Embed Size (px)
Citation preview
SplunkSplunk ®® Enterprise Security Enterprise Security4.7.04.7.0
ユーザーマニュアルユーザーマニュアル
作成:2017 年 4 ⽉ 20 ⽇午前 9 時 41 分
Copyright (c) 2017 Splunk Inc. All Rights Reserved
444
5555
6
7
910
12121212131415161717
18181819
21212122
23232324
24
27272727323337414346484852
Table of Content sTable of Content sはじめにはじめに
Splunk Enterprise Security について
インシデントレビューインシデントレビューSplunk Enterprise Security のインシデントレビューの概要Splunk Enterprise Security でのインシデントレビューの重要なイベントのトリアージSplunk Enterprise Security でのインシデントレビューの重要なイベントの調査Splunk Enterprise Security でのインシデントレビューの重要なイベントで対策を取るSplunk Enterprise Security に含まれる適応応答アクションSplunk Enterprise Security の重要なイベントに緊急度を割り当てる⽅法
調査調査Splunk Enterprise Security での調査Splunk Enterprise Security での調査の開始Splunk Enterprise Security の調査への詳細の追加Splunk Enterprise Security の調査の変更Splunk Enterprise Security での調査への協⼒Splunk Enterprise Security での調査の再確認Splunk Enterprise Security の調査の共有または印刷Splunk Enterprise Security のアクション履歴を参照してください。
リスク分析リスク分析Splunk Enterprise Security のリスクの分析Splunk Enterprise Security でのアドホック リスクエントリーの作成
グラステーブルグラステーブルSplunk Enterprise Security でのグラステーブルの作成Splunk Enterprise Security でのグラステーブルの管理
ダッシュボードの概要ダッシュボードの概要Splunk Enterprise Security で使⽤できるダッシュボードについてSplunk Enterprise Security ダッシュボードの⽤途に沿ったカスタマイズSplunk Enterprise Security のキーインジケーター
ダッシュボードのリファレンスダッシュボードのリファレンスセキュリティ体制のダッシュボード監査のダッシュボード予測分析のダッシュボードアクセスのダッシュボードエンドポイントのダッシュボードアセットと ID のダッシュボードアセットと ID の調査のダッシュボードユーザーアクティビティの監視リスク分析ネットワークダッシュボードWeb センターとネットワーク変更のダッシュボード
54545960
656565
ポートとプロトコルトラッカーのダッシュボードプロトコルインテリジェンスのダッシュボード脅威インテリジェンスのダッシュボードWeb インテリジェンスのダッシュボード
同梱されているアドオン同梱されているアドオンEnterprise Security の Splunk UBA のデータ表⽰
はじめにはじめにSplunk Enterpr ise Secur ity についてSplunk Enterpr ise Secur ity について
Enterprise Security では、現在の企業インフラにみられる、セキュリティ関連の脅威が可視化されます。SplunkEnterprise Security の基盤となるのは Splunk Operational Intelligence プラットフォームで、サーチ機能と相関機能が使⽤されます。セキュリティデバイス、システム、アプリケーションのデータの取得、モニタリング、レポートの作成が可能です。問題が特定されると、セキュリティアナリストはアクセス、エンドポイント、ネットワーク保護を⽬的に、迅速な調査とセキュリティ脅威の解決を⾏うことができます。
Splunk Enterpr ise Secur i ty へのアクセスSplunk Enterpr ise Secur i ty へのアクセス
1. Web ブラウザを起動して、Splunk Web に移動します。2. ユーザー名とパスワードでログインします。3. アプリアプリリストから、 Enterprise SecurityEnterprise Security をクリックします。
はじめにはじめに
「Splunk Enterprise Security で使⽤できるダッシュボードについて」から読み始めてください。以降、下の各セクションを参照してください。Splunk Enterprise Security のインシデントレビューの概要Splunk Enterprise Security での調査Splunk Enterprise Security のリスクの分析Splunk Enterprise Security でのグラステーブルの作成
Splunk Enterprise Security の管理者は、『Splunk Enterprise Security の管理』を参照し、管理者のフローワークに必要な専⽤のドキュメントにアクセスしてください。
4
インシデントレビューインシデントレビューSplunk Enterpr ise Secur ity のインシデントレビューの概要Splunk Enterpr ise Secur ity のインシデントレビューの概要
インシデントレビューのダッシュボードには、重要なイベントとそれらの最新のステータスが表⽰されます。
重要なイベントとは、データソースの相関サーチで検出された 1 つ以上の異常なインシデントを指します。たとえば、重要なイベントには下記などがあります。
⼀定の期間内でネットワーク使⽤量の異常な増加が繰り返し発⽣したときシステムへの不正なアクセスが 1 回でも発⽣したとき既知の脅威リストにあるサーバーとホストが通信したとき
アナリストはダッシュボードを使ってシステムやネットワークで発⽣しているイベントの重⼤度を把握できます。また、新しい重要なイベントのトリアージ、アナリストへの分析作業の割り当て、⼿がかかりを⾒つけるための重要なイベントの詳細な調査が可能です。
管理⼈はインシデントレビューと重要なイベントを管理し、カスタマイズできます。管理者のアクティビティについては、「Splunk Enterprise Security のインシデントレビューの管理」を参照してください。
Splunk Enterpr ise Secur i ty が重要なイベントを識別する⽅法Splunk Enterpr ise Secur i ty が重要なイベントを識別する⽅法
Splunk Enterprise Security はデータのパターンを検出し、相関サーチ相関サーチを⽤いてセキュリティ関連のインシデントのイベントを⾃動で特定します。相関サーチにより不審なパターンが検出されると、新しい重要なイベントが⽣成されます。
インシデントレビューのダッシュボードには潜在する重⼤度ごとにすべての重要なイベントが表⽰されるため、重⼤度による問題の選別、割り当て、追跡をすばやく実⾏できます。
インシデントレビューのワークフローインシデントレビューのワークフロー
このワークフローの例を使って、インシデントレビューインシデントレビューのダッシュボードで重要なイベントのトリアージと処理を⾏うことができます。
1. 管理アナリストはインシデントレビューインシデントレビューダッシュボードを監視し、新しく発⽣している重要なイベントのソートと重⼤度による⾼度な選別を⾏います。
2. 重要なイベントで調査が必要な場合は、イベントを調査アナリストに割り当て、インシデントの調査を開始します。
3. 調査アナリストはイベントのステータスを新規新規から進⾏中進⾏中に更新し、重要なイベントの原因の調査を開始します。
4. ここでは、重要なイベントのフィールドとフィールドアクションを使って、イベントの情報の調査と収集が⾏われます。調査の詳細は、重要なイベントのコメントコメントフィールドに記録されます。調査の⼀部として、アナリストは適応応答アクションを実⾏できます。調査の結果、重要なイベントにさらなる調べが必要となった場合は、アナリストは重要なイベントを調査に追加できます。
5. 調査が終了すると、アナリストは重要なイベントの原因に対処します。問題の解決に必要なタスクが上伸、または特定されたら、重要なイベントのステータスが解決済み解決済みに変更されます。
6. アナリストは検証に向けて重要なイベントを最終アナリストに割り当てます。7. 最終アナリストは問題解決のために⾏われた変更を確認、検証し、ステータスを終了終了に設定します。
Splunk Enterpr ise Secur ity でのインシデントレビューの重要なSplunk Enterpr ise Secur ity でのインシデントレビューの重要なイベントのトリアージイベントのトリアージ
インシデントのトリアージ作業ではインシデントレビューダッシュボードを使⽤します。ここでは重要なイベントのほか、重要なイベントを発⽣させた問題を解決するためにアナリストが取る措置を監視できます。
タグとフィルタを使ってトリアージを加速化するタグとフィルタを使ってトリアージを加速化する
サーチフィルタ、タグ付け、ソートによって重要なイベントのトリアージを加速化できます。たとえば、サーチフィルタや時間範囲セレクタを使って個々の、またはグループの重要なイベントに焦点を置くことができます。重要なイベントには緊急度緊急度、 ステータスステータス、所有者所有者のフィールドがあるため、イベントの分類、追跡、割り当てを容易に実⾏できます。
また、タグを使ってサーチを簡略化し、重要なイベントに識別⼦を追加できます。タイトルタイトル、ステータスステータス、所有所有者者などの重要なイベントのフィールドのフィールドアクションメニューで [タグの編集タグの編集] をクリックすると、新しいタグを追加したり、既存のタグを変更したりできます。作成したタグはダッシュボードのフィルタリングに使⽤できます。
[相関サーチ名][相関サーチ名] フィルターを使い、重要なイベントを作成した相関サーチの名前を⼊⼒することで、同⼀の相関サーチにより作成された重要なイベントをフィルタできます。⼊⼒すると、選択できるように相関サーチの名前が表⽰されます。
[サーチ][サーチ] フィルターに SPL と⼊⼒し、インシデントレビューについて重要なイベントの詳細の中をサーチするようフィルターします。
調査に重要なイベントを追加した場合、または、他のアナリストと共有するために重要なイベントの Short IDを作成した場合は、割り当て割り当てフィルターにより特定の調査に割り当てられた重要なイベントや Short ID が⽰す重要なイベントを迅速にフィルターできます。
フィルターされたインシデントレビューをデフォルトで表⽰するには、フィルターされたビューに直接リンクするようにナビゲーションメニューを変更するようEnterprise Security の管理者に要請してください。『Splunk
5
Enterprise Security の管理』の「フィルタされたインシデントレビューのビューへのリンクの追加」を参照してください。
重要なイベントの割り当て重要なイベントの割り当て
⼀度に 1 つまたは複数の割り当てを⾏うことができます。
1. 重要なイベントを選択します。2. [選択を編集][選択を編集] をクリックします。3. [所有者][所有者] を選択してイベントを割り当てます。または、 [私に割り当て][私に割り当て] をクリックしてイベントを⾃分⾃
⾝に割り当てます。4. 変更内容を保存します。
デフォルトではオーナーが割り当てられていません。重要なイベントは管理者管理者、ess_adminess_admin またはess_analystess_analyst ロールを持つすべてのユーザーに割り当てることができます。ユーザーロールについての詳細は、『インストールとアップグレード』マニュアルの「ユーザーとロールの設定」を参照してください。
SAML 認証を使⽤している場合は、重要なイベントを割り当てることのできるユーザーのリストが更新されるまで 10 分ほどかかることがあります。
重要なイベントのステータスの更新重要なイベントのステータスの更新
新しい重要なイベントのステータスは新規新規と表⽰されます。アナリストが重要なイベントのトリアージを⾏い、インシデントのレビューを進める中、所有者は重要なイベントのステータスを更新し、イベントに対処するための措置を反映させることができます。
1. 1 つ以上のイベントを選択し、[すべての選択を編集][すべての選択を編集] をクリックします。表⽰されているすべてのイベントに対処するには、[⼀致した ## 件のイベントをすべて編集][⼀致した ## 件のイベントをすべて編集] をクリックします。
2. イベントの編集イベントの編集ウィンドウで、措置を反映させるフィールドを更新します。3. (オプション) 措置について説明するコメントコメントを追加します。4. 変更内容を保存します。
注意注意: 変更がすぐに反映されない場合は、ダッシュボードのフィルタを確認してください。たとえば、イベントが「進⾏中」に変更された後にフィルターが「新規」に設定されていると、更新されたイベントは表⽰されません。
Enterprise Security の管理者がインシデントレビューのダッシュボードをカスタマイズした場合は、重要なイベントの更新の際にコメントの⼊⼒が必要となりことがあります。アナリストが重要なイベントを確認し、操作する⽅法を Enterprise Security 管理者がカスタマイズするための詳細は「Splunk Enterprise Security のインシデントレビューのカスタマイズ」を参照してください。
重要なイベントのステータスは以下から選択できます。
ステータスステータス 説明説明
割り当てなし このイベントは所有者に割り当てられていません。
新規 デフォルトのステータス。このイベントはまだ調査されていません。
進⾏中 所有者がイベントを調査しています。
未解決 このイベントを解決するには何らかの措置が必要です。
解決 所有者はイベントの原因に対処し、確認を待っています。
終了 イベントの解決が確認されました。
重要なイベントのステータス名とワークフローの進め⽅をカスタマイズして各⾃のプロセスに合わせることができます。詳細は「重要なイベントのステータスの操作」を参照してください。
緊急度による重要なイベントの優先緊急度による重要なイベントの優先
緊急度を使って、重要なイベントのインシデントレビューの優先順位を決定することができます。すべての重要なイベントには緊急度が割り当てられます。緊急度は不明、低、中、情報的、⾼、重⼤のいずれかになります。
これらは相関サーチの重⼤度のほか、イベントに関係するアセットや ID の優先順位に基づいて計算されます。「Splunk Enterprise Security の重要なイベントに緊急度を割り当てる⽅法」を参照してください。
デフォルトでは、セキュリティアナリストが重要なイベントの緊急度を変更できます。デフォルトを変更する⽅法については「インシデントレビューのカスタマイズ」を参照してください。
Splunk Enterpr ise Secur ity でのインシデントレビューの重要なSplunk Enterpr ise Secur ity でのインシデントレビューの重要なイベントの調査イベントの調査
重要なイベントのトリアージが完了したら、調査を開始します。重要なイベントで利⽤できるフィールドを使い、緊急度、要因となるイベント、関連するリスクにスコアを評価します。
重要なイベントの詳細を開いて詳細情報を確認します。
履歴履歴を開き、重要なイベントでの最近の調査について確認します。[この重要なイベントに関する最近の[この重要なイベントに関する最近の動作を表⽰]動作を表⽰] をクリックして、アナリストのコメントやステータスの変更など、イベントに対するアクションを確認します。
6
関係する調査関係する調査のセクションを確認すると、重要なイベントが既存の調査の⼀部であるかを決定できます。調査の名前をクリックすると、調査が開きます。重要なイベントを⽣成した相関サーチを表⽰します。相関サーチの名前をクリックすると相関サーチの変更や確認ができるため、重要なイベントが⽣成された理由を把握することが可能です。重要なイベントが⽣成される原因となった要因となるイベント要因となるイベントを確認します。重要なイベントと関係のあるアセットと ID を対象に⼀覧化されたリスクスコアを確認します。リスクスコアをクリックすると、該当するアセットや ID でフィルタリングされたリスク分析のダッシュボードが開きます。あるイベントが別の重要なイベントを引き起こした場合は、この元のイベントの完全な詳細が表⽰されます。適応応答適応応答でこの重要なイベントに実⾏された適応応答は何か、アクションは正常に実⾏されたか、などの詳細を調べます。応答アクションの名前をクリックして、このアクションの呼び出しによる潜在的な結果を確認します。適応応答起動の確認適応応答起動の確認をクリックして、この相関サーチに関連する応答アクションの未加⼯監査イベントを確認します。更新がこのテーブルに表⽰されるまで最⻑ 5 分かかります。次のステップ次のステップで重要なイベントのトリアージに対して次のステップが定義されているか確認します。Short ID の作成Short ID の作成をクリックすると、他のアナリストと共有できる Short ID が作成されます。重要なイベントはリンクにより共有することもできます。「Splunk Enterprise Security でのインシデントレビューの重要なイベントで対策を取る」を参照してください。
Splunk Enterpr ise Secur ity でのインシデントレビューの重要なSplunk Enterpr ise Secur ity でのインシデントレビューの重要なイベントで対策を取るイベントで対策を取る
インシデントレビューでは、重要なイベントの抑制や共有、調査への 1 つ以上のイベントの追加、アセットや IDが環境内にもたらすリスクの分析、別のダッシュボードのフィールドの詳細な調査を実⾏できます。
適応応答アクションの実⾏適応応答アクションの実⾏
重要なイベントの詳細に基づき、応答アクションを実⾏して詳細情報を収集したり、他のシステムでアクションを⾏ったり、情報を他のシステムに送信したり、リスクスコアの修正などを実⾏できます。
前提条件前提条件カスタム適応応答アクションの⼀部は第三者のシステムや App への接続で資格情報ストアを使⽤します。これらのアクションを適切に実⾏するには、list_storage_passwords権限が必要です。
⼿順⼿順
1. 重要なイベントから、⽮印を選択してアクションアクション列を拡張します。2. 適応応答アクションの実⾏適応応答アクションの実⾏をクリックします。3. 新規応答アクションの追加新規応答アクションの追加をクリックし、リストから 1 つの応答アクションを選択します。カテゴリー
フィルターまたは検索を使⽤して、選択できるアクション数を減らすことができます。4. 応答アクションのフォームフィールドに記⼊します。インシデントレビューに表⽰されている名前ではな
く、フィールド名を使⽤してフィールドを特定します。例えば、アクションのソースフィールドを指定するには「ソース」ではなく「src」と⼊⼒します。
5. 実⾏実⾏をクリックします。
応答アクションのステータスは重要なイベントの詳細で確認できます。インシデントレビューのインシデントレビューに表⽰されているフィールドの元のフィールド名を確認します - インシデントレビュー設定ダッシュボードのイベント属性パネル
ブラウザの広告ブロック機能が応答アクションの失敗を招くことがあります。お使いの Splunk EnterpriseSecurity ホストのホスト名を adblock 拡張⼦のサイトホワイトリストに追加します。
Splunk Enterprise Security に含まれる様々な適応応答アクションの詳細については「Splunk EnterpriseSecurity に含まれる適応応答アクション」をご覧ください。
重要なイベントの共有とブックマーク重要なイベントの共有とブックマーク
Short ID またはリンクを使⽤して、他のアナリストと重要なイベントを共有できます。
1. この場合は、イベントアクションから [重要なイベントの共有][重要なイベントの共有] をクリックします。Enterprise Security は重要なイベントの Short ID を作成し、アナリストとの共有のためにコピーできるリンクを表⽰します。お使いのブラウザーのブックマークアイコンをブックマークツールバーにドラッグすると、リンクをブックマークとして保存できます。
重要なイベントをサーチダッシュボードから共有できません。
アセットや ID のリスク分析アセットや ID のリスク分析
インシデントレビューのダッシュボードでは、アセットや ID が環境にもたらすリスクを分析できます。
1. イベントの詳細を開きます。2. アセットまたは ID フィールドの隣にある srcsrc、hosthost などのリスクスコアを確認します。3. リスクスコアをクリックし、アセットまたは ID でフィルタリングされるリスク分析リスク分析のダッシュボードを開
きます。
すべてのアセットと ID でリスクスコアが表⽰されるわけではありません。インシデントレビューのアセットや IDを対象に表⽰されるリスクスコアは、リスク分析ダッシュボードのリスクオブジェクトを対象に表⽰されるリスクスコアと⼀致しないことがあります。詳細は 『Splunk Enterprise Security の管理』の「インシデントレビューでのリスクスコアの表⽰」を参照してください。
調査に重要なイベントを追加する調査に重要なイベントを追加する
7
調査にセキュリティインシデントの⼀部であるかも知れない重要なイベントを追加することで、このようなイベントを調査できます。
重要なイベントの既存の調査への追加
1. 調査に 1 つまたは複数の重要なイベントを追加します。1. イベントアクションイベントアクションから [調査にイベントを追加][調査にイベントを追加] を選択して単⼀の重要なイベントを追加します。2. 重要なイベントの横にあるチェックボックスを選択し、[選択したイベントを調査に追加][選択したイベントを調査に追加]をクリック
して複数のイベントを追加します。2. 重要なイベントを追加する調査を選択します。調査を調査バーで選択した場合は、この踏査がデフォルトの
選択になります。3. [保存] をクリックします。4. イベントが調査に追加できたら、[閉じる][閉じる] をクリックします。
重要なイベントの新しい調査への追加
1. 1つまたは複数の重要なイベントを選択し、[選択したイベントを調査に追加][選択したイベントを調査に追加] をクリックします。2. [調査の作成][調査の作成] をクリックして新しい調査を開始します。3. 調査のタイトルを⼊⼒します。4. (任意) 説明を⼊⼒します。5. [保存][保存] をクリックして調査を保存します。6. [保存][保存] をクリックして、1つまたは複数の重要なイベントを調査に追加します。[キャンセル] をクリックす
ると、選択された重要なイベントは追加されませんが、新しい調査は作成されます。7. イベントが調査に追加できたら、[閉じる][閉じる] をクリックします。
詳細は「Splunk Enterprise Security での調査」を参照してください。
調査に重要なイベントを追加したら、インシデントレビューダッシュボードから調査を重要なイベントとの関連フィルターを使い、フィルターできるほか、重要なイベントの詳細で調査を表⽰できます。
フィールドの詳細な調査フィールドの詳細な調査
host、src、src_ip、dest、dest_ip などの特定のフィールドを調べます。選択するフィールドによって、異なる対策を取ることができます。
[タグの編集][タグの編集] を選択してフィールドでタグ付けを⾏います。[アセット調査][アセット調査] を選択してアセットでフィルタリングしたアセット調査のダッシュボードを開き、アセットを調査します。[アクセスサーチ (宛先)][アクセスサーチ (宛先)] を選択して、特定の IP アドレスを対象にアクセスに関連するイベントをサーチします。ドメインを調査する場合は [ドメインの記録][ドメインの記録] を選択します。[重要なイベントのサーチ][重要なイベントのサーチ] を選択すると、マルウェアのシグネチャに⼀致するその他の重要なイベントを発⾒できます。
重要なイベントの抑制重要なイベントの抑制
インシデントレビューダッシュボードでの重要なイベントを抑制することで、⾮表⽰にします。抑制は体制や監査のダッシュボードで表⽰される重要なイベントの数には影響しません。詳細は「重要なイベントの抑制の作成と操作」を参照してください。
1. インシデントレビューのダッシュボードで重要なイベントを選択します。2. [アクション][アクション] メニューから、[重要なイベントの抑制][重要なイベントの抑制] を選択します。3. [抑制名][抑制名] を⼊⼒します。
例えば、Excessive_Failed_Logins.
