用できるようになり、堅牢（けんろう）なセキュリティ対策を維持できる」と話した。

　ホーン氏は「当社の顧客の要望に応え、まずはAmazon Security Lakeの連携から始めたが、将来的にはAWS以外の環境においても同様の機能を利用できるようにしたい」と語った。

Cisco TalosとSplunkのセキュリティ製品の統合が生む価値

　今回の発表では、Cisco Systems（以下、Cisco）との連携についても明らかになった。SOCチームは近日中に、次世代脅威分析プラットフォーム「Splunk Attack Analyzer」、Splunk ES、Splunk SOARにおいて、Ciscoの脅威インテリジェンスグループCisco Talosの脅威インテリジェンス情報を無償で活用できるようになる。

　Cisco Talosの広範な脅威インテリジェンスネットワークを活用することで、Splunkのユーザーは脅威の検出と対応プロセスを効率化し、過剰なアラートを削減できる他、セキュリティアナリストはよりクリティカルな脅威に集中できるようになる。Cisco Talosの脅威インテリジェンスネットワークによって、脅威の識別や対応の優先順位を明確化し、コンテキストに即したインサイトを取得し、高度な相関付けが可能になる。

　ホーン氏によると、例えばSplunk ESでアラートが発生し、そのアラートにIPアドレスやドメイン、URLが含まれていた場合、Cisco Talosでそれらが攻撃者のものかどうかを判断できるという。

　「SplunkはCiscoのプロダクトリーダーと緊密に連携しながら、将来的に今回の連携がどのように展開できるかを考えている。Cisco Talosのインテリジェンス情報の無償提供はその一環だ」（ホーン氏）

（取材協力：Splunk Japan）