SplunkはSOCチームの脅威検出能力を強化する複数の新サービスを公開した。この中にはSplunk ESの新バージョン8.0やCisco Talosの脅威インテリジェンス情報の無償提供などが含まれる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Splunkは2024年6月12日(現地時間)、SIEM(Security Information and Event Management)製品「Splunk Enterprise Security」(以下、Splunk ES)の新バージョン8.0を公開した。現在プライベートプレビューの段階で、2024年9月には一般提供を開始する。
この他、「Cisco Talos」の脅威インテリジェンスをSplunkプラットフォームにおいて無償で利用できるなど、SOC体制の強化及びセキュリティ担当者の時間コストを削減する複数のサービスについても発表した。
Splunk ES 8.0には「Splunk Mission Control」が標準で搭載される。SOAR(Security Orchestration, Automation and Response)製品「Splunk SOAR」や脅威インテリジェンス製品「Splunk Threat Intelligence Management」を導入している場合、それらの状況を単一のビューで確認できる。これによってセキュリティ担当者は脅威の検出や調査、対応を一元化されたインタフェースで簡単に実行できるようになるため、運用効率を向上させられる。
Splunkは、Splunk ES 8.0の新機能を活用することで、以下が実現するとしている。
SplunkのSenior Vice President and General Manager of Securityを務めるマイク・ホーン氏は「Splunk ES 8.0の最新機能は、アナリストのTDIR(Threat:脅威、Detection:検出、Investigation:調査、Response:対応)ライフサイクルを大きく変化させる。Splunk SOARの自動化機能の統合など、シームレスな調査とケース管理が可能な最新版を活用すれば、SOCチームは複雑なセキュリティの問題を効率的に解決できるようになる。Splunk ES 8.0は、将来のSOCの基盤として機能し、進化し続ける脅威にもプロアクティブに対応できる」と述べた。
この他、Splunk ES 8.0には、脅威ハンティングや頻繁な脅威検出のために、外部にデータが保存されている場所でも直接データを分析できる新機能「Federated Analytics」も追加される。
Federated Analyticsは、「Splunk Cloud Platform」とSplunk ESのプライベートプレビュー版に搭載され2024年7月から提供を開始する。これはAmazon Web Services(AWS)が提供するセキュリティデータレイクサービス「Amazon Security Lake」で直接データを分析する機能だ。Amazon Security Lakeとシームレスに統合することで、データを再配置することなく、セキュリティインシデントを効率的に検出して調査できる。この機能によって豊富なコンテキストを利用したデータ分析を迅速に実行でき、運用の俊敏性が強化される。
Federated Analyticsにより、SOCチームは以下が実現できる。
AWSのリスク管理ディレクターのマーク・テレンツォーニ氏は「組織はFederated Analyticsによって、Amazon Security Lakeの包括的な機能を活用できるようになり、堅牢(けんろう)なセキュリティ対策を維持できる」と話した。
ホーン氏は「当社の顧客の要望に応え、まずはAmazon Security Lakeの連携から始めたが、将来的にはAWS以外の環境においても同様の機能を利用できるようにしたい」と語った。
今回の発表では、Cisco Systems(以下、Cisco)との連携についても明らかになった。SOCチームは近日中に、次世代脅威分析プラットフォーム「Splunk Attack Analyzer」、Splunk ES、Splunk SOARにおいて、Ciscoの脅威インテリジェンスグループCisco Talosの脅威インテリジェンス情報を無償で活用できるようになる。
Cisco Talosの広範な脅威インテリジェンスネットワークを活用することで、Splunkのユーザーは脅威の検出と対応プロセスを効率化し、過剰なアラートを削減できる他、セキュリティアナリストはよりクリティカルな脅威に集中できるようになる。Cisco Talosの脅威インテリジェンスネットワークによって、脅威の識別や対応の優先順位を明確化し、コンテキストに即したインサイトを取得し、高度な相関付けが可能になる。
ホーン氏によると、例えばSplunk ESでアラートが発生し、そのアラートにIPアドレスやドメイン、URLが含まれていた場合、Cisco Talosでそれらが攻撃者のものかどうかを判断できるという。
「SplunkはCiscoのプロダクトリーダーと緊密に連携しながら、将来的に今回の連携がどのように展開できるかを考えている。Cisco Talosのインテリジェンス情報の無償提供はその一環だ」(ホーン氏)
Copyright © ITmedia, Inc. All Rights Reserved.