4. (オプション) 説明説明フィールドに抑制の理由を記⼊できます。5. (オプション) ⽇付の範囲を設定できます。制限時間が経過すると、抑制フィルタは失効し、イベントの⾮表
⽰が終了します。6. 選択したフィールド選択したフィールドで重要なイベントを抑制するフィールドを確認します。例えば、 src フィールド7. (オプション) [変更][変更] をクリックし、抑制に使⽤される重要なイベントのフィールドを修正します。
8
8. 変更内容を保存します。
これは、重要なイベントの抑制が、2016 年 6 ⽉ 10 ⽇以降に作成されインシデントレビューからの src=_jdbc_フィールドを含むすべての重要なイベントを⾮表⽰にする例です。
重要なイベントをサーチサーチダッシュボードから抑制できません。
Splunk Enterpr ise Secur ity に含まれる適応応答アクションSplunk Enterpr ise Secur ity に含まれる適応応答アクション
Splunk Enterprise Security には、重要なイベントについてインシデントレビューから実⾏できるいくつかの適応応答アクションが含まれています。
リスクスコアをリスク修飾⼦で修正します。Splunk Streamとともに Stream 取得を開始します。ホストの接続を確認しますnbtstat を実⾏しますnslookup の実⾏します脅威インテリジェンスの追加
注意注意: ES 管理者は相関サーチにより起動されるこれらの、または新たな適応応答アクションを設定できます。「Splunk Enterprise Security の管理」の「Splunk Enterprise Security での相関サーチの適応応答アクションの設定」を参照してください。
リスクスコアをリスク修飾⼦で修正します。リスクスコアをリスク修飾⼦で修正します。
リスクスコアを、相関サーチの結果として、またはリスク分析リスク分析適応応答アクションを伴う重要なイベントの詳細に応じて修正します。リスク適応応答アクションはリスク修飾⼦イベントを作成します。Enterprise Security のリスク分析のダッシュボードでリスク修飾⼦イベントを確認できます。
1. 新規応答アクションの追加新規応答アクションの追加をクリックしてリスク分析リスク分析を選択します。2. スコアを⼊⼒してリスクオブジェクトを割り当てます。3. サーチのフィールドにリスク オブジェクト フィールドリスク オブジェクト フィールドのリスクスコアを⼊⼒して適⽤します。
例えば、ソースフィールドを指定するには「src」と⼊⼒します。4. リスク オブジェクト タイプリスク オブジェクト タイプ を選択してリスクスコアを適⽤します。
スクリプトの実⾏スクリプトの実⾏
$SPLUNK_HOME/bin/scripts に保存されているスクリプトを実⾏します。
1. 新規応答アクションの追加新規応答アクションの追加をクリックしてスクリプト実⾏スクリプト実⾏を選択します。2. スクリプトのファイル名を⼊⼒します。。
スクリプト化されたアラートの詳細は、Splunk プラットフォームドキュメントで⾒つかります。
Splunk Enterprise については、Splunk Enterprise『アラートマニュアル』の「スクリプト化されたアラートの設定」を参照してください。Splunk Cloud については、Splunk Cloud 『アラートマニュアル』の「スクリプト化されたアラートの設定」を参照してください。
Splunk Streamとともに Stream 取得を開始します。Splunk Streamとともに Stream 取得を開始します。
Stream 取得を開始して、選択した時間内に選択したプロトコルの IP アドレスでパケットを取得します。取得セッションの結果は、プロトコルインテリジェンスのダッシュボードで確認できます。
Stream 取得は Splunk Stream を Splunk Enterprise Security と統合するまで動作しません。「SplunkStream の統合」を参照してください。
1. 新規応答アクションの追加新規応答アクションの追加をクリックしてStream 取得Stream 取得を選択し、相関サーチのマッチに応じてパケット
9
の取得を開始します。2. 相関サーチのマッチに応じて作成された Stream を説明する説明説明を⼊⼒します。3. Stream 取得のタイプを定義するカテゴリーカテゴリーを⼊⼒します。Splunk Stream では Stream をカテゴリ別に
表⽰できます。4. カンマで区切ったイベントフィールドを⼊⼒して Stream 取得の IP アドレスを検索します。最初の⾮
NULL フィールドが取得に使⽤されます。5. 取得するプロトコルのカンマで区切られたリストを⼊⼒します。6. パケット取得の⻑さを定義する取得時間取得時間を選択します。7. 相関サーチにより開始された Stream 取得数を制限する Stream キャプチャ限度Stream キャプチャ限度を⼊⼒します。
ホストの接続を確認しますホストの接続を確認します
ホストの接続を確認することでホストがネットワーク上でまだアクティブであるかどうかを確認します。
1. 新規応答アクションの追加新規応答アクションの追加をクリックして接続確認接続確認を選択します。2. ホストフィールドホストフィールドで接続確認したいホストを含むイベントフィールドを⼊⼒します。3. 接続確認が返す最⼤結果数を⼊⼒します。デフォルトは 1 です。
nbtstat を実⾏しますnbtstat を実⾏します
nbtstat を実⾏することでホストが実⾏するホストおよびサービスの詳細を確認します。
1. 新規応答アクションの追加新規応答アクションの追加をクリックして NbtstatNbtstat を選択します。2. ホストフィールドホストフィールドで nbtstat を実⾏したいホストを含むイベントフィールドを⼊⼒します。3. nbtstat が返す最⼤結果数を⼊⼒します。デフォルトは 1 です。
nslookup の実⾏nslookup の実⾏
nslookup を実⾏して、IP アドレスのドメイン名、またはドメイン名の IP アドレスをルックアップします。
1. 新規応答アクションの追加新規応答アクションの追加 をクリックして NslookupNslookup を選択します。2. ホストフィールドホストフィールドで nslookup を実⾏したいホストを含むイベントフィールドを⼊⼒します。3. nslookup が返す最⼤結果数を⼊⼒します。デフォルトは 1 です。
脅威インテリジェンスの追加脅威インテリジェンスの追加
脅威コレクションに脅威のアーティファクトを作成します。
1. 新規応答アクションの追加新規応答アクションの追加をクリックして、脅威インテリジェンスの追加脅威インテリジェンスの追加を選択します。2. このアーティファクトに属性する脅威グループ脅威グループを選択します。3. 脅威のアーティファクト情報を挿⼊する脅威コレクション脅威コレクションを選択します。4. 脅威のアーティファクトに挿⼊する値を含むサーチフィールドサーチフィールドを⼊⼒します。5. 脅威のアーティファクトの説明説明を⼊⼒します。6. 脅威リストに関連付けられる加重加重を⼊⼒します。デフォルトは 1 です。7. 処理する結果の数を脅威のアーティファクトとして指定するには、最⼤結果最⼤結果数を⼊⼒します。固有のサーチ
フィールドの値はそれぞれ結果としてカウントされます。デフォルトは 100 です。
Splunk Enterpr ise Secur ity の重要なイベントに緊急度を割り当Splunk Enterpr ise Secur ity の重要なイベントに緊急度を割り当てる⽅法てる⽅法
重要なイベントには緊急度が割り当てられます。緊急度は相関サーチの重⼤度とアセットまたは ID の優先度の組み合わせで決まります。緊急度緊急度のフィールドで重要なイベントの調査の優先順位を決定できます。
Enterprise Security で重要なイベントについて重⼤度と優先度から計算される緊急度の値を変更できます。重要なイベントの緊急度の値の名前は変更できません。
1. Enterprise Security のメニューバーから、[設定] > [データ強化] > [リストとルックアップ][設定] > [データ強化] > [リストとルックアップ]を選択します。
2. [緊急度レベル][緊急度レベル] ルックアップを選択します。緊急度のルックアップファイルを⽰す⾊分けされた編集可能な表が表⽰されます。
3. 優先度優先度または重⼤度重⼤度が不明不明と表⽰されている⾏で、割り当てられている緊急度緊急度を確認します。4. (任意) テーブルを編集し、緊急度緊急度を不明不明から有効な値に変更します。5. 変更内容を保存します。
注意注意: アセットまたは ID が「不明」に分類されていると、重要なイベントの緊急度はデフォルトの「低」になります。通常はアセットや ID のシステムで⼀致がないオブジェクトが「不明」に分類されます。
注意注意:相関サーチまたはトリガーイベントによって割り当てられた重⼤度重⼤度の値が Enterprise Security で認識されない場合、重要なイベントの緊急度が不明不明になることがあります。これは、相関サーチの構⽂によって提供された重⼤度の値にエラーがあることを⽰しています。相関サーチによる重⼤度が不明、情報的、低、中、⾼、重⼤であることを確認します。
10
11
調査調査Splunk Enterpr ise Secur ity での調査Splunk Enterpr ise Secur ity での調査
Splunk Enterprise Security の調査に詳細を作成し、追加して、調査の⼿順を可視化し、記録できます。
Splunk Enterprise Security の調査を開始します。Splunk Enterprise Security の調査に詳細を追加します。Splunk Enterprise Security の調査を変更します。Splunk Enterprise Security の調査に協⼒します。Splunk Enterprise Security の調査を再確認します。Splunk Enterprise Security の調査を共有または印刷します。
調査ダッシュボードで調査を管理、開始し、調査の詳細を追加できます。割り当てられた調査を表⽰し、フィルターし、作成できます。調査ダッシュボードで、協⼒している調査をすべて表⽰できます。Enterprise Securityの管理者は Splunk Enterprise Security に存在しているすべての調査を表⽰して管理できます。管理者についての詳細は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security の調査の管理」を参照してください。
アナリストは、すべての調査を管理する権限が与えられない限り、割り当てられた調査のみを表⽰できます。
調査の管理調査の管理
調査ビューで進⾏中の調査を管理できます。割り当てられた調査のタイトル、説明、作成時刻、最終変更時刻、協⼒者を表⽰できます。全調査を管理する権限があれば、協⼒している調査だけでなく、すべての調査について前述の項⽬を表⽰できます。
フィルタリングにより、調査を検索し、または⼀覧表⽰を整理できます。[フィルター][フィルター] ボックスに⼊⼒して、調査のタイトルと説明のフィールドを検索できます。
調査ワークフローの例調査ワークフローの例
1. 重要なイベントやアラートアクションのほか、メール、ヘルプデスクのチケット、電話などによりユーザーには調査が必要なセキュリティインシデントが通知されます。
2. Splunk Enterprise Security で調査を作成します。3. 他のユーザーと協⼒して調査する必要がある場合は、それらのユーザーを協⼒者として調査に追加します。4. インシデントを調査します。調査中に洞察を引き出すための役⽴つ⼿順を調査に追加します。
1. 調査バーを使ってアクション履歴から調査に有⽤なサーチを追加したり、イベントアクションを使って関係するイベントを追加してサーチを実⾏します。これにより、今後の同様の調査を簡単に複製することが可能で、調査プロセス全体を記録することもできます。
2. アセットや ID 調査のダッシュボードで特定のアセットや ID に焦点を置くスイムレーンサーチでの絞り込みのように、ダッシュボードをフィルタリングすることで特定の要素に焦点を置くことができます。調査バーでは、有⽤なフィルタリングのアクションをアクション履歴から調査に追加できます。
3. 関連が疑われる重要なイベントのトリアージと調査を⾏います。該当する重要なイベントを調査に追加します。
4. ノートを追加し、電話、メール、チャット、記事へのリンク、ソーシャルメディアでの投稿など、その他の調査⼿順を記録します。スクリーンショットやフォレンジック調査ファイルなどのファイルをアップロードします。
5. 調査を完了して、結論の要約を記録するためのメモを追加します。
Splunk Enterpr ise Secur ity での調査の開始Splunk Enterpr ise Secur ity での調査の開始
Splunk Enterprise Security で調査を開始するにはいくつかの⽅法があります。
重要なイベントのトリアージ中に、インシデントレビューから調査を開始します。「調査に重要なイベントを追加する」を参照してください。イベントワークフローアクションで調査を開始します。「調査への Splunk イベントの追加」を参照してください。調査ダッシュボードから調査を開始します。調査バーからダッシュボードを表⽰して調査を開始します。
デフォルトで、ess_adminess_admin および ess_analystess_analyst ロールをもつユーザは調査を開始できます。
調査ダッシュボードからの調査の開始調査ダッシュボードからの調査の開始
調査ダッシュボードから調査を開始します。
1. [新しい調査の作成][新しい調査の作成] をクリックします。2. タイトルを⼊⼒します。3. (任意) 説明を⼊⼒します。4. [保存][保存] をクリックします。
調査バーから調査を開始する調査バーから調査を開始する
Splunk Enterprise Security のダッシュボードを表⽰すると、ページ下部に調査バーが表⽰されます。SplunkEnterprise Security のどのページからでも、調査バーを使って調査の進⾏を追跡できます。
1. アイコンをクリックすると調査を作成できます。2. タイトルを⼊⼒します。
12
3. (任意) 説明を⼊⼒します。4. [保存][保存] をクリックします。
調査が調査バーにロードされます。
Splunk Enterpr ise Secur ity の調査への詳細の追加Splunk Enterpr ise Secur ity の調査への詳細の追加
アナリストが調査を進める際、調査にイベント、アクション、ノートを付加して、詳細と証拠を記録できます。Splunk Enterprise Security を使って調査を進める上で、調査に詳細を追加する重要なイベントや Splunk イベントを追加できます。アクション履歴から調査にサーチ、抑制フィルター、ダッシュボードビューを追加します。電話、メール、チャットなど、重要な調査⼿順は調査にノート として記録します。ノートを使って、オンラインの記事やツイートへのリンクなど、関連する情報を追加したり、スクリーンショットなどのファイルをアップロードできます。
調査バーからの迅速なサーチの実⾏調査バーからの迅速なサーチの実⾏
調査バーの [クイックサーチ] [クイックサーチ] をクリックすることで、サーチダッシュボードを開かずにサーチを実⾏します。
[調査に追加][調査に追加] をクリックすると、調査バーの調査にサーチを追加できます。イベントアクションイベントアクションを使い、サーチ結果の特定のイベントを調査に追加できます。調査時にサーチ結果を保存するには、[エクスポート] [エクスポート] をクリックし、サーチ結果を CSV ファイルとしてエクスポートします。サーチ結果を調査の備考に添付できます。[サーチで開く][サーチで開く] をクリックすると、サーチ結果をサーチダッシュボードで表⽰できます。ウィンドウの隅をクリックしてドラッグすると、サーチ結果の表⽰を拡⼤/縮⼩できます。サーチビューをダブルクリックすると画⾯全体に表⽰できます。再度ダブルクリックするとビューが縮⼩します。
調査に重要なイベントを追加する調査に重要なイベントを追加する
インシデントレビューダッシュボードから調査に重要なイベントを追加できます。「調査に重要なイベントを追加する」を参照してください。
重要なイベントのステータスが変更された場合、または、重要なイベントに伴った適応応答アクションが実⾏されたとき、調査はこれらの情報により更新されます。
Splunk イベントの調査への追加Splunk イベントの調査への追加
1. イベントの詳細を展開し、[イベントアクション][イベントアクション] メニューや他の情報を表⽰できます。2. [イベントアクション][イベントアクション] をクリックし、[調査へ追加][調査へ追加] を選択します。3. タブが開きます。既存の調査を選択するか、新たな調査を作成します。4. [保存][保存] をクリックします。
アクション履歴からの調査へのエントリーの追加アクション履歴からの調査へのエントリーの追加
アクション履歴には、実⾏したサーチ、表⽰したダッシュボード、パネルでのフィルタリングなど、 SplunkEnterprise Security で実⾏したアクションが記録されています。
ダッシュボードから、調査バーを使い、調査にアクション履歴のエントリーを追加できます。アクション履歴はタイプと時間でフィルターでき、これによりアクション履歴を検索できます。
1. 調査バーで、 アイコンをクリックします。2. 調査に追加するアクションを探します。
1. アクション履歴ダイアログボックスには、最近のアクションが表⽰されます。⾃分のアクション履歴にあるアクションのみ追加できます。
2. サーチ、時間別のソート、またはアクションタイプ (サーチの実⾏、ダッシュボードの確認、パネルのフィルタリング、重要なステータスの変更、重要なイベントの抑制) でのフィルタリングによって、追加するアクションを特定できます。
3. サーチについては、[+] をクリックして完全なサーチ⽂字列を表⽰し、追加するサーチが正しいかどうか確認できます。
3. 調査タイムラインに追加するアクションの隣りにあるチェックボックスにチェックを⼊れます。4. [調査に追加][調査に追加] をクリックします。
アクションは表⽰中の調査に追加されるか、または、調査バーで選択された調査に追加されます。13
「アクション履歴の参照」を参照してください。
調査へのノートの追加調査へのノートの追加
調査にノートを追加し、調査の詳細を記録または資料を添付できます。Splunk Enterprise Security のダッシュボードからノートを追加できます。
1. 調査バーで、 アイコンをクリックします。2. タイトルを⼊⼒します。
たとえば、「警察との通話」などです。3. (任意) 時間を選択します。デフォルトは現在の⽇付と時刻です。
たとえば、通話の時間を⼊⼒します。4. (任意) 説明を⼊⼒します。
たとえば、通話の記録のノートでは、以下のような説明を記載します。「警察に電話して通報した。」「Reggie Martin刑事と⾯談」他の従業員の ID を盗⽤した従業員について協議。
5. (任意) ノートにファイルを添付1. ノートから、 アイコンをクリックするか、ファイルをノートの上にドラッグします。2. PCにあるファイルから、添付するファイルを選択します。
最⼤のファイルサイズは 4 MB です。ノートには複数のファイルを添付できます。ノートに最初に添付されたファイルが調査タイムラインのプレビューに表⽰されます。
6. [調査に追加] [調査に追加] をクリックして、開いている調査にノートを追加します。または、[ドラフトとして保存][ドラフトとして保存] をクリックします。
注意注意:ノートをドラフトとして保存する場合、ノートはその作成時に選択されていた調査に付随したものとなりますが、調査には表⽰されません。ノートのドラフトを再度取得するには、 アイコンをクリックします。
Splunk Enterpr ise Secur ity の調査の変更Splunk Enterpr ise Secur ity の調査の変更
リストビューから、またはタイムラインビューから調査のエントリを変更します。
調査のタイトルと説明の変更調査のタイトルと説明の変更
調査バーから調査のタイトルと説明を変更します。たとえば、調査の進⾏に合わせて、調査中のセキュリティインシデントを正しく説明できる名前に変更します。
1. 調査バーで、 アイコンをクリックします。調査ビューから、[編集] [編集] をクリックします。2. タイトルまたは説明を変更します。3. [保存][保存] をクリックします。
タイムラインビューからの調査エントリーの単⼀削除タイムラインビューからの調査エントリーの単⼀削除
1. タイムラインビューでエントリーを探します。2. [アクション] > [エントリの削除] [アクション] > [エントリの削除] をクリックします。3. [削除][削除] をクリックし、エントリーの削除を確定します。
リストビューからの調査エントリーの削除リストビューからの調査エントリーの削除
14
1. [リスト][リスト] をクリックし、調査をリストのエントリーとして表⽰します。2. 削除する調査エントリーの横にあるチェックボックスを選択します。3. [アクション][アクション] をクリックし、[削除][削除] を選択します。4. [削除][削除] をクリックし、エントリーの削除を確定します。
ノートの変更ノートの変更
1. 調査でノートを探し、編集のために開きます。1. 調査のタイムラインビューからは、[アクション] > [ノートの編集] [アクション] > [ノートの編集] をクリックします。2. 調査のリストビューからは、[アクション][アクション] カラムの [編集] [編集] をクリックします。
2. 変更を⾏います。たとえば、新しいファイルを添付し、新しいファイルの説明分を追加します。3. 添付ファイルを取り外すには、ファイル名の横にあるXXをクリックします。4. [保存][保存] をクリックします。
エントリーのタイトルの変更エントリーのタイトルの変更
エントリーをより明確なものとするため、エントリーのタイトルを変更できます。
1. 重要なイベント、Splunk イベント、アクション履歴のアイテム、調査の他のエントリーを探します。2. [アクション][アクション] メニューから [編集] [編集] をクリックします。3. タイトルを変更します。
調査の閉鎖調査の閉鎖
調査が閉鎖されたことを⽰す⽅法はいくつかあります。
タイトルに「閉鎖」という⾔葉を⼊れて変更し、「⾃分の調査」で閉鎖した調査をフィルターできるようにします。閉鎖を識別するため、調査終了時にノートを追加します。
Splunk Enterpr ise Secur ity での調査への協⼒Splunk Enterpr ise Secur ity での調査への協⼒
調査を進める上で、他のアナリストと協⼒することができます。
調査への協⼒者の追加調査への協⼒者の追加
1. 協⼒者を追加する調査を開きます。2. アイコンをクリックします。3. 追加する⼈の名前を⼊⼒し、リストから名前を選択して調査に追加します。
4. 追加が完了すると、円の中にその協⼒者のイニシャルが表⽰されます。
デプロイのすべての Splunk ユーザーを協⼒者として追加できます。デフォルトで、協⼒者は調査のための書き込み権限を持ちます。
調査に割り当てられている協⼒者の表⽰調査に割り当てられている協⼒者の表⽰
調査に割り当てられている協⼒者は、各調査から、ないしは調査ダッシュボードから確認できます。
協⼒者アイコンの上にマウスカーソルを置くと、協⼒者の名前を表⽰できます。協⼒者が調査のために必要な書き込み権限を持たない場合は、アイコンがグレーになり、名前に続けて (読(読み取り専⽤)み取り専⽤) と表⽰されます。協⼒者のアイコンをクリックすると、その情報が表⽰されます。ユーザーの名前と、調査のために持っている権限を表⽰します。
15
調査の協⼒者の変更調査の協⼒者の変更
書き込みの権限を持っている協⼒者は、調査の他の協⼒者の権限を変更できます。
1. 協⼒者のアイコンをクリックします。2. [書き込み権限] [書き込み権限] を変更します。デフォルトで、すべての協⼒者の [書き込み権限][書き込み権限] は [はい] [はい] に設定されて
います。すべての調査で、協⼒者の少なくとも 1 名は書き込み権限を持たなくてはなりません。
調査で書き込み権限をもつ唯⼀の協⼒者でない限り、これを削除できます。
1. 協⼒者のアイコンをクリックします。2. [削除][削除] をクリックします。
Splunk Enterpr ise Secur ity での調査の再確認Splunk Enterpr ise Secur ity での調査の再確認
過去の調査を再確認し、または、現在の調査を表⽰するには、調査バーまたは調査ダッシュボードでタイトルをクリックします。すべての調査を管理できる権限をもつユーザーはすべての調査を⾒ることができます。調査の協⼒者で書き込みの権限をもつ者のみが調査を編集できます。『Splunk Enterprise Security の管理』の「SplunkEnterprise Security での調査へのアクセスの管理」を参照してください。
トレーニングまたは研究の⽬的で調査を再確認します。エントリーまたは調査をクリックし、関係しているすべての詳細を表⽰します。
ファイルが添付されているノートについては、ファイル名をクリックして添付ファイルをダウンロードできます。重要なイベントについては、 [インシデントレビューで表⽰][インシデントレビューで表⽰] をクリックすると、特定の重要なイベントでフィルタリングされたインシデントレビューのダッシュボードが開きます。アクション履歴のエントリでは、過去に実⾏したアクションを反復できます。サーチアクションの履歴エントリでは、サーチ⽂字列をクリックしてサーチで開くことができます。ダッシュボードのアクション履歴のエントリでは、ダッシュボード名をクリックしてダッシュボードを表⽰できます。
調査全体のタイムラインを表⽰し、攻撃や調査事項の全体を調べることができます。または、タイムラインを展開または縮⼩して、攻撃や調査事項を部分的に調べることができます。
タイムラインを移動し、エントリをスキャンするには、タイムラインをクリックします。リストアイコンをクリックすると、すべてのタイムラインのエントリを時系列で表⽰できます。また、フィルタを使ってタイムラインの表⽰を整理することもできます。タイプ別にフィルタリングしたり、[フィルタ][フィルタ] ボックスを使ってタイトルごとにフィルタリングできます。
16
Splunk Enterpr ise Secur ity の調査の共有または印刷Splunk Enterpr ise Secur ity の調査の共有または印刷
監査などの⽬的で Splunk Enterprise Security の外部にいる⼈と調査を共有するには、調査を印刷したり、PDFで保存できます。
1. 調査で、 アイコンをクリックします。エントリを時系列で表⽰したフォーマット済みの調査タイムラインが⽣成されます。
2. 印刷ダイアログボックスのオプションにより、調査を印刷し、または PDF で保存できます。
Splunk Enterpr ise Secur ity のアクション履歴を参照してくださSplunk Enterpr ise Secur ity のアクション履歴を参照してください。い。
攻撃などの他のセキュリティインシデントの調査を進めると、Splunk Enterprise Security でのアクションがユーザーのアクション履歴に記録されます。各ユーザーは⾃分のアクション履歴のみを⾒ることができます。調査にアイテムを追加すると、すべての協⼒者がこのエントリーを⾒ることができるようになります。
保存済みサーチを使って、アクション履歴から以下のタイプのアクションを追跡できます。
参照したダッシュボード実⾏したサーチパネル毎のフィルタリング重要なイベントの変更重要なイベントの抑制フィルターの変更
これらのアクションが追跡されることで、調査へのコンテキストの追加、調査の監査の改善、重要な所⾒へとつながった調査中のアクションの完全な履歴が作成に役⽴ちます。たとえば、調査に役⽴つ情報が提供されるサーチを⾏う場合は、そのサーチを調査に追加できます。調査でサーチ⽂字列を特定してサーチを再度実⾏したり、サーチを調査の完了後のレポートとして保存できます。Splunk Enterprise Security での調査におけるアクション履歴の使⽤の詳細は「アクション履歴から調査へのエントリの追加」を参照してください。
アクション履歴の項⽬はすぐにアクション履歴のリストに表⽰されるとは限りません。5 つのサーチが保存されると、アクション履歴の項⽬が作成されます。これらの保存済みサーチの実⾏が済んだ後には、アクション履歴項⽬を確認できるようになり、調査への追加も可能になります。
17
リスク分析リスク分析Splunk Enterpr ise Secur ity のリスクの分析Splunk Enterpr ise Secur ity のリスクの分析
リスクスコアは、ネットワーク環境にあるデバイスやユーザーの相対的なリスクの推移を⽰す唯⼀の測定規準です。Splunk Enterprise Security では、デバイスがシステムに、ユーザーがユーザーに、未認識のデバイスやユーザーがその他に分類されます。
Enterprise Security ではリスク分析を使って、環境内での⼩規模なイベントや不審な挙動の推移に注⽬し、リスクを算出します。リスク分析のダッシュボードには、こうしたリスクスコアとその他のリスク関連の情報が表⽰されます。Enterprise Security はすべてのリスクをイベントとして risk インデックスでインデックス化します。
Splunk Enterpr ise Secur i ty がリスクスコアを割り当てる⽅法Splunk Enterpr ise Secur i ty がリスクスコアを割り当てる⽅法
リスクスコアは、ネットワーク環境にあるデバイスやユーザーオブジェクトの相対的なリスクの推移を⽰す唯⼀の測定規準です。オブジェクトとは、システムシステム、ユーザーユーザーまたは、不特定のその他その他の要素を指します。
Enterprise Security では相関サーチによって、ネットワーク環境にあるデバイスやユーザーオブジェクトで構成されるアセット/ID のデータがマシンのデータと相関付けられます。相関サーチは求める条件の⼀致を検索します。⼀致が発⾒されると、重要なイベント、リスク修飾⼦、またはその両⽅としてアラートが⽣成されます。
重要なイベントはタスクになります。これは割り当て、確認、終了が必要なイベントです。リスク修飾⼦は数字になります。これは、デバイスやユーザーオブジェクトのリスクスコアに加算されるイベントです。
リスクスコアの集計の例リスクスコアの集計の例
ホスト RLOG-10 はいくつかの重要なイベントを⽣成しているジャンプサーバーです。相関サーチの過剰なログ過剰なログイン失敗イン失敗と検出されたデフォルトアカウントのアクティビティ検出されたデフォルトアカウントのアクティビティは、システムで 1 ⽇に 1 つの重要なイベントを作成しています。RLOG-10 がジャンプサーバーのため、いくつかのネットワーク認証情報がこのホストに対して使⽤されており、ソフトウェアやその他のユーティリティがインストールされている可能性があります。本番稼働中の DNS サーバーに⽐べ、ジャンプサーバーとしてのこの挙動は好ましくありません。ここでは、ジャンプサーバーが⽣成する重要なイベントを無視または抑制するのではなく、ジャンプサーバー専⽤のルールを作成してこれらのサーバーを個別に監視することができます。
そのためには、ジャンプサーバーとして機能するホストに相関が⼀致した場合にリスク修飾⼦を割り当てる相関サーチを作成します。
1. ここではホワイトリストを使って、既存の相関サーチからジャンプサーバーを除外します。詳細は『SplunkEnterprise Security の管理』の「ホワイトリストイベント」を参照してください。
2. 過剰なログイン失敗過剰なログイン失敗に基づく新しい相関サーチを作成してスケジュールを設定します。ジャンプサーバーのホストのサーチを除外し、リスク修飾⼦のアラートだけを割り当てます。
3. リスクスコアを段階的に引き上げることで、リスク修飾⼦がジャンプサーバーのホストに適⽤されていることを確認します。新しい相関サーチを使⽤することで、これらのホストでログインの失敗に基づいて重要なイベントが作成されることはなくなります。
相対的なリスクスコアは上昇するため、RLOG-10 をすべてのネットワークサーバーや他のジャンプサーバーと⽐較できるようになります。RLOG-10 の相対的なリスクスコアが同等のホストを超える場合は、アナリストがそのホストを調査できます。すべてのジャンプサーバーのリスクスコアが他のネットワークホストよりも⾼い場合は、内部のセキュリティ⽅針の⾒直しや変更が必要かもしれません。その他の例については、ブログ「Risk AnalysisWith Enterprise Security 3.1」を参照してください。
オブジェクトへのリスクの割り当てオブジェクトへのリスクの割り当て
リスク分析応答、またはリスク修飾⼦を作成して、リスクをオブジェクトに割り当てます。複数の⽅法でリスクをオブジェクトに割り当てることができます。
リスクを相関サーチの⼀部として⾃動的に割り当てます。『Splunk Enterprise Security の管理』の「リスクスコアをリスク修飾⼦で修正」を参照してください。リスクをインシデントレビューからのアドホック適応応答アクションに割り当てます。このマニュアルの「リスクスコアをリスク修飾⼦で修正」を参照してください。リスク分析ダッシュボードから、アドホック リスクエントリを作成します。このマニュアルの「SplunkEnterprise Security でのアドホック リスクエントリの作成」を参照してください。リスクをサーチに割り当てます。以下の例を参照してください。
サーチによるリスクスコアの割り当て例サーチによるリスクスコアの割り当て例
相関サーチなどのサーチでは、アラートを使わずに直接リスクスコアを変更できます。つまり、サーチ結果が特定の条件に⼀致した場合だけでなく、サーチ結果に基づいてシステムやユーザーのリスクスコアを変更できます。
たとえば、脅威のアクティビティの検出脅威のアクティビティの検出の相関サーチでは、アラートによるリスク修飾⼦に加えて、サーチが割り当てるリスクが使⽤されています。指定された脅威リストに⼀致するホストと通信しているアセットや ID がサーチで発⾒されると、それに応じてリスクスコアが変更されます。この場合、リスク修飾⼦はシステムやユーザーが脅威リストと通信した回数にリストの加重を乗じたものを反映します。
式で⽰すと、システムやユーザーのリスクスコア + (脅威リストの加重 x イベントの件数) = 追加のリスク
さらに具体的な例としては、ホスト DPTHOT1 が⼀定の時間内にスパイウェア脅威のリストにあるホストと通信していることがサーチによって検出されると、ベースのリスクスコアは 40 に設定されます。DPTHOT1 と脅威のリストにあるホストの通信回数は 2 回で、スパイウェア脅威のリストの加重は 1 であるため、サーチでは合計のリスクスコアを 4242 に変更します。
18
リスクスコアを 4242 に変更します。
サーチによるリスクスコアの割り当てについては「リスク分析フレームワーク」を参照してください。
リスクのスコアの範囲リスクのスコアの範囲
リスクスコアの集計では、アセットや ID のアクティビティをキャプチャして集計し、リスク修飾⼦を使⽤する唯⼀の測定規準にすることができます。
Enterprise Security の相関サーチでは、発⾒されたアクティビティの相対的な重⼤度によって、 2020 から 100100までのリスクスコアが割り当てられます。サーチの実⽤的な範囲はデフォルトのスコアとなります。この範囲は業界の標準ではありません。Enterprise Security では ID やアセットの合計リスクスコアの上限が設定されていないものの、OS によって制限がかかる可能性があります。たとえば、32 ビットの OS では、リスクスコアが2,000,000 に制限されます。
リスクスコアのレベルでは、イベントの重⼤度と同じ命名規則が使⽤されています。同等のロールとアセットの優先度を持つホストを⽐較することで相対的なリスクスコアを評価できます。
20 - 情報的40 - 低60 - 中80 - ⾼100 - 重⼤
Enterprise Security の管理者は相関サーチを編集し、リスク分析応答アクションがオブジェクトに割り当てたリスクスコアを修正できます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security に含まれる適応応答アクション」を参照してください。
リスクオブジェクトの管理リスクオブジェクトの管理
Enterprise Security はリスク修飾⼦とリスクオブジェクトを関連付けます。
リスクオブジェクトのフィールドリスクオブジェクトのフィールド
リスクオブジェクトのフィールドは、相関サーチが返すサーチフィールドへのリファレンスです。相関サーチではsrc や dest などのフィールドで⼀致結果が報告されます。リスクオブジェクトのフィールドには、システム、ホスト、デバイス、ユーザー、ロール、認証情報または相関サーチが結果を報告するその他のオブジェクトが表⽰されます。リスクスコアを受け取るフィールドなど、リスクスコアを割り当てるすべての相関サーチを確認します。
リスクオブジェクトのタイプリスクオブジェクトのタイプ
Splunk Enterprise Security では3つのリスクオブジェクトのタイプが定義されています。
オブジェクトのタイオブジェクトのタイププ 説明説明
システムシステム ネットワークデバイスまたはテクノロジーデバイスをアセットルックアップに表⽰可能
UserUser ネットワークユーザー、認証情報またはロールID を ID ルックアップに表⽰可能
その他その他 データソースでフィールドとして表⽰されている未定義のオブジェクトです。
リスクオブジェクトがアセットまたは ID テーブルにあるオブジェクトと⼀致する場合は、Enterprise Securityはオブジェクトを関連するタイプとしてマップします。例えば、アセットルックアップにあるアセットに⼀致するオブジェクトはシステムのリスク オブジェクト タイプにマップされます。ただし、システムやユーザーのリスクオブジェクトとして特定するために、デバイスやユーザーが対応するアセットや ID テーブルに表⽰される必要はありません。未定義、または試験的なオブジェクトタイプは、その他その他のオブジェクトとして分類されます。
Splunk Enterpr ise Secur ity でのアドホック リスクエントリーSplunk Enterpr ise Secur ity でのアドホック リスクエントリーの作成の作成
アドホックリスクエントリーを作成すると、オブジェクトのリスクスコアを⼿動で⼀度限り変更できます。ここでは、オブジェクトのリスクスコアに正の数や負の数を追加します。
1. [セキュリティインテリジェンス] > [リスク分析] [セキュリティインテリジェンス] > [リスク分析] を開きます。2. [アドホック リスクエントリーの作成] [アドホック リスクエントリーの作成] をクリックします。3. フォームを記⼊します。
アドホックリスクスコアドホックリスクスコアのフィールドアのフィールド 説明説明
スコア リスクオブジェクトリスクオブジェクトに加える数正または負の整数とします。
説明 オブジェクトのリスクスコアを⼿動で調整する理由または注記アドホックリスクスコアでは説明説明フィールドの⼊⼒が必須です。
リスクオブジェクト テキストフィールドアスタリスク (*) のあるワイルドカード
リスクオブジェクトのタ ドロップダウン:フィルタリングの対象を選択
19
イプ ドロップダウン:フィルタリングの対象を選択
20
グラステーブルグラステーブルSplunk Enterpr ise Secur ity でのグラステーブルの作成Splunk Enterpr ise Secur ity でのグラステーブルの作成
グラステーブルを作成してお使いの環境をセキュリティーステータスを可視化し監視します。設計したバックグラウンドに対してリアルタイムに更新するキーインジケーターやアドホックサーチなどのセキュリティ基準を追加できます。
1. Splunk Enterprise Security のメインメニューで、[グラステーブル][グラステーブル] をクリックします。2. [新規グラステーブルの作成][新規グラステーブルの作成] をクリックします。3. 新しいグラステーブルのタイトルタイトル、説明説明を⼊⼒し、権限権限を設定します。4. [グラステーブルの作成][グラステーブルの作成] をクリックしてグラステーブルを作成します。
セキュアな使⽤環境でのグラステーブルのセットアップの試⾏については、「グラステーブルを含む環境での脅威の活動の監視」を参照してください。
ガラステーブルの視覚エフェクトを構築ガラステーブルの視覚エフェクトを構築
グラス テーブル エディターの柔軟なキャンバスや編集ツールを使⽤してグラステーブルを作成します。
1. グラステーブルのリストから、グラステーブルの名前をクリックします。2. 編集ツールを使⽤して、画像や描画のアップロード、アイコンやテキストの追加、脅威基準間の関係を反映
する接続を作ります。3. セキュリティメトリックのパネルで、メトリックをどれでも 1 つクリックし、キーインジケーターサーチの
追加可能なウィジェットを表⽰します。必要なものが表⽰されない場合は、Enterprise Security の管理者が新しいキーインジケーター サーチを作成できます。『Splunk Enterprise Security の管理』の「SplunkEnterprise Security でのキー印字ケータの作成と管理」を参照してください。
4. 1 つ以上のキー インジケーター サーチのウィジェットをクリックし、描画キャンバスにドラッグします。 ウィジェットがキャンバスに表⽰され、関連するサーチ値を表⽰します。この値は継続的にリアルタイムで更新されます。詳細は「ウィジェットの設定」を参照してください。
5. さらにウィジェットを追加して視覚エフェクトのダイナミックな要素を構築します。6. [アドホックサーチ][アドホックサーチ] をクリックし、キャンバスにドラッグしてサーチ結果を表⽰するカスタムウィジェッ
トを追加します。詳細は「サーチウィジェットの作成と設定」を参照してください。7. [保存][保存] をクリックします。
ウィジェットの設定ウィジェットの設定
ウィジェットをグラステーブルに追加した後、パフォーマンスを最適化するように設定し、カスタムドリルダウンを追加し、特定のグラステーブルのデザインでのウィジェットの表⽰をカスタマイズします。キーインジケーターのサーチはグラステーブルに含まれるウィジェットに⼊⼒します。コンテンツ管理ダッシュボードのキーインジケーターのサーチに変更を加えます。
1. グラステーブルのエディターで、ウィジェットをクリックします。2. カスタムドリルダウンカスタムドリルダウンで、オンオンをクリックします。3. ドリルダウン宛先を選択するか URL を⼊⼒します。4. [Viz Type][Viz Type] に、適切なオプションを選択してサーチ結果を表⽰します。視覚エフェクトタイプには、単⼀
の値、ゲージ、スパークライン、単⼀の値デルタがあります。5. [更新][更新] をクリックして、ウィジェット設定を更新します。6. [保存][保存] をクリックします。
キーインジケーターのサーチ値は、キーインジケーターサーチ作成時に定義したサーチスケジュールに沿って定期的な間隔で更新されます。
サーチウィジェットの作成と設定サーチウィジェットの作成と設定
カスタムウィジェットを作成してサーチ結果を表⽰することもできます。新規サーチを任意のグラステーブルに追加し、カスタムサーチ⽂字列を定義し、様々な視覚エフェクトタイプを使⽤してサーチウィジェットの表⽰をカスタマイズします。
カスタムサーチをグラステーブルの外に記⼊して、予想した結果が得られるか確認します。カスタムサーチが閾値を使⽤するには timechart コマンド、または stats by _time が必要です。
1. グラス テーブル エディターで、[アドホックサーチ][アドホックサーチ] をクリックしてキャンバスにドラッグします。2. 設定設定パネルのサーチタイプサーチタイプに、カスタムサーチ⽂字列を⼊⼒します。3. タイム レンジ ピッカーを使⽤してサーチの終了時間を選択します。デフォルトでは今今です。4. [最も早い時間][最も早い時間] メニューで、サーチの最も早い時間を選択します。これは、タイム レンジ ピッカーで設定
した終了⽇次終了⽇次に関連してサーチの開始時間を決定し、サーチが適⽤される時間範囲を決定します。セキュリティメトリクスはデフォルトで48時間以内の結果を表⽰します。たとえば、タイムレンジピッカーを現在現在にセットすると、セキュリティメトリクスは過去48時間をサーチし、結果を表⽰します。タイムレンジピッカーを6時間前6時間前に変更すると、セキュリティメトリクスは54時間前から6時間前までの期間の結果を表⽰します。
5. 閾値フィールド閾値フィールドに、サーチの閾値として使⽤したいフィールドを⼊⼒します。 例えば、数。
6. 閾値閾値で、オンオンをクリックしてサーチウィジェットの閾値を有効にします。7. [編集][編集] をクリックして閾値を編集します。8. 閾値画⾯で、サーチウィジェットの閾値を追加します。これにより、基準の現在の状態を⽰すウィジェット
の⾊が決まります。9. サーチウィジェット⽤の Viz タイプViz タイプ を選択します。
10. 更新更新をクリックしてウィジェットを新しい視覚エフェクトに更新し、指定された時間範囲のサーチ結果を表⽰します。
11. [保存][保存] をクリックします。
21
Splunk Enterpr ise Secur ity でのグラステーブルの管理Splunk Enterpr ise Secur ity でのグラステーブルの管理
グラステーブルではお使いの環境のセキュリティー基準を柔軟に可視化できます。Splunk Enterprise Securityに含まれるグラステーブル、およびグラス テーブル リスター ページでご⾃⾝で作成したグラステーブルを管理します。
グラステーブル リスター ページをアクセスするには、Splunk Enterprise Security のメニューバーで [グラス[グラステーブル]テーブル] をクリックします。
グラステーブルの修正グラステーブルの修正
グラステーブルの作成後も、引き続き変更が可能です。
1. グラステーブルのリストから、修正したいグラステーブルの隣にある編集編集をクリックします。2. グラステーブル⾃体、タイトルまたは説明、あるいは権限を編集するのかを選択します。
App の⼀部としてインポートした後に削除したグラステーブルの回復App の⼀部としてインポートした後に削除したグラステーブルの回復
グラステーブルを App の⼀部としてインポートした後に削除した場合、再インポートにおりグラステーブルを回復することはできません。そのためには、
1. グラステーブルをインポートした App を無効にします。2. App インポーターが実⾏されるまで、数分間待機します。3. App を有効にします。
グラステーブルが再度表⽰されます。
グラステーブルを複製してテンプレートを作成グラステーブルを複製してテンプレートを作成
グラステーブルを複製してテンプレートを作成したり、Splunk Enterprise Security に含まれるグラステーブルをオリジナルとして保存して他のバージョンに実験的な変更を加えることもできます。
1. グラステーブルのリストから、修正したいグラステーブルの隣にある編集編集をクリックします。2. [複製][複製] をクリックします。3. 新規タイトルを⼊⼒します。4. (オプション) 新しい記述を⼊⼒します。5. (オプション) 複製したグラステーブルの権限を変更します。6. [複製ページ][複製ページ] をクリックします。
グラステーブルへのアクセスグラステーブルへのアクセス
全ユーザーがグラステーブルを閲覧できますが、グラステーブルを作成または変更するには、ess_analyst、ess_admin、または管理者ロールがあるか、「グラステーブル編集」権限が必要です。必要な権限がない場合は、Splunk Enterprise Security の管理者と相談してください。
グラステーブルで利⽤できるサーチグラステーブルで利⽤できるサーチ
個々のグラステーブルで作成するアドホック サーチ ウィジェットは他のグラステーブルと⾃動的には共有できません。キーインジケーターサーチによりセキュリティメトリクスの⼀覧が作成され、あらかじめ定義されたウィジェットとして使⽤できるようになります。Enterprise Security の管理者はコンテンツ管理ページでキーインジケーターサーチを作成し、編集できます。「Splunk Enterprise Security でのキーインジケーターサーチの作成と管理」を参照してください。
グラステーブルのパフォーマンスとストレージグラステーブルのパフォーマンスとストレージ
グラステーブルのコンテンツは KV ストアに保存されます。グラステーブルの定義はSplunkEnterpriseSecuritySuite_glasstables コレクションに保存されます。画像などのグラステーブルに追加されたファイルは SplunkEnterpriseSecuritySuite_files コレクションに保存されます。グラステーブルに追加したカスタムウィジェット、画像、および他の項⽬はこのコレクションに保存されます。
個々のガラステーブルのパフォーマンスはグラステーブルにあるサーチウィジェットの数に依存します。閲覧するためにグラステーブルを開くと、各サーチが同時に実⾏されます。200 以上のサーチウィジェットがあるグラステーブルでのサーチは、グラステーブルでデータを表⽰するまでに 10-15 秒かかります。
App の⼀部としてインポートした後に削除したグラステーブルの回復App の⼀部としてインポートした後に削除したグラステーブルの回復
22
ダッシュボードの概要ダッシュボードの概要Splunk Enterpr ise Secur ity で使⽤できるダッシュボードについSplunk Enterpr ise Secur ity で使⽤できるダッシュボードについてて
Splunk Enterprise Security にはセキュリティーインシデントを特定し調査し、イベントのインサイトを理解し、インシデントの調査を加速し、様々なセキュリティードメインのステータスをモニターし、インシデント調査や ES デプロイを監査するための 100 超のダッシュボードがあります。
Splunk Enterprise Security の使⽤計画に応じて最も便利なダッシュボードが何かが決まります。
セキュリティーインシデントの特定と調査セキュリティーインシデントの特定と調査
⼀連のダッシュボードとワークフローを使⽤してセキュリティーインシデントを特定し調査できます。SplunkEnterprise Security は相関サーチ相関サーチを使⽤して、セキュリティインシデントを表すお使いの環境における重要な重要なイベントイベントを特定します。
セキュリティー体制はお使いの環境での 24 時間前に発⽣した重要なイベントのハイレベルな概要を提供します。最もインシデントが多く、最も最新のアクティビティがあるセキュリティードメインを特定します。セキュリティ体制ダッシュボードを参照してください。インシデントレビューは環境内で特定されたすべての重要なイベントの詳細を表⽰します。このダッシュボードから重要なイベントの詳細をトリアージし、割り当て、確認します。「インシデントレビュー」を参照してください。[⾃分の調査] はお使いの環境でのすべての調査を表⽰します。複数の関連セキュリティーインシデントを調査しながら、調査をオープンし開始して進捗とアクティビティをトラックします。[⾃分の調査] を参照してください。
セキュリティーインテリジェンスで調査を⾼速化セキュリティーインテリジェンスで調査を⾼速化
⼀連のセキュリティーインテリジェンスのダッシュボードにより固有のタイプのインテリジェンスのインシデントを調査することができます。
リスク分析により、ネットワーク上のシステムおよびユーザーのリスクスコアの精査、特にリスクの⾼いデバイスや、環境に脅威を与えているユーザーの特定を可能にします。「リスク分析」を参照してください。プロトコルインテリジェンスのダッシュボードは、Stream キャプチャ App からのパケットキャプチャを使⽤してセキュリティー調査に関連するネットワークについての知⾒を提供します。疑わしいトラフィック、DNS アクティビティ、メールアクティビティを特定し、ネットワークトラフィックで使⽤されている接続やプロトコルを確認します。「プロトコルインテリジェンスのダッシュボード」を参照してください。脅威インテリジェンスのダッシュボードは Splunk Enterprise Security に含まれている脅威インテリジェンスのソースと、セキュリティーインシデントにコンテキストを提供するように設定したカスタムソースを使⽤して、お使いの環境にある既知の悪意の実⾏者を特定します。「脅威インテリジェンスのダッシュボード」を参照してください。ユーザーインテリジェンスのダッシュボードでは、お使いの環境でのユーザーやアセットのアクティビティを調査し監視できます。「アセットと ID 調査ダッシュボードおよびユーザーアクティビティの監視」を参照してください。Web インテリジェンスのダッシュボードは、ネットワーク上の Web トラフィックの分析に役⽴ち、重要なHTTP カテゴリー、ユーザーエージェント、新規ドメイン、および⻑い URL を特定します。「Web インテリジェンスのダッシュボード」を参照してください。
セキュリティー ドメイン アクティビティの監視セキュリティー ドメイン アクティビティの監視
Splunk Enterprise Security に搭載のドメインダッシュボードは、重要なセキュリティーイベントの監視を可能にします。メインダッシュボードに要約されたデータを確認して、特定のとメインのサーチダッシュボードを使って未加⼯のイベントを調査できます。
ドメインダッシュボードのディスプレイ認証とアクセス関連データにアクセスします。ログイン試⾏回数、アクセス制御イベント、デフォルトでのアカウントアクティビティなどです。「ダッシュボードのアクセス」を参照してください。エンドポイントドメインのダッシュボードは、マルウェア感染、パッチ履歴、システム設定、および時間同期情報に関連するエンドポイントデータを表⽰します。「エンドポイント ダッシュボード」を参照してください。ネットワークドメインのダッシュボードは、ファイアウォール、ルーター、ネットワークベースの侵⼊検出システム、ネットワーク脆弱性スキャナー、プロキシサーバー、ホストなど、デバイスから提供されるネットワーク トラフィック データを表⽰します。「ネットワークダッシュボード および Web センターとネットワーク変更のダッシュボード および ポートとプロトコルトラッカーのダッシュボード」を参照してください。ID ドメインのダッシュボードはアセットと ID リストからのデータ、さらに使⽤されているセッションの種類を表⽰します。アセットと ID のダッシュボード
セキュリティー基準の可視化セキュリティー基準の可視化
グラステーブルを作成してお使いの環境のセキュリティー基準を可視化します。お使いの環境の脅威アクティビティを監視し、Splunk Enterprise Security デプロイの状態を精査したり、または攻撃者が通ったネットワーク上のパスウェイをマップして、将来の攻撃者による侵⼊の試みを監視します。「グラステーブルの作成」を参照してください。
Splunk Enterpr ise Secur i ty の監査アクティビティSplunk Enterpr ise Secur i ty の監査アクティビティ
監査ダッシュボードは、Splunk Enterprise Security により実施されるバックグラウンド処理やタスクの情報を提供します。Splunk Enterprise Security でのユーザーによる確認アクションが可能な監査ダッシュボードもあ
23
りますが、その他のダッシュボードはデプロイ情報や、データモデルやコンテンツ使⽤の状態を提供します。「監査のダッシュボード」を参照してください。
Splunk Enterpr ise Secur ity ダッシュボードの⽤途に沿ったカスSplunk Enterpr ise Secur ity ダッシュボードの⽤途に沿ったカスタマイズタマイズ
ダッシュボードとダッシュボードパネルの背後にあるサーチを変更して、組織、環境、またはセキュリティー使⽤事例により関連づけることができます。ダッシュボードパネルの背後にあるサーチをパネルエディターで閲覧し、データがどこからきているかを確認します。パネルのタイトル、パネルの背後にあるサーチ、可視化を編集します。
Splunk Enterprise については、Splunk Enterprise『ダッシュボードと視覚エフェクト』で「ダッシュボードエディタでダッシュボードを編集する」を参照してください。Splunk Cloud については、Splunk Cloud『ダッシュボードと視覚エフェクト』で「ダッシュボードエディタでダッシュボードを編集する」を参照してください。
raw イベントへとドリルダウンします。raw イベントへとドリルダウンします。
ダッシュボード上のデータを未加⼯のイベントにまで掘り下げることでより深く理解し、ワークフローアクションを使⽤して未加⼯のイベントからダッシュボード上の特定のフィールドの調査、または Splunk プラットフォーム以外でのその他のアクションの実施に移動します。
ダッシュボードのチャートとテーブルから未加⼯のイベントに掘り下げることができます。ドリルダウンの動作に関する情報は、Splunk プラットフォームドキュメントを参照してください。
Splunk Enterprise については、Splunk Enterprise『ダッシュボードと視覚エフェクト』で「ドリルダウン動作」を参照してください。Splunk Cloud については、Splunk Cloud『ダッシュボードと視覚エフェクト』で「ドリルダウン動作」を参照してください。
カスタム ワークフローアクションの作成カスタム ワークフローアクションの作成
ワークフローアクションで raw イベントにアクションを付加できます。カスタムのワークフローアクションも作成できます。ワークフローアクションに関する情報はスプランクプラットフォームのドキュメントを参照してください。
Splunk Entereprise では、『Splunk Entereprise ナレッジ管理マニュアル』の「フィールドとイベントメニューのワークフローアクションの制御」を参照してください。Splunk Cloud では、『Splunk Cloud ナレッジ管理マニュアル』の「フィールドとイベントメニューのワークフローアクションの制御」を参照してください。
Splunk Enterpr ise Secur ity のキーインジケーターSplunk Enterpr ise Secur ity のキーインジケーター
Splunk Enterprise Security には Splunk Enterprise Security が対象とするセキュリティドメイン⽤のキーセキュリティ基準を特定する事前定義済のキーインジケーターがあります。キーインジケーターを SplunkEnterprise Security のダッシュボードで表⽰するか、またはカスタム グラス テーブルにセキュリティー基準として追加できます。
キーインジケーターは、複数のセキュリティーに関するメトリックスを⼀⽬で把握できるよう設計されています。キーインジケーターのサーチはキーインジケーターのセキュリティ基準を⼊⼒します。キーインジケーターのサーチは Enterprise Security で定義されているデータモデルデータモデル、または Common Information Model App で定義されているデータモデルに対して実⾏されます。⼀部のキーインジケーターは、重要なイベント重要なイベントの件数に対してもサーチを実⾏します。
ダッシュボードのキーインジケーターの解釈ダッシュボードのキーインジケーターの解釈
ダッシュボードの各キーインジケーターには、インジケーターの重要性や優先度を⽰すための値インジケーター、傾向の値、傾向インジケーター、閾値などがあります。キーインジケーターのサーチはデフォルトで 48 時間の時時間枠間枠で実⾏されます。
フィーフィールドルド 説明説明
説明 セキュリティー関連の基準の簡単な説明。
値インジケーター
現在のイベント数。閾値を超えた件数は表⽰される⾊が変わります(閾値が設定されている場合)。値インジケーターをクリックして、キーインジケーターのサーチまで掘り下げ未加⼯のイベントを閲覧します。100%を超える値など、インジケーターの値が誤りである場合は、値の計算のためにキーインジケーターサーチが使⽤するデータモデルデータセットにデータの⽋損または誤ったデータがあることが考えられます。
傾向の24
傾向の値 キーインジケーターで定義された時間枠でのイベント数の変化を表⽰。
傾向インジケーター
傾向の値の変化を⽮印で表⽰。⽮印の⾊と⽅向が適時変わります。
ダッシュボードのキーインジケーターの編集ダッシュボードのキーインジケーターの編集
Enterprise Security にはあらかじめ設定されたキーインジケータが含まれています。ダッシュボードのキーインジケータの⾏ではエディタを使⽤できるため、ダッシュボードを離れることなく、キーインジケータの表⽰を直接、簡単に変更できます。キーインジケーターを⽣成するサーチを [コンテンツ管理][コンテンツ管理] ダッシュボードで変更できます。『Splunk Enterprise Security の管理』の「キーインジケーターサーチの編集」を参照してください。
1. インジケーターバーの左上にある [編集][編集] の鉛筆アイコンをクリックします。インジケーターの上に編集ツールが表⽰されます。
2. インジケータをドラッグ アンド ドロップして再配置できます。それぞれの⾏に 5 つまでのインジケータを配置できます。また、複数の⾏を配置できます。
3. チェックマークのアイコンをクリックして保存します。
キーインジケーターをダッシュボードから削除キーインジケーターをダッシュボードから削除
キーインジケーターをダッシュボードから削除します。
1. インジケーターバーの左上にある [編集][編集] の鉛筆アイコンをクリックします。インジケーターの上に編集ツールが表⽰されます。
2. インジケーターの右上にある [X][X] をクリックします。3. チェックマークのアイコンをクリックして保存します。
ダッシュボードからインジケーターを削除しても、Enterprise Security のキーインジケーターは削除されません。
キーインジケーターをダッシュボードに追加キーインジケーターをダッシュボードに追加
キーインジケーターをダッシュボードに追加します。
1. インジケーターバーの左上にある [編集][編集] の鉛筆アイコンをクリックします。インジケーターの上に編集ツールが表⽰されます。
2. プラスアイコンをクリックして、インジケーターを追加インジケーターを追加パネルを開きます。3. チェックマークのアイコンをクリックして保存します。
ダッシュボードのキーインジケーターに閾値を設定します。ダッシュボードのキーインジケーターに閾値を設定します。
ダッシュボードのキーインジケーターに閾値を設定してキーインジケーターの⾊を変更できます。閾値はインジケーターが受け⼊れられるイベントの件数でを定義します。イベント数が閾値を超えると、キーインジケーターは⾚⾊で表⽰され、イベント数が閾値を下回るとキーインジケーターは緑⾊で表⽰されます。閾値が [未定義][未定義] である場合、イベント数は⿊になります。
1. インジケーターバーの左上にある [編集][編集] の鉛筆アイコンをクリックします。インジケーターの上に編集ツールが表⽰されます。
25
2. キーインジケーターの閾値閾値を⼊⼒します。3. チェックマークのアイコンをクリックして保存します。
26
ダッシュボードのリファレンスダッシュボードのリファレンスセキュリティ体制のダッシュボードセキュリティ体制のダッシュボード
セキュリティ体制セキュリティ体制のダッシュボードはデプロイ全体で重要なイベントについて⾼度な理解が促進されるよう設計されています。セキュリティオペレーションセンター (SOC) での表⽰に適しています。このダッシュボードには過去 24 時間に発⽣したすべてのイベントや傾向が表⽰され、イベントに関するリアルタイムの情報や更新が提供されます。
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインジケータセキュリティドメインごとに過去 24 時間の重要なイベント数を表⽰します。詳細は「Splunk Enterprise Security のキーインジケータ―」を参照してください
緊急度ごとの重要なイベント
緊急度ごとに過去 24 時間の重要なイベント数を表⽰緊急度ごとの重要なイベントでは、アセットに割り当てられた優先順位と相関サーチに割り当てられた重⼤度に基づいて緊急度が計算されます。ドリルダウンでインシデントレビューインシデントレビューのダッシュボードを開き、選択した緊急度の過去 24 時間のすべての重要なイベントを表⽰します。
重要なイベントの推移
セキュリティドメインごとに重要なイベントをタイムラインで表⽰します。ドリルダウンでインシデントレビューインシデントレビューのダッシュボードを開き、選択したセキュリティドメインと時間枠ですべての重要なイベントを表⽰します。
上位の重要なイベント
イベントの総数やアクティビティの急騰の推移を⽰すスパークラインなど、ルール名ごとに上位の重要なイベントを表⽰します。選択した重要なイベントのルールを対象とするインシデントレビューインシデントレビューダッシュボードをドリルダウンで開きます。
上位の重要なイベントソース
イベントの総数、相関とドメインごとの件数、アクティビティの急騰の推移を⽰すスパークラインなど、src ごとに上位 10 件の重要なイベントを表⽰します。選択した重要なイベントソースを対象とするインシデンインシデントレビュートレビューダッシュボードをドリルダウンで開きます。
監査のダッシュボード監査のダッシュボード
監査のダッシュボードでは、セキュリティやデータの整合性を検証できます。ここでは、フォワーダーが機能しているかどうか、データの改ざんがなく安全に送信されているかどうか、⾒直しが⾏われているのは相関サーチで発⾒された重要なイベントかどうかを検証できます。
インシデントレビューの監査インシデントレビューの監査
インシデントレビューの監査インシデントレビューの監査のダッシュボードでは、インシデントレビューのアクティビティの概要が提供されます。パネルには、レビューされているインシデントの件数やその担当者のほか、最近レビューされたイベントのリストが表⽰されます。セキュリティマネージャーはこのダッシュボードのメトリックスを使⽤して、アナリストの作業内容を⾒直すことができます。
パネルパネル 説明説明
レビュー担当者ごとのレビュー作業
ユーザーごとにレビュー中のイベントの件数を表⽰します。このパネルは、インシデントレビューの担当者やレビューされたインシデントの合計件数の推移を把握するのに役⽴ちます。ドリルダウンでは、選択したレビュー担当者ごとのすべてのアクティビティのサーチが開きます。
上位のレビュー担当者
インシデント確認を⾏っている上位のユーザーを表⽰します。パネルには、インシデントレビューが最初/最後に実施された⽇やレビューの合計件数など、それぞれの担当者に関する詳細が表⽰されます。ドリルダウンでは、選択したレビュー担当者ごとのすべてのアクティビティのサーチが開きます。
ステータスごとの重要なイベント -過去 48時間
過去 48 時間の重要なイベントのステータス、件数、緊急度を表⽰します。このパネルは、レビュー担当者がインシデントについて理解しているかどうか、未対応のインシデントがたまっていないかどうかを把握するのに役⽴ちます。ドリルダウンではインシデントレビューのダッシュボードが開き、選択した過去 48 時間の緊急度とステータスがサーチされます。
所有者ごとの重要なイベント - 過去48 時間
過去 48 時間の重要なイベントの所有者、件数、緊急度を表⽰します。このパネルはどのレビュー担当者に割り当てられているインシデントの件数やインシデントの緊急度を把握するのに役⽴ちます。ドリルダウンではインシデントレビューのダッシュボードが開き、選択した過去 48 時間の緊急度がサーチされます。
27
トリアージまでの平均時間- 過去 14⽇間
重要なイベントの作成からトリアージまでにかかった過去 14 ⽇間の平均時間をイベントの名前ごとに表⽰します。このパネルは、重要なイベントのトリアージにかかった時間のほか、特定の種類のインシデントが他のインシデントよりもトリアージに時間がかかっているかどうかを把握するのに役⽴ちます。ドリルダウンは選択した重要なイベント名を過去 14 ⽇間についてサーチするインシデントレビューダッシュボードを開きます。
終了までの平均時間 - 過去60 ⽇間
過去 60 ⽇間における重要なイベントの⽣成から終了までの時間の平均を、イベントの名前ごとに分けて表⽰。このパネルは各インシデントタイプについて調査の修了までどれほどの時間を要しているかを把握できます。ドリルダウンではインシデントレビューのダッシュボードが開き、過去 60⽇間に終了した重要なイベントの名前がサーチされます。
最近のレビューアクティビティ
トリアージのアクションなど、インシデントレビューのダッシュボードでの最新の 10 件の変更を表⽰します。ドリルダウンは選択したルール ID のサーチを開きます。
バージョン 3.2 以前の Enterprise Security のインシデントレビューからのデータを監査するには、この例のようなアドホックサーチを実⾏する必要があります。
index=_audit sourcetype=incident_review | rex field=_raw "^(?<end_time>[^,]*),(?<rule_id>[^,]*),(?<owner>[^,]*),(?
<urgency>[^,]*),(?<status>[^,]*),(?<comment>[^,]*),(?<user>[^,]*),(?<rule_name>[^,]*)"
データソースデータソース
インシデントレビューの監査インシデントレビューの監査のダッシュボードのレポートでは、KVStore コレクションにある重要インデックスとインシデントレビューのオブジェクトのフィールドが参照されます。重要インデックスについての詳細はSplunk 開発者向けポータルの「重要インデックス」を参照してください。
抑制の監査抑制の監査
抑制の監査抑制の監査のダッシュボードでは、重要なイベントの抑制アクティビティの概要が提供されます。重要なイベントの抑制の監査と報告を⽬的に、このダッシュボードには抑制されているイベントの件数とその担当者が表⽰されます。
セキュリティマネージャはこのダッシュボードのメトリックスをを使⽤して、アナリストの作業内容を⾒直すことができます。これは、相関サーチの調整にも役⽴ちます。アナリストのキャパシティを超える件数の重要なイベントを⽣成している相関サーチのルールを特定し、必要に応じてルールの調整を⾏うことができます。
パネルパネル 説明説明
抑制されたイベントの推移 - 過去 24 時間 過去 24 時間に抑制された重要なイベントを表⽰します。
抑制履歴の推移 - 過去30 時間 抑制された重要なイベントの履歴表⽰します。
抑制管理アクティビティ 期間内の抑制管理のアクティビティを表⽰します。
期限切れの抑制 期限切の抑制を表⽰します。
データソースデータソース
抑制の監査抑制の監査のダッシュボードのレポートでは、重要インデックスのイベントが参照されます。
パネルごとのフィルタの監査パネルごとのフィルタの監査
パネルごとのフィルタの監査パネルごとのフィルタの監査のダッシュボードでは、環境内で使⽤中のフィルタに関する情報が提供されます。
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
レビュー担当者別のパネルごとのフィルタ レビュー担当者別のパネルごとの更新の件数を表⽰します。
上位のユーザー ユーザー、傾向のスパークライン、閲覧の数、最初/最後に閲覧された時刻を表⽰します。
最近のフィルタアクティビティ 時間、ユーザー、アクション、ファイル名ごとのアクティビティ
適応応答アクションセンター適応応答アクションセンター
適応応答アクションセンターのダッシュボードは、重要なイベントの作成やリスクスコアなどを含む、適応応答アクションによって開始された応答アクションの概要を提供します。
パネルパネル 説明説明28
名前別のアクションの起動 名前によりトリガーされた適応応答アクションの時間グラフを表⽰します。
名前別のトップアクション 名前別にトップ適応応答アクションを表⽰します。
サーチ別のトップアクション サーチ別にトップ適応応答アクションを表⽰します。
最近の応答アクション 最近の適応応答アクションを表⽰します。
データソースデータソース
適応応答アクションのダッシュボードのレポートでは、監査データモデルのフィールドが参照されます。データモデル オブジェクトと制限の⼀覧については『Common Information Model アドオン』マニュアルの「Splunkの監査ログ」を参照してください。
脅威インテリジェンスの監査脅威インテリジェンスの監査
脅威インテリジェンスの監査脅威インテリジェンスの監査のダッシュボードでは、すべての脅威インテリジェンスソースの現在のステータスを追跡、表⽰できます。ここでは、脅威ソースが最新のものであるかを確認したり、脅威インテリジェンスソースに関連する問題を解決したりできます。
パネルパネル 説明説明
脅威インテリジェンスのダウンロード
[脅威インテリジェンスのダウンロード][脅威インテリジェンスのダウンロード] の設定ページに設定されているすべての脅威ソースのステータスを表⽰します。フィルタを使って、ステータスまたはダウンロード場所でソートします。
脅威インテリジェンスの監査イベント
脅威インテリジェンスのダウンロード脅威インテリジェンスのダウンロードと脅威インテリジェンスマ脅威インテリジェンスマネージャーネージャーの設定ページで設定されている脅威インテリジェンスのダウンロードに関連するログイベントを表⽰します。フィルタを使って、表⽰されるイベントのソートとフィルタリングを⾏います。
脅威ソースのダウンロードに失敗すると、システムメッセージが⾃動で⽣成されます。
データソースデータソース
脅威インテリジェンスの監査脅威インテリジェンスの監査のダッシュボードのレポートは、_internal インデックスのイベントと/services/data/inputs/threatlist REST エンドポイントのステータス情報を参照します。
ES 設定の健全性ES 設定の健全性
ES 設定の健全性のダッシュボードを使って、インストールされている最も新しいバージョンの EnterpriseSecurity と以前のバージョンを⽐較し、設定の異常を検出します。このダッシュボードではアドオンの変更 (TA)が報告されません。以前の ES バージョンフィルタを使って、環境にインストールされている以前のバージョンのEnterprise Security を選択します。
モードモード 説明説明
未出荷
未出荷の設定では、インストールされている Enterprise Security の最新のバージョンとインストールパッケージの内容が⽐較されます。カスタマイズのためのファイルやスクリプトなど、Enterprise Security のインストールで提供されない項⽬は未集荷項⽬として表⽰されます。未出荷項⽬を確認します。その使⽤について評価し、依然として必要かどうかを判断した上で、必要に応じて調整を⾏います。未出荷の設定では以前のバージョンのフィルタが無視されます。
削除されたスタンザ
削除されたスタンザの設定では、インストールされている EnterpriseSecurity の最新のバージョンとフィルタで選択したバージョンが⽐較されます。削除されたスタンザとは、廃⽌予定の脅威リストや⼊⼒など、バージョンの更新に伴って変更された設定スタンザを指します。削除されたスタンザを確認します。その使⽤について評価し、依然として必要かどうかを判断した上で、必要に応じて調整を⾏います。
ローカルオーバーライド
ローカルオーバーライドの設定では、インストールされているEnterprise Security のバージョンとフィルタで選択したバージョンが⽐較されます。インストールされているバージョンに⽭盾する、または有線する設定は、ローカルオーバーライドとして表⽰されます。ローカルオーバーライドの設定を確認します。その使⽤について評価し、依然として必要かどうかを判断した上で、必要に応じて調整を⾏います。
コンテンツプロファイルコンテンツプロファイル
コンテンツプロファイルコンテンツプロファイルのダッシュボードでは、Enterprise Security で提供されるナレッジオブジェクトとオブジェクトが必要とするデータモデルが⽐較され、その結果がデプロイの完全性としてパーセンテージで表⽰されます。
パネルパネル 説明説明
追加されたデータモデルを参照するナレッジオブジェクトの割合を表⽰29
デプロイの完全性 します。100% に到達するには、ナレッジオブジェクトが参照するデータモデルにデータが存在する必要があります。
未使⽤のデータモデルデータが追加されていないデータモデルの件数を表⽰します。未使⽤の未使⽤のデータモデルデータモデルを選択すると、データモデル情報データモデル情報のビューにデータが追加されていないデータモデルだけが表⽰されます。
未使⽤のナレッジオブジェクト
データが追加されていないデータモデルが原因で使⽤できないナレッジオブジェクトの件数を表⽰します。
データモデル情報
それぞれのデータモデルを名前で表⽰します。選択のドロップダウンには、オブジェクトのタイプと名前の詳細が表⽰されます。たとえば、Application_State データモデルを選択すると、20 以上のユニークなサーチと App 別のパネルが表⽰されます。
データソースデータソース
コンテンツプロファイルコンテンツプロファイルのダッシュボードのレポートでは、Enterprise Security のナレッジオブジェクトが検証され、オブジェクトが使⽤するデータモデルが決定されます。参照されるデータモデルにイベントがあると、ナレッジオブジェクトは完全で使⽤可能と⾒なされます。
ナレッジオブジェクトの分析はデータモデルの名前に限定され、ナレッジオブジェクトで参照されるデータモデルオブジェクトは対象となりません。そのため、このダッシュボードで完全性が 100% になっても、サーチやビューでデータが表⽰されない場合があります。
データモデルに⾼速化されたデータがあるかどうかを確認するには、データモデルの監査のダッシュボードを使います。ダッシュボードパネルで参照されているデータモデルオブジェクトを確認するには、『Splunk EnterpriseSecurity の管理』の「Splunk Enterprise Security のダッシュボードの要件⼀覧表」を参照してください。
データモデルの監査データモデルの監査
データモデルの監査データモデルの監査のダッシュボードには、環境内のデータモデル⾼速化の状態に関する情報が表⽰されます。
フィールド名のパネルフィールド名のパネル 説明説明
サイズごとの上位の⾼速化
⾼速化デされているデータモデルをサイズ (ディスク上のMB) が⼤きい順に表⽰します。
実⾏時間ごとの上位の⾼速化
⾼速化されているデータモデルを⾼速化タスクの実⾏時間の順に表⽰します。
⾼速化の詳細 ⾼速化されているデータモデルの表を詳細とともに表⽰します。
データソースデータソース
データモデルの監査データモデルの監査のダッシュボードのレポートでは、Splunk の監査データモデルのフィールドが参照されます。データモデルオブジェクトと制限の⼀覧については『Common Information Model アドオン』マニュアルの「Splunk の監査ログ」を参照してください。
フォワーダーの監査フォワーダーの監査
フォワーダーの監査フォワーダーの監査のダッシュボードでは、 Splunk Enterprise にデータを転送するホストについての報告が⾏われます。
サーチフィルタと時間範囲セレクタを使って、フォワーダーのグループや個々のフォワーダーに焦点を置くことができます。
フィルタリングのフィルタリングの対象対象 説明説明 対処対処
想定されるホストだけを表⽰します。
想定されるホストとは、アセットテーブルで想定されるホストフィールドである is_expected によって定義されているホストを指します。
ドロップダウン:フィルタリングの対象を選択
ホスト アセットテーブルのホストフィールドでフィルタリング
テキストフィールドアスタリスク (*) のあるワイルドカード
ビジネスユニット アセットテーブルのビジネスユニットの bunit のフィールドでフィルタリング
テキストフィールドアスタリスク (*) のあるワイルドカード
カテゴリ アセットテーブルのカテゴリフィールドでフィルタリング
ドロップダウン:フィルタリングの対象を選択
パネルパネル 説明説明
ホストごとのイベント件数の推移
フィルタで選択された期間に報告されたイベントの件数を表⽰します。イベントはホストごとに表⽰されます。
最後の報告時刻ごとのホスト イベントが最後に報告された時刻の順にホストのリストを表⽰します。
30
Splunkd プロセス使⽤
フォワーダーの Splunk デーモンの splunkd によるリソースの使⽤を表⽰します。
Splunk サービスのスタートモード
イベントを転送しているものの、起動時に splunkd をスタートするよう設定されていないホストの名前を表⽰します。
データソースデータソース
フォワーダーの監査のダッシュボードに関連するデータソースには、Splunk の環境にあるすべてのフォワーダーからのデータと Application_State データモデルが含まれます。詳細は 『Common Information Model アドオン』マニュアルを参照してください。Common Information Model のフィールドお bunit と category は、⾃動ID ルックアップから派⽣したもので、直接のマッピングは不要です。
インデックス作成の監査インデックス作成の監査
インデックス作成の監査インデックス作成の監査のダッシュボードは、Splunk Enterprise でインデックスされるイベントデータの分量を⾒積もるために使⽤します。ダッシュボードでは、インデックス当たりのイベントの量とインデックス当たりのイベント合計数の変化率の推移を追跡するためのメトリックスとして、EPD (1 ⽇当たりのイベント数)が使⽤されます。EPD はイベントの件数だけに適⽤され、ライセンスのために使⽤する Volume Per Day (1 ⽇当たりの量)とは関係ありません。
パネルパネル 説明説明
キーインジケータ このダッシュボードのキーインジケータは「過去 24 時間」ではなく「全時間」を対象としています。
1 ⽇当たりのイベント件数の推移 1 ⽇当たりのイベント件数を縦棒グラフで表⽰します。
1 ⽇当たりのイベント件数 1 ⽇当たりのイベント件数と平均 EPS を表⽰で表⽰します。
インデックスごとのイベント件数 (最新の⽇付)
インデックスごとの最新の⽇付のイベント件数を表で表⽰します。
データソースデータソース
インデックス作成の監査インデックス作成の監査のダッシュボードのレポートでは、 Audit - Events Per Day - Lookup Gen 保存済みサーチによって⽣成され、KVStore コレクションに保存されるデータが参照されます。
サーチの監査サーチの監査
サーチの監査サーチの監査のダッシュボードでは Splunk Enterprise で実⾏されるサーチに関する情報が提供されます。このダッシュボードは⻑時間続いているサーチを特定し、ユーザーごとのサーチアクティビティを追跡するのに有⽤です。
パネルパネル 説明説明
タイプごとのサーチの推移
実⾏されたサーチの件数の推移を、アドホック、スケジュール済み、リアルタイムなどのタイプごとに表⽰します。Splunk のパフォーマンスが過剰なサーチの影響を受けていないかどうかを特定するのに役⽴ちます。
ユーザーごとのサーチ件数の推移
実⾏されたサーチの件数をユーザーごとに表⽰します。特定のユーザーがいつ過剰なサーチを⾏ったのかを特定するのに役⽴ちます。splunk-
system-user はスケジュール済みサーチの実⾏に使⽤されるアカウント名です。
実⾏時間ごとの上位のサーチ
時間を消費している上位のサーチを表⽰します。Splunk のパフォーマンスに悪影響を及ぼしている可能性がある特定のサーチを発⾒するのに役⽴ちます。
データソースデータソース
サーチの監査サーチの監査のダッシュボードのレポートでは、audit インデックスのスケジュール済みサーチ監査イベントが参照されます。
ビューの監査ビューの監査
ビューの監査ビューの監査のダッシュボードは Splunk Enterprise で最も活発なビューついて報告します。ビューの監査では⽇常的にアクセスされるビューを追跡し、ユーザーがダッシュボードパネルを確認する際に発⽣するエラーを特定できます。
パネルパネル 説明説明
ビューのアクティビ 多くのアクセスがあるビューの推移を表⽰します。ドリルダウンでは、
31
ビューのアクティビティの推移 選択した期間のすべてのページのアクティビティのサーチビューが開き
ます。
想定されるビューのアクティビティ
[想定されるビュー] のリストに設定されているビューを⼀覧で表⽰します。デプロイについては、これらのビューを⽇常的に⾒直すことが推奨されます。ダッシュボードの [想定されるビューのスコアカード] パネルで詳細を確認できます。
[設定] > [リスト/ルックアップ] > [想定されるビュー][設定] > [リスト/ルックアップ] > [想定されるビュー] を開き、[想定されるビュー] のリストを設定します。
Web サービスエラーWeb インターフェースのロード中に発⽣したエラーを表⽰します。エラーが含まれるカスタムビューや Splunk にエスカレーションする必要がある根本的な問題の特定に役⽴ちます。
データソースデータソース
ビューの監査ビューの監査のダッシュボードのレポートでは、Splunk の監査データモデルのフィールドが参照されます。データモデルオブジェクトと制限の⼀覧については『Common Information Model アドオン』マニュアルの「Splunk の監査ログ」を参照してください。
データ保護データ保護
データ保護データ保護のダッシュボードでは、データ統合性制御の状態が報告されます。
パネルパネル 説明説明
インデックスごとのデータ統合性制御
データ保護が有効になっているすべてのインデックスのビューをサーチピアでソートして表⽰します。データ統合性の設定や検証の詳細は、『Splunk Enterprise のセキュリティ』の「データ統合性制御」を参照してください。Splunk Cloud を使⽤している場合は、データ統合性制御を有効にするためのサポートを予約してください。
機密データ 機密データが含まれるイベントの件数を表⽰します。このパネルでは個個⼈情報の検出⼈情報の検出の相関サーチを有効にする必要があります。
予測分析のダッシュボード予測分析のダッシュボード
予測分析予測分析 のダッシュボードでは、データで発⽣するさまざまな異常なイベントをサーチできます。予測分析予測分析のダッシュボードは Splunk の予測分析機能を使って結果に関する統計情報を提供し、データの外れ値を特定します。予測コマンドは結果の⽣成までに時間がかかる場合があります。
予測分析でデータを分析するには、データモデルの次にオブジェクト、関数、属性、期間を選択して[サーチ][サーチ] をクリックします。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。予予測分析測分析 のダッシュボードフィルタは左から右へと実⾏されます。たとえば、オブジェクトオブジェクトフィルタはデータモデータモデルデルの選択に基づいてデータを追加します。
フィルフィルタリンタリングの対グの対
象象
説明説明
データモデル
サーチするデータモデルを指定します。指定可能なデータモデルはドロップダウンリストに表⽰されます。
オブジェクト
サーチするデータモデルでオブジェクトを指定します。データモデルデータモデルを選択してオブジェクトオブジェクトを適⽤する必要があります。
関数サーチするオブジェクトの関数を指定します。関数は、サーチ結果を使って実施する分析のタイプを指定します。たとえば、サーチ結果の平均を分析する場合は、「avg」を選択します。⼀意の結果のカウントを作成するには「dc」を選択します。
属性サーチするオブジェクトにある制約の属性を指定します。属性はサーチ結果での制約です。たとえば、ソースからの結果を表⽰する場合は、「src」を選択します。オブジェクトオブジェクトを選択して属性属性を適⽤する必要があります。
時間範囲 表⽰する時間範囲を選択
詳細 predict コマンドのオプションのアクセス
predict コマンドのオプションについては、Splunk プラットフォームのドキュメントを参照してください。
32
Splunk Enterprise では、Splunk Enterprise の「サーチリファレンス」で predict のオプションを参照してください。Splunk Cloud では、Splunk Cloud の「サーチリファレンス」で predict のオプションを参照してください。
ダッシュボードパネルダッシュボードパネル
パネパネルル 説明説明
予測の推移
[予測の推移] パネルには、選択した期間に基づく結果の予測分析の推移が表⽰されます。影付き領域には、サーチ結果全体の平均値の 2 つの標準偏差に当てはまる結果が表⽰されます。
外れ値 [外れ値] パネルには、サーチ結果全体の 2 つの標準偏差に当てはまらない結果が表⽰されます。
データソースデータソース
予測分析ダッシュボードは、任意のユーザー選択データモデルを参照します。選択した期間でデータモデルの⾼速化が使⽤できない、または不完全な場合、ダッシュボードは⾼速化されていない raw データに戻ります。
相関サーチの作成相関サーチの作成
このダッシュボードでは、現在の予測分析サーチのサーチパラメータに基づく相関サーチを作成できます。この相関サーチではイベントを返すときにアラートが⽣成されします。
1. [相関サーチとして保存][相関サーチとして保存] をクリックし、[相関サーチの作成] ダイアログを開きます。2. このサーチによって作成された重要なイベントのセキュリティドメインと重⼤度を選択します。3. サーチ名と説明を追加します。4. [保存][保存] をクリックします。
相関サーチを表⽰したり、編集したりするには、[設定] > [コンテンツ管理][設定] > [コンテンツ管理] を開きます。『Splunk EnterpriseSecurity の管理』のSplunk Enterprise Security の「相関サーチの作成」を参照してください。
トラブルシューティングトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、パネルには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
アクセスのダッシュボードアクセスのダッシュボード
アクセス保護のドメインでは、組織内のネットワークデバイス、エンドポイント、アプリケーションでの認証の試みが監視されます。アクセス保護は不正な認証の試みを検出したり、権限の有無を問わず、ユーザーがアクセスしたシステムを特定するのに役⽴ちます。
アクセスセンターのダッシュボードアクセスセンターのダッシュボード
アクセスセンターアクセスセンターではすべての認証イベントのサマリーが提供されます。このサマリーは、ブルートフォース攻撃やクリアテキストパスワード使⽤など、認証の試みに関係するセキュリティインシデントの特定や、営業時間外の特定のシステムでの認証の検出に役⽴ちます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリンフィルタリン 説明説明 対処対処33
グの対象グの対象 説明説明 対処対処
対処対処 認証の成功または失敗に基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
AppApp 認証アプリケーションに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ビジネスユビジネスユニットニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリカテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
特別なアクセ特別なアクセスス
特権アクセスに関連するイベントにビューを限定『SplunkEnterprise Security の管理』の「管理 ID」を参照してください。
ドロップダウン:フィルタリングの対象を選択
時間範囲時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
アクションごとのアクセスの推移 アクションごとに認証イベント件数の推移を表⽰します。
App ごとのアクセスの推移
App ごとに認証イベント件数の推移を表⽰します。たとえば、"win:local" は Windowsシステムで実⾏されるローカル認証、"win:remote" はリモートの API アクセスを指します。
ソースごとの上位アクセス
上位のアクセス件数のテーブルをソースごとに表⽰します。強引な認証の試みでは過剰な認証の要求が⽰されるため、このテーブルはブルートフォース攻撃の検出に役⽴ちます。
ユニークユーザーごとの上位アクセス 上位の認証イベントを⽣成しているソースのテーブルをカウントごとに表⽰します。
アクセストラッカーのダッシュボードアクセストラッカーのダッシュボード
アクセストラッカーアクセストラッカーのダッシュボードでは、アカウントのステータスの概要が提供されます。この情報を使って、新しく有効または無効になったアカウントのほか、しばらく無効であったものの最近有効になったアカウントを追跡できます。また、ユーザーの退職時に正しく廃⽌または無効化されなかったアカウントも発⾒できます。
無効なアカウントや不適切に使⽤されているアカウントは攻撃を受けやすいため、このダッシュボードを定期的に確認することをお勧めします。また、不審なアカウントの特定やユーザーアクセスの⼊念な調査にもこのダッシュボードを活⽤できます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユビジネスユニットニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリカテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
最初のアクセス - 過去 7 ⽇間 ユーザーと宛先ごとに、新しいアカウントによるアクセスを表⽰します。
無効アカウントの使⽤ - 過去 90 ⽇間
しばらく無効であったものの、最近アクティビティが確認されたアカウントを表⽰します。
アクティビティが確認されないアカウントを表⽰します。このパネルは、停⽌または削除すべきアカウントを特定するために使います。⼀定の期間が経過したパスワードを変
34
完全に無効なアカウント - 過去 90 ⽇間
更する⽅針を採⽤している場合、その期間後にアクティビティが確認されないアカウントは無効として認識されます。このパネルには、アカウントの閉鎖や廃⽌に関する⽅針の有効性も表⽰されます。多くのアカウントが表⽰される場合は、プロセスを⾒直す必要がある場合もあります。
期限切れ ID のアカウント使⽤ - 過去 7⽇間
指定された期間、停⽌されているアカウントのアクティビティを表⽰します。このパネルでは、無効にすべきアカウントが使⽤されていないかどうかを検証します。
アクセスサーチのダッシュボードアクセスサーチのダッシュボード
アクセスサーチアクセスサーチのダッシュボードは、特定の認証イベントを発⾒するために使⽤します。このダッシュボードは認証データのアドホックサーチで使⽤します。また、アクセスの異常のダッシュボードパネルで使⽤されるドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] をクリックした場合を除き、[アクセスサーチ][アクセスサーチ] のページには結果が表⽰されません。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
対処対処 認証の成功または失敗に基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
AppApp 認証アプリケーションに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ソースソース ソースフィールド src が⼀致しなければならない⽂字列テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先宛先 宛先フィールド dest が⼀致しなければならない⽂字列テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
UserUser ユーザーフィールド user が⼀致しなければならない⽂字列テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
アカウント管理のダッシュボードアカウント管理のダッシュボード
アカウント管理アカウント管理のダッシュボードには、アカウントのロックアウト、新しく作成されたアカウント、無効にされたアカウント、パスワードのリセットなど、ユーザーアカウントの変更が表⽰されます。このダッシュボードでは、アカウントが正しく管理されていること、アカウントの管理権限が適切に制限されていることを確認できます。アカウントの作成、変更、削除の件数の急増は、悪意ある挙動や不正なシステムを⽰唆している場合があります。また、アカウントのロックアウトが多数発⽣している場合は、攻撃の可能性があります。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユビジネスユニットニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリカテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
特別なアカウ特別なアカウントント
特権アクセスに関連するイベントにビューを限定『SplunkEnterprise Security の管理』の「管理 ID」を参照してください。
ドロップダウン:フィルタリングの対象を選択
時間範囲時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
35
パネルパネル 説明説明
アカウント管理の推移 すべてのアカウント管理のイベントの推移を表⽰します。
アカウントのロックアウト アカウントごとの認証の試みの件数など、アカウントのロックアウトを表⽰します。
ソースユーザーごとのアカウント管理
ソースユーザーごとに全体的なアカウント管理のアクティビティを追跡し、アカウント管理のイベントが最も多いソースユーザーを表⽰します。ソースユーザーとは、アカウント管理のイベント実⾏したユーザーであり、イベントの影響を受けたユーザーではありません。たとえば、ユーザー "Friday.Adams" が "Martha.Washington" アカウントを作成した場合、ソースユーザーは "Friday.Adams" になります。
このパネルは、他のアカウントを管理すべきでないアカウントを特定するのに役⽴ち、⼤量のアカウントの削除など、急増するアカウント管理のイベントが表⽰されます。
上位のアカウント管理のイベント 指定した期間の頻繁な管理のイベントを表⽰します。
デフォルトのアカウントアクティビティのダッシュボードデフォルトのアカウントアクティビティのダッシュボード
デフォルトのアカウントアクティビティデフォルトのアカウントアクティビティのダッシュボードには、ネットワークインフラのデバイス、データベース、アプリケーションなど、さまざまなシステムでデフォルトで有効になっている「デフォルトアカウント」のアクティビティが表⽰されます。デフォルトアカウントには周知のパスワードが設定され、多くの場合システムのデプロイ時には適切に無効化されません。
多くのセキュリティ⽅針では、デフォルトアカウントの無効化が要求されます。場合によっては、デフォルトアカウントの使⽤を監視または調査する必要があるかもしれません。デフォルトアカウントのパスワードが使⽤前に変更されているのを確認することが重要です。デフォルトアカウントからの異常、または逸脱した挙動は、セキュリティの脅威や⽅針の違反を⽰唆している場合があります。このダッシュボードでは、デフォルトアカウントに関するセキュリティ⽅針が適切に守られているかどうかを確認できます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユビジネスユニットニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリカテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
App ごとのデフォルトアカウントの使⽤の推移
選択した期間内のすべてのシステムとアプリケーションでのデフォルトアカウントのアクティビティをアプリケーションごとに表⽰できます。例:sshd や ftpdアプリケーションのアカウントでは、成功したログインの件数と最後のログインが試みられた時刻が表⽰されます。このグラフを使って、セキュリティインシデントの可能性があるデフォルトアカウントのログインの急増をアプリケーションごとに特定したり、特定のアプリケーションでデフォルトアカウントの使⽤が⽇常的なのものであるか、または稀なものであるかを確認できます。
使⽤中のデフォルトアカウント
異なるホストから多数のログインの試みがあるデフォルトのユーザーアカウントと最後のログインの試みを表⽰できます。セキュリティの脅威の可能性があるデフォルトアカウントの異常なアクティビティまた、デフォルトアカウントの挙動をセキュリティ⽅針に⼀致させることにも役⽴ちます。
デフォルトのローカルアカウント
「休⽌中」のアカウントなど、組織のシステムで使⽤されているすべてのデフォルトアカウントを⼀覧化できます。ここでは実際に使⽤されているかどうかを問わず、使⽤可能なすべてのアカウントが表⽰されます。たとえばホストでのユーザーリストの検証などによって、ローカルシステムで検出されたアカウントだけがこの⼀覧に含まれます。
アクセスのダッシュボードでのトラブルシューティングアクセスのダッシュボードでのトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュ
36
ボードには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
エンドポイントのダッシュボードエンドポイントのダッシュボード
エンドポイント保護のドメインでは、ウィルス、ワーム、スパイウェア、攻撃ツール、アドウェア、PUP (不審なプログラム) を含むマルウェアイベントのほか、エンドポイント保護のデプロイに関する詳細が提供されます。
マルウェアセンターのダッシュボードマルウェアセンターのダッシュボード
マルウェアセンターはご使⽤の環境で考えられるマルウェア拡散の特定に役⽴ちます。ここでは Splunk が収集したデータに基づいて、環境でのマルウェアイベントのステータスとその推移が表⽰されます。
マルウェアサーチを使ってマルウェアイベントを直接サーチしたり、グラフ要素やテーブルの⾏をクリックしてraw イベントを表⽰できます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。新しいデータ⼊⼒は [設定] メニューから設定できます。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
対処 すべて、許可、ブロック、保留 ドロップダウン:フィルタリングの対象を選択
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Securityのキーインジケーター」を参照してください。
アクションごとのマルウェアアクティビティの推移
指定した期間に検出されたすべてのマルウェアをアクション (許可、ブロック、保留) ごとに表⽰できます。このグラフは、マルウェアの感染が過剰に許可されていないかどうかを検出するために使⽤します。
シグネチャごとのマルウェアアクティビティの推移
指定した期間に検出されたすべてのマルウェアをシグネチャごとに表⽰できます。Mal/Packer、LeakTest、EICAR-AV-Test、TROJ_JAVA.BYなどがシグネチャの例です。このグラフは、どの感染が環境内で優勢になっているかを検出するために使⽤します。
上位の感染 環境内の上位の感染をシグネチャごとに棒グラフで表⽰します。このパネルは特定のタイプのマルウェアの拡散を特定するのに役⽴ちます。
新しいマルウェア - 過去 30 ⽇間
ネットワーク上で過去 30 ⽇間に検出された新しいマルウェアを表⽰します。検出されたマルウェアのシグネチャごとに、最初に検出された⽇付と時刻、感染の総数が表⽰されます。最初の感染は拡散の可能性が⾼いと考えられます。
マルウェアサーチのダッシュボードマルウェアサーチのダッシュボード
マルウェアサーチのダッシュボードは、マルウェア関連のイベントをサーチフィルターで定義される基準に基づいてサーチするのに役⽴ちます。このダッシュボードはマルウェアデータのアドホックサーチで使⽤します。また、マルウェアセンターのダッシュボードパネルで使⽤されるドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルターの更新と時間範囲の選択の選択を⾏ってから [送信] をクリックした場合を除き、マルウェアサーチのダッシュボードには結果が表⽰されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
対処 マルウェアに対するアクション (許可、ブロック、保留) ごとにフィルタリング
ドロップダウン:フィルタリングの対象を選択
シグネチャ シグネチャ照合によってマルウェアをフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
ファイル ファイル名でフィルタリング テキストフィールドデフォルトは空⽩アス
37
ファイル ファイル名でフィルタリング タリスク (*) のあるワイルドカード⽂字列
宛先 エンドポイントシステムでフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
User ユーザー名でフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
マルウェア操作のダッシュボードマルウェア操作のダッシュボード
マルウェア操作のダッシュボードでは、環境内にデプロイされているエンドポイント保護製品のステータスを追跡できます。また、システムの全体的な健全性を把握できるほか、エンドポイント保護ソフトウェアの更新や変更が必要なシステムも特定できます。さらに、エンドポイント保護インフラの管理状態も確認できます。
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。新しいデータ⼊⼒は [設定] メニューから設定できます。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Securityのキーインジケーター」を参照してください。
製品バージョンごとのクライアント
インストールされているエンドポイント保護製品のバージョンごとにクライアントの件数を棒グラフで表⽰します。
シグネチャのバージョンごとのクライアント
シグネチャのバージョンごとにクライアントの件数を棒グラフで表⽰します。
感染の再発 再発しているマルウェア感染を表⽰します。シグネチャ、宛先、アクション、⽇数でソートします。
最も古い感染 環境内で最も古いマルウェア感染を表⽰します。感染が検出された⽇付 (最初または最後の⽇)、シグネチャ、宛先ホスト (感染しているシステム)、感染している⽇数でソートします。
システムセンターのダッシュボードシステムセンターのダッシュボード
システムセンターのダッシュボードには、デプロイされているウイルス対策やホストベースの IDS システムが報告する情報を超える、エンドポイントに関するさらなる情報が表⽰されます。ここでは、Splunk プラットフォームが収集したエンドポイントの統計値と情報が報告されます。メモリ使⽤量、CPU 使⽤量、ディスク使⽤量などのホストのパフォーマンス測定基準やシステム設定は、このダッシュボードに表⽰されます。
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。新しいデータ⼊⼒は [設定] メニューから設定できます。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリフィルタリングの対象ングの対象 説明説明 対処対処
宛先 影響を受けているエンドポイントシステムのホスト名
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
テキストフィールドデ38
ビジネスユニット ID を対象とするグループまたは部署の分類 フォルトは空⽩アスタ
リスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリングドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
オペレーティングシステム
ネットワークにデプロイされているオペレーティングシステムを表⽰します。このグラフでは、環境に存在すべきでないオペレーティングシステムを検出できます。
システムごとの上位平均 CPU 負荷 ネットワーク上で CPU の平均負荷が⾼いシステムを表⽰します。
システムの件数ごとのサービス システムの件数の順にサービスを表⽰します。
システムの件数ごとのポート システムの件数の順にトランスポート⽅法 (tcpなど) と宛先ポートを表⽰します。
注意注意:システムセンターのダッシュボードに誤ったデータや⽋損データが表⽰される場合は、このダッシュボードにデータを送信するテクノロジーアドオンがデプロイのフルフォワーダーにインストールされているか確認してください。データーのパーシングに関するナレッジが含まれるテクノロジーアドオンは、フルフォワーダーにインストールする必要があります。
タイムセンターのダッシュボードタイムセンターのダッシュボード
タイムセンターのダッシュボードでは時計の同期が正しくないホストが特定されるため、データの整合性を維持することに役⽴ちます。
時計が同期されていないシステムが発⾒されると、アラートが⽣成されます。この場合はダッシュボードのグラフの要素やテーブルの⾏をクリックすることで、raw データを徹底的に調査できます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
時間を同期するシステムだけを表⽰します。
true を選択すると、アセットテーブルで should_timesync=true に分類されているシステムがフィルタリングされ、false を選択すると、アセットテーブルで should_timesync=false に分類されているシステムがフィルタリングされます。アセットの設定についての詳細は『Splunk Enterprise Security の管理』の「SplunkEnterprise Security への新しいアセットやID リストの設定」を参照してください。
ドロップダウン:フィルタリングの対象を選択
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
時間同期の失敗 時間が同期されていないシステムの⼀覧
時間が同期されていないシステム
指定した時期に時計の同期を⾏わなかったシステムの⼀覧を表⽰します。
インデックス時間の遅延
ホストがイベントで記録するタイムスタンプと Splunk プラットフォームでイベントが発⽣した時刻の間に⼤きな誤差があるホストを表⽰します。たとえば、イベントのタイムスタンプが イベントのインデックス作成より後の場合、ホストは将来に発⽣するイベントのタイムスタンプを記録していることになります。時間的に⼤きな誤
39
差がある場合は、タイムゾーンが正しく認識されていないことになります。
タイムサービスのスタートモードの異常
他のホストにはないManual など、タイムサービスのスタートモードがあるホストを表⽰します。
エンドポイント変更のダッシュボードエンドポイント変更のダッシュボード
エンドポイント変更のダッシュボードでは、ファイルシステムとレジストリの変更を検知する Splunk の変更監視システムを使って、環境内のエンドポイントの変更とその傾向が表⽰されます。たとえば、エンドポイント変更を使って、セキュリティインシデントのサインとなる変更の急増を発⾒できます。
このダッシュボードのグラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
アクションごとのエンドポイントの変更
変更の推移を要約します。変更の⼤幅な増加は、エンドポイントでの変更の原因となるインシデント (ウィルスやワーム) の存在を⽰唆している場合があります。
タイプごとのエンドポイントの変更
ファイルやレジストリなどの変更など、エンドポイントで観察された変更のタイプを要約します。
システムごとの変更 変更をシステムごとに要約します。
エンドポイントの最近の変更 観察されたエンドポイントの変更のうち、最近のものを表⽰します。
アップデートセンターのダッシュボードアップデートセンターのダッシュボード
アップデートセンターのダッシュボードでは更新されていないシステムが表⽰されるため、システムに関する理解を深めることができます。システムが確実に更新されるよう、このダッシュボードを毎⽉確認することが推奨されます。
このダッシュボードのグラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。
フィルタを使って、表⽰させるイベントを整理します。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
更新するシステムだけを表⽰します
true を選択すると、アセットテーブルで should_update=true に分類されているシステムがフィルタリングされ、false を選択すると、アセットテーブルで should_update=false に分類されているシステムがフィルタリングされます。アセットの設定についての詳細は『Splunk Enterprise Security の管理』の「SplunkEnterprise Security への新しいアセットやID リストの設定」を参照してください。
ドロップダウン:フィルタリングの対象を選択
宛先 システムのホスト名
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ マルウェアのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
40
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
更新が必要な上位のシステム
更新のインストールが必要な上位のシステムの棒グラフ
必要な更新上位 シグネチャ (KB 番号など) でソートした必要な更新上位の棒グラフ
更新されていないシステム -30 ⽇以上
更新されない⽇数でソートした更新されていないシステム
更新サービスのスタートモードの異常
更新のスタートアップタスクやサービスが無効になっているすべてのシステムを表⽰します。再起動を加速化させるために⾃動更新を無効にした場合は、元に戻すのを忘れないようにしてください。
アップデートサーチのダッシュボードアップデートサーチのダッシュボード
アップデートサーチのダッシュボードには、パッケージやデバイスごとのパッチや更新が表⽰されます。このダッシュボードは特定のパッチがインストールたデバイスを特定するのに有⽤です。たとえば、パッチが原因で問題が発⽣し、そのパッチをインストールしたシステムを特定する必要がある場合に役⽴ちます。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を⾏ってから[送信] をクリックした場合を除き、アップデートサーチのダッシュボードには結果が表⽰されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
更新するシステムだけを表⽰します
true を選択すると、アセットテーブルでshould_update=true に分類されているシステムがフィルタリングされ、false を選択すると、アセットテーブルで should_update=false に分類されているシステムがフィルタリングされます。アセットの設定についての詳細は『SplunkEnterprise Security の管理』の「SplunkEnterprise Security への新しいアセットやIDリストの設定」を参照してください。
ドロップダウン:フィルタリングの対象を選択
更新ステータス マシンの更新ステータスでフィルタリング ドロップダウン:フィルタリングの対象を
選択
シグネチャ 特定の更新のシグネチャ (KB 番号など) でフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先 影響を受けているエンドポイントシステムでフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
アセットと ID のダッシュボードアセットと ID のダッシュボード
ID ドメインのダッシュボードでは、Splunk Enterprise Security で定義されているアセットと ID に関する情報が提供されます。アセットと ID の定義⼿順については『Splunk Enterprise Security の管理』の「アセットとID データを Splunk Enterprise Security に追加する」を参照してください。
アセットセンターのダッシュボードアセットセンターのダッシュボード
アセットセンターアセットセンターのダッシュボードを使って、Enterprise Security に追加されているアセットデータのオブジェクトを確認、サーチできます。アセットデータとは、組織内のホスト、IP アドレス、サブネットのリストのほか、それぞれのアセットに関する情報を指します。アセットリストでは、アセットの属性をインデックス済みイベントと相関させることで、アセットの場所や優先度といったコンテキストが提供されます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。
フィルタリングの対象フィルタリングの対象 説明説明
41
アセット 既知、または不明なアセット
優先度 アセットテーブルの優先度フィールドでフィルター
ビジネスユニット アセットのグループ、部による分類
カテゴリ アセットテーブルのカテゴリフィールドでフィルタリング
所有者 アセットテーブルの所有者フィールドでフィルタ
時間範囲 表⽰する時間範囲を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
優先度ごとのアセット
優先度ごとにアセットの数を表⽰します。ドリルダウンでは選択した優先度のサーチが開きます。
ビジネスユニットごとのアセット
ビジネスユニットごとにアセットの相対的な量を表⽰します。ドリルダウンでは選択したビジネスユニットのサーチが開きます。
カテゴリごとのアセット
カテゴリごとにアセットの相対的な量を表⽰します。ドリルダウンでは選択したカテゴリのサーチが開きます。
アセット情報
現在のダッシュボードフィルタに⼀致するすべてのアセットを表⽰します。「ip」、「nt_host」、「mac」または「dns」フィールドが選択されている場合、ドリルダウンではアセット調査のダッシュボードが開きます。その他のフィールドでは、選択したフィールドのサーチが開きます。
データソースデータソース
アセットセンターアセットセンターのダッシュボードのレポートは、アセットおよび ID データモデルのフィールドを参照します。該当するデータソースとしては、ルックアップ、スクリプト⼊⼒またはサーチの抽出データとして収集/ロードされたアセットと ID のリストが挙げられます。
ID センターのダッシュボードID センターのダッシュボード
ID センターID センターのダッシュボードを使って、Enterprise Security に追加された ID データのオブジェクトの⾒直しとサーチを実⾏できます。ID データとは、アカウント名、実名、ニックネーム、別名のリストのほか、それぞれの ID に関するその他の情報を指します。ID データは、ユーザー情報とインデックス済みイベントを相関させ、追加のコンテキストを⼊⼿するために使⽤されます。
ID センターでの ID のフィルタリングID センターでの ID のフィルタリング
ID センターのダッシュボードのフィルタは、キー=値のペアのサーチフィールドを使⽤します。ID をフィルタするには、⽂字列ではなく、キー=値のペアを⼊⼒します。
キー=値のペアの例は、「email=*acmetech.com」や「 nick=a_nickname」などです。
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。
フィルタリングの対象フィルタリングの対象 説明説明
ユーザー名 既知、または不明なユーザー
優先度 ID テーブルの優先度フィールドでフィルタ
ビジネスユニット ID を対象とするグループまたは部署の分類
カテゴリ ID テーブルのカテゴリフィールドでフィルタ
監視リストにある ID のみ ID テーブルで「監視リスト」としてタグ付き ID をフィルタ
時間範囲 表⽰する時間範囲を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
優先度ごとの ID 優先度ごとに ID の数を表⽰します。ドリルダウンでは選択した優先度のサーチが開きます。
ビジネスユニット ビジネスユニットごとに ID の相対的な量を表⽰します。ドリルダウンでは選択したビジネスユ
42
ユニットごとの ID ニットのサーチが開きます。
カテゴリごとの ID
カテゴリごとに ID の相対的な量を表⽰します。ドリルダウンでは選択したカテゴリのサーチが開きます。
ID 情報現在のダッシュボードフィルタに⼀致するすべてのアセットを表⽰します。identity フィールドを選択するとドリルダウンは ID 調査ダッシュボードを開きます。その他のフィールドでは、選択したフィールドのサーチが開きます。
データソースデータソース
ID センターID センターのダッシュボードのレポートは、アセットおよび ID データモデルのフィールドを参照します。該当するデータソースとしては、ルックアップ、スクリプト⼊⼒またはサーチの抽出データとして収集/ロードされたアセットと ID のリストが挙げられます。
セッションセンターのダッシュボードセッションセンターのダッシュボード
セッションセンターセッションセンターのダッシュボードでは、ネットワークセッションの概要が提供されます。ネットワークセッションは、DHCP や VPN サーバーが提供するセッションデータを使い、ネットワークアクティビティとをユーザーと相関させるために使⽤されます。セッションセンターを使ってセッションのログを確認し、セッションで使⽤された IP アドレスに紐付けられるユーザーやマシンを特定できます。ネットワークセッションデータモデルから、ネットワークセッションの情報を確認できます。または、Splunk UBA から、ユーザーとデバイスの対応付けを確認できます。
ダッシュボードパネルダッシュボードパネル
[ネットワークセッション] タブ:
パネルパネル 説明説明
セッションの推移
時間ごとのネットワークセッションの合計件数を表⽰します。ドリルダウンでは選択したセッションと時間範囲のサーチが開きます。
セッションの詳細
セッション開始時間に基づいて、直近に開かれたネットワークセッションの上位 1,000 件を表⽰します。ドリルダウンでは選択したセッションの詳細のサーチが開きます。
[ユーザ挙動分析(UBA)] タブ
パネルパネル 説明説明
割り当て済みエンティティのセッション
サーチフィルターに基づき、サーチしているデバイスに関連付けられたユーザーとデバイスのセッションを表⽰します。または、サーチしているユーザに関連付けられたデバイスを表⽰します。セッションをマウスオーバーすると、セッションのアクティビティの詳細を確認できます。
セッションの詳細
Splunk UBA からのエンティティ ID、エンティティの名前、タイプ、セッションの開始時刻と終了時刻、Splunk UBA からのイベントデータを表⽰します。⾏を展開して、詳細を確認できます。
Splunk UBA からのデータの確認についての詳細は、「Splunk UBA からのデータの Enterprise Security での表⽰」を参照してください。
ID のダッシュボードのトラブルシューティングID のダッシュボードのトラブルシューティング
ダッシュボードはさまざまなデータモデルのデータを参照します。適合するデータがない場合、パネルには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
アセットと ID の調査のダッシュボードアセットと ID の調査のダッシュボード
アセットと ID の調査のダッシュボードでは、カテゴリーごとに定義されるスイムレーンを使って、セキュリティ関連のイベントの推移が集計、可視化されます。スイムレーンには、認証、マルウェア、重要なイベントなど、イベントのカテゴリが表⽰されます。スイムレーンではヒートマップを使ってアクティビティの量が表⽰されます。スイムレーンの⾊の濃さは、それぞれの時点でのイベントの頻度に相当します。アクティビティの両が多い期間は濃い⾊で表⽰されます。イベントカテゴリでアクティビティを視覚的にリンクすることで、環境内のホストやユーザーのインタラクションを完全に表⽰できます。
アセット調査アセット調査
アセット調査のダッシュボードには、マルウェアや重要なイベントなど、事前に定義されているイベントカテゴリでの既知または不明なアセットに関する情報が表⽰されます。
アセット調査のダッシュボードの使⽤アセット調査のダッシュボードの使⽤
アセット調査のダッシュボードを使って、環境でのアセットのインタラクションをトリアージできます。
43
ダッシュボードには複数のイベントカテゴリが含まれ、それぞれが別のスイムレーンに表⽰されます。それぞれのイベントカテゴリには、データモデルに該当するイベントが含まれています。たとえば、マルウェア攻撃のスイムレーンには、サーチされているアセットに限定されたウィルス対策やその他のマルウェア関連のデータソースのイベントが表⽰されます。イベントカテゴリでアセットのアクションが追跡しやすくなるよう、複数のスイムレーンが⼀度に表⽰されます。
このダッシュボードはアドホックサーチにも使⽤できます。
1. [セキュリティー情報] > [ユーザーインテリジェンス] > [アセットインテリジェンス][セキュリティー情報] > [ユーザーインテリジェンス] > [アセットインテリジェンス] を閲覧します。2. サーチバーにホスト名または IP アドレスを⼊⼒します。ここではワイルドカードも使えます。3. 時間範囲を設定して[サーチ][サーチ] をクリックします。
アセット調査のためワークフローアセット調査のためワークフロー
アセット調査のワークフローを開始するには、送信元または宛先のネットワークアドレスを持つイベントを表⽰するダッシュボードで、ワークフローアクションを実⾏します。
1. ダッシュボードの上部にあるアセットの説明を⾒て、調査するアセットが表⽰されていることを確認します。スイムレーンに表⽰されるすべてのイベントは、選択したアセットのものに限定されます。
2. タイムレンジピッカーを使い、全体の時間範囲を必要な部分に絞ります。タイムスライダーを使うと、該当するイベントの期間やピーク時のイベント件数を分離できます。
3. [編集] メニューからスイムレーンを追加または変更します。たとえば、パケット分析ツールのアセットで収集したデータを表⽰するには、選択したコレクションを[デフォルト]からパケットの取得データを⽰す [プロトコルインテリジェンス] に変更します。「スイムレーンの編集」を参照してください。
4. 個々のイベントとグループ化されているイベントを確認します。イベントを選択した後はイベントパネルを使って、個々のイベントまたはグループ化されているイベントの共通のフィールドを調査できます。
5. 共有またはさらに調査したいイベントやパターンがある場合は、イベントパネルで実⾏できます。1. [サーチへ移動][サーチへ移動] をクリックし、選択したイベントのドリルダウンを表⽰します。2. [共有][共有] をクリックし、現在のビューの短縮リンクを取得します。3. [重要なイベントの作成][重要なイベントの作成] をクリックし、アドホックの重要なイベントを作成するためのダイアログ
ボックスを開きます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security での重要なイベントの⼿作業による作成」を参照してください。
データソースデータソース
アセット調査のダッシュボードのイベントカテゴリーには、アセットやホストのフィールドを含む複数のデータモデルのイベントが表⽰されます。時間の選択によっては、選択したアセットのイベントカテゴリで表⽰するデータがない場合があります。データモデルサーチが⼀致するイベントを返さない場合、スイムレーンには「サーチでは結果が返されませんでした」と表⽰されます。『Splunk Enterprise Security の管理』の「Splunk EnterpriseSecurity のダッシュボードのトラブルシューティング」を参照してください。
ID 調査ID 調査
ID 調査のダッシュボードには、変更の分析やマルウェアなど、事前に定義されたイベントカテゴリの既知または不明なユーザー ID に関する情報が表⽰されます。
ID 調査のダッシュボードの使⽤ID 調査のダッシュボードの使⽤
ID 調査のダッシュボードでは、環境でのユーザー ID のインタラクションをトリアージできます。
44
ダッシュボードには複数のイベントカテゴリが含まれ、それぞれが別のスイムレーンに表⽰されます。それぞれのイベントカテゴリには、データモデルに該当するイベントが含まれています。たとえば、マルウェア攻撃のスイムレーンには、サーチされたユーザー ID や認証情報に限定されたウィルス対策やその他のマルウェア関連のデータソースのイベントが表⽰されます。イベントカテゴリでユーザーのアクションが追跡しやすくなるよう、複数のスイムレーンが⼀度に表⽰されます。
このダッシュボードはアドホックサーチにも使⽤できます。
1. [セキュリティー情報] > [ユーザーインテリジェンス] > [ID 調査][セキュリティー情報] > [ユーザーインテリジェンス] > [ID 調査] を閲覧します。2. サーチバーにユーザーの認証情報を⼊⼒します。ここではワイルドカードも使えます。3. 時間範囲を設定して[サーチ] をクリックします。
ID 調査のワークフローID 調査のワークフロー
ID 調査のワークフローは、送信元または宛先のネットワークアドレスを持つイベントを表⽰するダッシュボードのワークフローアクションから開始されます。
1. ダッシュボードの上部にある ID の説明を⾒て、調査対象の ID が表⽰されていることを確認します。スイムレーンに表⽰されるすべてのイベントは、選択した ID のものに限定されます。
2. タイムレンジピッカーを使い、全体の時間範囲を必要な部分に絞ります。タイムスライダーを使うと、該当するイベントの期間やピーク時のイベント件数を分離できます。
3. [編集]メニューを使⽤してスイムレーンを追加または変更します。たとえば、ユーザーのアクティビティを監視するために収集された ID 情報を表⽰するには、選択するコレクションを[デフォルト]から [ユーザーアクティビティ] に変更します。「スイムレーンの編集」を参照してください。
4. 個々のイベントとグループ化されているイベントを確認します。イベントを選択した後はイベントパネルを使って、個々のイベントまたはグループ化されているイベントの共通のフィールドを調査できます。
5. 共有またはさらに調査したいイベントやパターンがある場合は、イベントパネルで実⾏できます。1. [サーチへ移動][サーチへ移動] をクリックし、選択したイベントのドリルダウンを表⽰します。2. [共有][共有] をクリックし、現在のビューの短縮リンクを取得します。3. [重要なイベントの作成][重要なイベントの作成] をクリックし、アドホックの重要なイベントを作成するためのダイアログ
ボックスを開きます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security での重要なイベントの⼿作業による作成」を参照してください。
データソースデータソース
ID 調査のダッシュボードのイベントカテゴリーには、ID またはユーザーのフィールドを含む複数のデータモデルのイベントが表⽰されます。選択した時間によって、ID のイベントカテゴリでデータが表⽰されない場合があります。データモデルサーチが⼀致するイベントを返さない場合、スイムレーンには「サーチでは結果が返されませんでした」と表⽰されます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
スイムレーンの編集スイムレーンの編集
[レーンの編集] のカスタムメニューを開くと、エンティティ調査のダッシュボードからスイムレーンの追加と削除ができます。エンティティ調査のダッシュボードは、アドオンにバンドルされている、または ES のコンテンツ管理を使って作成されたカスタムスイムレーンの追加に対応しています。詳細は『Splunk Enterprise Security の管理』の「Splunk Enterprise Security でのコンテンツ管理」を参照してください。
1. ダッシュボードの上部にある [編集][編集] を選択します。2. ラジオボタンで[カスタム]のコレクションを選択します。3. チェックボックスにチェックを⼊れ、ダッシュボードにスイムレーンを追加します。4. ダッシュボードからスイムレーンを削除する場合は、チェックボックスからチェックを外します。5. スイムレーンの隣にある⾊を選択して変更できます。6. XX をクリックすると編集メニューが閉じます。
スイムレーンの順番はダッシュボードで変更できるため、[レーンの編集] メニューは不要です。
1. スイムレーンのカテゴリを選択します。2. スイムレーンを希望する位置にドラッグアンドドロップします。
45
アセット調査には、プロトコルインテリジェンスコレクションにオプションで追加できるスイムレーンがあります。ここでは、パケット分析ツールを使って収集したアセットに関するデータが表⽰されます。ID 調査には、ユーザーアクティビティコレクションにオプションで追加できるスイムレーンがあります。ここでは、ID について収集したユーザーアクティビティの監視に関するデータを表⽰されます。
スイムレーン名スイムレーン名 アセットまたは ID のダッアセットまたは ID のダッシュボードシュボード 説明説明
すべての認証 両⽅ 認証データモデルのイベントを照合
すべての変更 両⽅ 変更分析データモデルのイベントを照合
脅威リストのアクティビティ 両⽅ 脅威リストデータモデルのイベントを照合
IDS 攻撃 両⽅ 侵⼊検出データモデルのイベントを照合
マルウェア攻撃 両⽅ マルウェアデータモデルのイベントを照合
重要なイベント 両⽅ 重要インデックスのイベントを照合
リスク修飾⼦ 両⽅ リスク分析データモデルのイベントを照合
DNS エラー アセットのみ ネットワーク解決 DNS データモデルのイベントを照合
クラウドメール アセットのみ メールデータモデルのイベントを照合
SSL の期限切れ証明書 アセットのみ 証明書データモデルのイベントを照合
HTTP エラー アセットのみ Web データモデルのイベントを照合
企業以外のメール ID のみ メールデータモデルのイベントを照合
企業のサイト外への Web アップロード ID のみ Web データモデルのイベントを照合
遠隔アクセス ID のみ 認証データモデルのイベントを照合
チケットアクティビティ ID のみ チケット管理データモデルのイベントを照合
監視リストサイト ID のみ Web データモデルのイベントを照合
アセット/ID 調査のダッシュボードのトラブルシューティングアセット/ID 調査のダッシュボードのトラブルシューティング
アセット/ID 調査のダッシュボードには、それぞれのスイムレーンに指定されているデータモデルのイベントが表⽰されます。データモデルサーチが⼀致するイベントを返さない場合、スイムレーンには「サーチでは結果が返されませんでした」と表⽰されます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
ユーザーアクティビティの監視ユーザーアクティビティの監視
ユーザーアクティビティユーザーアクティビティ
ユーザアクティビティユーザアクティビティのダッシュボードには、ウェブサイトの不審なアクティビティなど、リスクにつながる⼀般的なユーザーアクティビティを閲覧できるパネルが表⽰されます。リスクのスコアリングについての詳細は「Splunk Enterprise Security がリスクスコアを割り当てる⽅法」を参照してください。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使い、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリングの対象フィルタリングの対象 説明説明
UserUser 既知または不明な ID
ビジネスユニットビジネスユニット ID を対象とするグループまたは部署の分類
監視リストユーザー監視リストユーザー 監視される ID を指定
時間範囲時間範囲 表⽰する時間範囲を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインキーインジケータジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーイン
46
ジケータジケータ ジケーター」を参照してください。
ユーザーユーザーとリスクとリスクスコアスコア
リスクの⾼いユーザーの上位 100 名を表⽰します。インサイダーの脅威では、挙動に間接的でわずかな変化しか表れません。このパネルでは、組織にとって最⼤のリスクとなるユーザーに焦点を置くことができます。ドリルダウンでは ID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
企業のサ企業のサイト外へイト外への Webの Webアップアップロードロード
ユーザーによる⼤量のアップロードとダウンロードを表⽰します。アップロードとダウロードの異常なパターンは、データ漏えいを⽰唆している場合がありますドリルダウンでは ID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
企業以外企業以外のメールのメールアクティアクティビティビティ
企業以外のドメインと⼤量のメールアクティビティを実⾏しているユーザーの上位 100 名を表⽰します。⼤量のメールアクティビティのパターンは、データ漏えいを⽰唆している場合があります。ドリルダウンでは ID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
監視リス監視リストサイトトサイトのアクのアクティビティビティティ
ユーザーによる Web アクセスを表⽰します。職場のリソースやアセットを使⽤しながら Web サイトの特定のカテゴリにアクセスすることは、インサイダー脅威を⽰唆している場合があります。ドリルダウンでは ID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
遠隔アク遠隔アクセスセス
ユーザーによる遠隔アクセスの認証を表⽰します。ユーザーが遠隔アクセスサービスを使⽤しながら、リスクのある Web やメールのアクティビティを実⾏していることは、データ漏えいや認証情報の悪⽤を⽰唆している場合があります。ドリルダウンでは ID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
チケットチケットアクティアクティビティビティ
ユーザーによるチケットアクティビティを表⽰します。ユーザーが追加サービスや内部アクセスを提供するためのチケットを発⾏しながら、リスクのある Web やメールのアクティビティを実⾏していることは、データ漏えいや認証情報の悪⽤を⽰唆している場合があります。ドリルダウンではID 調査のダッシュボードが開き、選択したユーザーがサーチされます。
データソースデータソース
ユーザーアクティビティユーザーアクティビティのダッシュボードのレポートでは、複数のソースのデータフィールドが参照されます。関連するデータソースには、特定のユーザーを参照するプロキシサーバー、ゲートウェイ、ファイアウォール、その他のソースが含まれます。ダッシュボードでの表⽰させるには、 ID リストに新しいルックアップコンテンツとフィールドを追加する必要があります。追加のデータソースの⼀覧は、『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
アクセスの異常アクセスの異常
アクセスの異常アクセスの異常のダッシュボードには、異なるIPアドレスから同時に⾏われた認証の試みのほか、内部ユーザーの認証情報や場所に関連するデータを使⽤した異常な経路による通信が表⽰されます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。
フィルタリングの対象フィルタリングの対象 説明説明
対処対処 成功または失敗した認証の試み。
AppApp 認証データモデルのアプリケーションフィールド。
UserUser 既知または不明な ID
ビジネスユニットビジネスユニット ID を対象とするグループまたは部署の分類
時間範囲時間範囲 表⽰する時間範囲を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
地理的に異常なアクセス
異常な時間や距離で分離された複数の認証を試みたユーザーを表⽰します。地理的に離れた 2 つの場所からの通常のトランスポート⽅法による移動時間を下回る時間での認証は、認証情報の悪⽤を⽰唆している場合があります。ドリルダウンでアクセスサーチのダッシュボードを開き、選択したユーザーをサーチします。
同時アプリケーションアクセス
短時間内にユニークな IP アドレスから複数の認証を試みたユーザーが表⽰されます。この認証のパターンは、認証情報の共有や盗難を⽰唆している場合があります。ドリルダウンではアクセスサーチのダッシュボードにページがリダイレクトされ、選択したユーザーがサーチされます。
データソースデータソース47
アクセスの異常アクセスの異常のダッシュボードのレポートでは、認証データモデルのデータフィールドが参照されます。関連するデータソースには、特定のユーザーを参照するプロキシサーバー、ゲートウェイ、ファイアウォール、その他のソースが含まれます。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
トラブルシューティングトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュボードには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
リスク分析リスク分析
リスク分析リスク分析のダッシュボードには、リスクスコアでの最近の変更と、リスクスコアの⾼いオブジェクトが表⽰されます。アナリストはリスクスコアの相対的な変化を評価し、オブジェクトのリスクスコアの原因となっているイベントを調査できます。
リスク分析のダッシュボードを使って、オブジェクトのリスクスコアに対する変更の確認、リスク増加の原因の特定、追加の措置が必要かどうかの判断を⾏うことができます。
ダッシュボードフィルタダッシュボードフィルタ
リスク分析リスク分析のダッシュボードには、サーチと結果のフィルタリングを⾏うための任意のフィルタが⽤意されています。フィルタはダッシュボードのすべてのパネルに適⽤されるものの、セキュリティキーインジケータには適⽤されません。
フィルタリフィルタリングの対象ングの対象 説明説明
ソース リスク修飾⼦がある相関サーチでフィルタリング
リスクオブジェクト
リスク オブジェクト タイプを選択して⽂字列を⼊⼒しリスクオブジェクト別にフィルターします。リスクオブジェクトのタイプはデフォルトで [すべて][すべて] です。
リスク オブジェクトリスク オブジェクト フィルターは、指定したリスクオブジェクトリスクオブジェクトに関連しているすべてのフィールドを検索するためのアセットと ID テーブルに対するリバースルックアップを実⾏することで動作します。リバースルックアップにより検索されたすべての関連オブジェクトは、ダッシュボードに表⽰されます。たとえば、リスク オブジェクト タイプをシステムシステム、リスクオブジェクトリスクオブジェクトを 10.10.1.100 と⼊⼒した場合、アセットテーブルに対する逆引きルックアップで MAC アドレスが返されたとします。このとき、リスク分析リスク分析ダッシュボードにはアドレス10.10.1.100 と MAC アドレスに適⽤されたリスクスコアが表⽰されます。アセットテーブルに他のオブジェクトとの⼀致がなければ、リスク分析データモデルからの IP アドレスの⼀致のみが表⽰されます。
ダッシュボードパネルダッシュボードパネル
リスク分析のダッシュボードでは、リスクスコアの変化とその原因の分析に役⽴つビューを活⽤できます。フィルタを使い、ビューの表⽰を特定のオブジェクトやオブジェクトのグループに合わせて改善できます。また、ドリルダウンを使うと、データをイベントとして確認できます。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
リスク修飾⼦の推移
リスク修飾⼦に加えられた変更の推移を表⽰します。ダッシュボードのフィルタを使って、ビューの表⽰を特定のオブジェクトやオブジェクトのグループに合わせて変更できます。ドリルダウンでは、指定の時間範囲を対象とするリスクデータモデルのすべてのイベントのサーチが開きます。
オブジェクトごとのリスクスコア
リスクスコアの⾼いオブジェクトを表⽰します。ドリルダウンでは、指定の時間範囲を対象とする選択されたオブジェクトのサーチが開きます。
最も活発なソース
オブジェクトに対して最も⾼いリスクをもたらしている相関サーチを表⽰します。ドリルダウンでは選択したソースのサーチが開きます。
最近のリスク修飾⼦
リスクスコアの直近の変更、変更のソース、オブジェクトのテーブルを表⽰します。
ネットワークダッシュボードネットワークダッシュボード
ネットワーク保護ドメインでは、ルーター、スイッチ、ファイアウォール、IDS デバイスなどのネットワークベースのデバイスやのネットワークの詳細が提供されます。このドメインでは、全体的なトラフィック量、トラフィックの特定のパターン、トラフィックを発⽣させているデバイスやユーザー、ポートごとのトラフィックなど、ネットワークのすべてのトラフィックが集計されます。ネットワークの脆弱性スキャンの結果も表⽰されます。
48
トラフィックセンターのダッシュボードトラフィックセンターのダッシュボード
トラフィックセンタートラフィックセンターのダッシュボードでは、全体的なネットワークのトラフィックがプロファイリングされ、タイプの傾向やトラフィック量の変化の検出、変化の原因 (たとえば、特定のデバイスやポート) の分離に役⽴ちます。これは、トラフィックの増加がセキュリティの問題なのか、またはネットワークのサーバーやその他のデバイスの関係のない問題によって発⽣しているのかを判断する上で有⽤です。
フィルタを使って表⽰する項⽬を限定できます。[設定][設定] メニューで新しいデータ⼊⼒を設定するか、インシデンインシデントレビュートレビューから特定のネットワーク侵⼊イベントを直接サーチします。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
対処 ファイアウォール規則のアクションに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインジケータ過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk EnterpriseSecurity のキーインジケーター」を参照してください。
アクションごとのトラフィックの推移
ネットワークトラフィックをアクションごとに表⽰します。ドリルダウンではトラフィックサーチのダッシュボードにページがリダイレクトされ、選択したアクションと時間範囲がサーチされます。
プロトコルごとのトラフィックの推移
特定のプロトコルについて、⼀⽇当たりのイベント数を表⽰します。ドリルダウンではトラフィックサーチのダッシュボードにページがリダイレクトされ、選択したプロトコルと時間範囲がサーチされます。
上位のソース⼀定の期間での全トラフィック量の上位を占めるソースを、ピークのイベント⼀致となるスパークラインとともに表⽰します。ドリルダウンではトラフィックサーチのダッシュボードが開き、選択したソース IP と時間範囲がサーチされます。
スキャンアクティビティ (多数のシステム)
ポートスキャナや脆弱性スキャナからのネットワークアクティビティを表⽰し、こうしたスキャナの許可されていないインスタンスを特定します。ドリルダウンではトラフィックサーチのダッシュボードにページがリダイレクトされ、選択したソース IP と時間範囲がサーチされます。
トラフィックサーチのダッシュボードトラフィックサーチのダッシュボード
ネットワークプロトコルのデータのサーチに役⽴つトラフィックサーチトラフィックサーチのダッシュボードは、サーチフィルタで整理できます。このダッシュボードはネットワークデータのアドホックサーチで使⽤します。また、トラフィックセンターのダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を⾏ってから[送信] をクリックした場合を除き、トラフィックサーチトラフィックサーチのダッシュボードには結果が表⽰されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
対処 ファイアウォール規則のアクションに基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
ソース ソース IP または名前に基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先 宛先 IP または名前に基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
伝送プロトコル 伝送プロトコルに基づいてフィルタリング ドロップダウン:フィルタリングの対象を
選択
宛先ポート 宛先ホストのポートに基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
49
侵⼊センターのダッシュボード侵⼊センターのダッシュボード
侵⼊センター侵⼊センターでは、侵⼊検出システム (IDS) と親友防⽌システム (IPS) のデバイスデータからのすべてのネットワーク侵⼊イベントの概要が提供されます。このダッシュボードには IDS イベントの重⼤度と分量が表⽰されるため、IDS のアクティビティに関する報告に役⽴ちます。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
IDS のタイプ 指定した IDS のタイプに⼀致するイベントに基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
IDS のカテゴリ
ベンダー定義のカテゴリに⼀致するイベントに基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
重⼤度 イベントの重⼤度に基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインジケータ過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk EnterpriseSecurity のキーインジケーター」を参照してください。
重⼤度ごとの攻撃の推移
上位の攻撃の推移を重⼤度ごとに表⽰します。ドリルダウンでは侵⼊サーチのダッシュボードが開き、選択した重⼤度と時間範囲がサーチされます。
上位の攻撃 上位の攻撃を件数とシグネチャごとに表⽰します。ドリルダウンでは侵⼊サーチのダッシュボードが開き、選択したシグネチャがサーチされます。
スキャンアクティビティ (多数の攻撃)
⼀定の攻撃パターンを⽰しているソース IP を表⽰します。ドリルダウンでは侵⼊サーチダッシュボードが開き、選択したソース IP と時間範囲がサーチされます。
新しい攻撃 - 過去30 ⽇間
初めて特定された攻撃を表⽰します。新しい攻撃ベクトルは、新しいマルウェア感染など、特に新しい脅威の存在が原因でネットワークに変化が⽣じたことを⽰唆します。ドリルダウンで侵⼊サーチのダッシュボードを開き、選択したシグネチャと時間範囲をサーチします。
侵⼊サーチダッシュボード侵⼊サーチダッシュボード
侵⼊サーチ侵⼊サーチのダッシュボードは、攻撃や偵察関連のアクティビティなど、IDS 関連イベントのサーチをサーチフィルタで定義された基準に基づいて⾏う上で役⽴ちます。このダッシュボードはネットワークデータのアドホックサーチで使⽤します。また、侵⼊センターダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を⾏ってから[送信] をクリックした場合を除き、侵⼊サーチ侵⼊サーチのダッシュボードには結果が表⽰されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
IDS のカテゴリ
ベンダー定義のカテゴリに⼀致するイベントに基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
重⼤度 イベントの重⼤度に基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
シグネチャ IDS のシグネチャ名に基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
ソース ソース IP または名前に基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先 宛先 IP または名前に基づいてフィルタリング テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
50
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
脆弱性センターダッシュボード脆弱性センターダッシュボード
脆弱性センター脆弱性センターのダッシュボードでは、デバイスデータからの脆弱性イベントの概要が提供されます。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
重⼤度 イベントの重⼤度に基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ビジネスユニット ID を対象とするグループまたは部署の分類 テキストフィールドデフォルトは空⽩アス
タリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインジケータ過去 60 ⽇間のダッシュボードソースに該当するメトリックスを表⽰ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk EnterpriseSecurity のキーインジケーター」を参照してください。
上位の脆弱性
脆弱性スキャナが最も頻繁に報告した問題を表⽰します。問題が検出された回数ではなく、問題発⽣のユニーク件数がグラフに表⽰されるよう、報告された問題はホストごとに集計されます (同じのホストを複数回スキャンすると、そのたびに同じ脆弱性が検出されることが想定されるため)。ドリルダウンでは脆弱性サーチダッシュボードが開き、選択したシグネチャと時間範囲がサーチされます。
最も脆弱なホスト 問題の報告件数が多いホストを表⽰します。ドリルダウンでは脆弱性サーチダッシュボードが開き、選択した重⼤度、ホスト、時間範囲がサーチされます。
重⼤度ごとの脆弱性脆弱性スキャナによって割り当てられた重⼤度ごとに問題を表⽰します。脆弱性を個別に確認しても気づかない傾向を把握するのに役⽴ちます。ドリルダウンでは脆弱性サーチのダッシュボードが開き、選択した重⼤度と時間範囲がサーチされます。
新しい脆弱性
直近に発⾒された脆弱性と最初の発⾒⽇を表⽰します。調査の必要がある潜在攻撃のベクトルとして、ネットワークに出現した新しい問題を特定するに有⽤です。ドリルダウンでは脆弱性サーチダッシュボードが開き、選択したシグネチャと時間範囲がサーチされます。
脆弱性の操作のダッシュボード脆弱性の操作のダッシュボード
脆弱性の操作のダッシュボードでは、環境にデプロイされている脆弱性検出製品のステータスとアクティビティを追跡できます。このダッシュボードを使⽤すると、スキャンシステムの全体的な健全性の把握、⻑期的な問題の特定、脆弱性のスキャンが⾏われなくなったシステムの発⾒が可能になります。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類 テキストフィールドデフォルトは空⽩アス
タリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
スキャンアクティビティの推移
システムごとの脆弱性スキャンのアクティビティの推移を表⽰します。項⽬にマウスオーバーすると詳細が表⽰されます。ドリルダウンでは脆弱性サーチダッシュボードが開き、選択した時間範囲がサーチされます。
存在期間ごとの脆弱性
シグネチャ、宛先、イベント時間とともに、検出された脆弱性を存在期間ごとに表⽰します。項⽬をクリックすると、脆弱性のプロファイラに詳細が表⽰されます。ドリルダウンでは脆弱性サーチのダッシュボードが開き、選択したシグネチャまたは宛先ホストと時間範囲がサーチされます。
51
⼤きな脆弱性のスキャン
重⼤度が「⾼」の脆弱性のスキャンを表⽰します。ここにはシグネチャも含まれます。ドリルダウンでは脆弱性サーチのダッシュボードが開き、選択した宛先ホストと時間範囲がサーチされます。
脆弱性サーチのダッシュボード脆弱性サーチのダッシュボード
脆弱性サーチ脆弱性サーチのダッシュボードには、サーチフィルタで定義された基準に基づく脆弱性に関連するすべてのイベントのリストが表⽰されます。このダッシュボードは脆弱性データのアドホックサーチで使⽤します。また、脆弱性センターのダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタの更新と時間範囲の選択の選択を⾏ってから[送信] をクリックした場合を除き、脆弱性サーチ脆弱性サーチのダッシュボードには結果が表⽰されません。
フィルタリングのフィルタリングの対象対象 説明説明 対処対処
脆弱性のカテゴリ ベンダー定義のカテゴリに⼀致するイベントに基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
重⼤度 イベントの重⼤度に基づいてフィルタリング
ドロップダウン:フィルタリングの対象を選択
シグネチャ ベンダーのシグネチャ名に基づいてフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
参照 (bugtraq、cert、cve など)
共通のリファレンス標準に基づいてフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先 宛先 IP または名前に基づいてフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ネットワークのダッシュボードでのトラブルシューティングネットワークのダッシュボードでのトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュボードには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
Web センターとネットワーク変更のダッシュボードWeb センターとネットワーク変更のダッシュボード
Web センターWeb センター
Web センターのダッシュボードは、デプロイで Web トラフィックをプロファイルするために使⽤します。このダッシュボードでは、プロキシサーバーから収集された Web トラフィックに関する報告が⾏われます。過剰な帯域幅の使⽤やプロキシクライアントのためのコンテンツを送信しなくなったプロキシなど、潜在する問題の解決に役⽴ちます。Web センターを使って、クライアントがリクエストしているコンテンツのタイプや、それぞれのクライアントによる帯域幅の使⽤量をプロファルできます。
Splunk の [設定] で新しいデータ⼊⼒を設定するか、 インシデントレビューから特定のトラフィックイベントを直接サーチします。画⾯上部にあるフィルタで表⽰する項⽬を制限できます。フィルタはキーインジケータに適⽤されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーインジケータ過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk EnterpriseSecurity のキーインジケーター」を参照してください。
メソッドごとのイベントの推移
メソッド、またはクライアントによってリクエストされた HTTP メソッド (POST、GET、CONNECT など) ごとに、プロキシイベントの総数の推移を表⽰します。
52
ステータスごとのイベントの推移
ステータスまたは HTTP の応答のステータスごとに集計されたプロキシイベントの総数を表⽰します。
上位のソース
⼤量のネットワークトラフィックに関連しているソース⼤量のネットワークトラフィックを使⽤しているソース (ファイル共有ホストなど) や頻繁にリクエストされることで⼤量のトラフィックを発⽣している宛先 (YouTube や Pandora など) を特定するのに役⽴ちます。
上位の宛先
⼤量のネットワークトラフィックに関連している宛先⼤量のネットワークトラフィックを使⽤しているソース (ファイル共有ホストなど) や頻繁にリクエストされることで⼤量のトラフィックを発⽣している宛先 (YouTube や Pandora など) を特定するのに役⽴ちます。
Web サーチWeb サーチ
Web サーチWeb サーチのダッシュボードは、サーチフィルタで定義される基準に基づいて、注⽬すべき Web イベントをサーチするのに役⽴ちます。このダッシュボードは Web データのアドホックサーチで使⽤します。また、Webサーチのダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルターの更新と時間範囲の選択の選択を⾏ってから [送信] をクリックした場合を除き、Web サーチのダッシュボードには結果が表⽰されません。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
HTTP のメソッド HTTP のメソッドに基づいてフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
HTTP のステータス HTTP のステータスコードに基づいてフィルタリング
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
ソース ソース IP または名前に基づいてフィルタリングテキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
宛先 宛先 IP または名前に基づいてフィルタリングテキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
URL URL の詳細に基づいてフィルタリングテキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ネットワークの変更ネットワークの変更
ネットワークの変更のダッシュボードでは、お使いの環境におけるファイアウォールやその他のネットワークデバイス設定の変更を追跡できます。このダッシュボードはデバイスの問題解決に役⽴ちます。ファイアウォールやデバイスが頻繁に停⽌するのは、最近の設定の変更が原因です。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
時間範囲 表⽰する時間範囲を選択 ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
アクションごとのネットワークの変更
デバイスに加えられたすべての変更を変更のタイプごとに、またはデバイスが追加、削除、変更、変更されたかどうかを表⽰します。ドリルダウンでは「新規サーチ」のダッシュボードが開き、選択したアクションと時間範囲がサーチされます。
デバイスごとのネットワークの変更
変更されたデバイスと変更の件数を、変更の件数が多いデバイスでソートして表⽰します。ドリルダウンでは「新規サーチ」のダッシュボードが開き、選択したデバイスと時間範囲がサーチされます。
53
最近のネットワークの変更 直近のネットワークデバイスへの変更を最新の⽇付でまとめた表を表⽰します。
トラブルシューティングトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュボードには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
ポートとプロトコルトラッカーのダッシュボードポートとプロトコルトラッカーのダッシュボード
ポートとプロトコルトラッカーでは、Enterprise Security の [設定] > [データ強化] > [リスト/ルックアッ[設定] > [データ強化] > [リスト/ルックアップ]プ] で設定されるルールに基づいて、ポートとプロトコルのアクティビティが追跡されます。ルックアップテーブルは組織が許容するネットワークポートを指定します。このダッシュボードでポートごとの新たなアクティビティを確認することで、組織の⽅針に準拠していないデバイスを特定できるほか、禁⽌されているトラフィックの検出も可能です。
フィルタリンフィルタリングの対象グの対象 説明説明 対処対処
ビジネスユニット ID を対象とするグループまたは部署の分類
テキストフィールドデフォルトは空⽩アスタリスク (*) のあるワイルドカード⽂字列
カテゴリ ホストのカテゴリに基づいてフィルタリング ドロップダウン:フィルタリングの対象を選択
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
ポート/プロトコルプロファイラ
ポートのアクティビティが増加または減少しているかを評価するためのネットワークのトランスポート量とポートのアクティビティを表⽰します。承認されていないポートのアクティビティの急増は、感染といったネットワークデバイスの変化を⽰すことがあります。ドリルダウンでは「新規サーチ」のダッシュボードが開き、選択した伝送先のポートと時間範囲がサーチされます。
新しいポートのアクティビティ - 過去 7⽇間
トランスポートとポートのトラフィック通信の推移をまとめた表を表⽰します。ドリルダウンではトラフィックサーチのダッシュボードが開き、選択したトランスポートと時間範囲がサーチされます。
禁⽌されている/安全でないトラフィックの推移 - 過去 24時間
禁⽌されているポートのアクティビティの推移が表⽰されるため、承認されていないポートのアクティビティが増加、または減少しているかを把握できます。ドリルダウンでは「新規サーチ」のダッシュボードが開き、選択した伝送先のポートと時間範囲がサーチされます。
禁⽌されているトラフィックの詳細 - 過去 24 時間
禁⽌されているネットワークトラフィックのイベントの件数を表にまとめて表⽰します。ドリルダウンでは「新規サーチ」ダッシュボードが開き、選択したソース IP、宛先IP、トランスポート、ポート、時間範囲がサーチされます。
トラブルシューティングトラブルシューティング
このダッシュボードではさまざまなデータモデルのデータが参照されます。適合するデータがない場合、ダッシュボードには何も表⽰されません。『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
プロトコルインテリジェンスのダッシュボードプロトコルインテリジェンスのダッシュボード
プロトコルインテリジェンスは、⼀般的なネットワークプロトコルから収集された情報について報告を⾏うダッシュボードとサーチのコレクションです。これらのダッシュボードでは、システムやネットワークの HTTP、DNS、TCP/UDP、TLS/SSL、⼀般的なメールプロトコルに関する詳細を把握できます。
プロトコルインテリジェンスのダッシュボードはパケット キャプチャー データを使⽤します。パケットキャプチャデータには、通常はログファイルで収集されないセキュリティ関連の情報が含まれます。ネットワークプロトコルのデータの統合によって、セキュリティ関連の脅威の検出、監視、応答時のための追加のコンテキストの充実したソースが提供されます。
「Splunk Stream」などの App や「Splunk Add-on for Bro IDS」などからパケット キャプチャー データを取得します。該当するデータがない場合、ダッシュボードには何も表⽰されません。
Splunk Stream と Splunk Enterprise Security の統合に関する情報については、『インストールとアップグレード』マニュアルの「Splunk App for Stream の統合」を参照してください。Splunk Stream が対応しているプロトコルについては、Splunk Stream ユーザマニュアルの「対応プロトコル」を参照してください。
プロトコルセンタープロトコルセンター
54
プロトコルセンターのダッシュボードでは、セキュリティ関連のネットワークプロトコルのデータの概要が提供されます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表⽰されます。
ダッシュボードパネルダッシュボードパネル
パネパネルル 説明説明
キーキーインインジジケーケータタ
過去 48 時間のダッシュボードソースに該当するメトリックスを表⽰ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
プロプロトコトコルごルごとのとの接続接続
すべてのプロトコルの接続の合計の推移をプロトコルごとに表⽰します。プロトコルごとの接続の分布では、メールや HTML/SSL など、環境で最も多く使⽤されているプロトコルが表⽰されます。プロトコルが悪⽤されていると、サービスのタイプに不相応な数の接続が表⽰される場合があります。
プロプロトコトコルごルごとのとの使⽤使⽤量量
すべてのプロトコルトラフィックのバイト数の合計の推移をプロトコルごとに表⽰します。プロトコルごとの帯域幅の使⽤量は、ネットワークトラフィックの合計に対して⼀貫性を⽰します。プロトコルが悪⽤されていると、使⽤量に不相応なトラフィックの増加が⽰される場合があります。
上位上位の接の接続続ソーソースス
プロトコルトラフィックの送受信の合計ごとに、上位 10 件のホストの推移を表⽰します。⼤量の接続が認められるホストでは、⼤きな負荷、問題、または不審なアクティビティが発⽣している可能性があります。ドリルダウンではトラフィックサーチのダッシュボードにページがリダイレクトされ、選択したソース IP がサーチされます。
ウェウェルノルノウンウンポーポートのトの使⽤使⽤量量
プロトコルトラフィックの合計の推移を 1024 に該当するポートごとにソートして表⽰します。ポートごとの帯域幅の使⽤量は、ネットワークトラフィックの合計に対して⼀貫性を⽰します。ポートが悪⽤されていると、使⽤量に不相応な帯域幅の増加が⽰される場合があります。ドリルダウンではトラフィックサーチのダッシュボードにページがリダイレクトされ、選択したポートがサーチされます。
⻑い⻑い接続接続
3 分を超える TCP の接続を表⽰します。ホスト間の⻑い接続は、異常な、または不審なアクティビティを⽰唆している場合があります。ドリルダウンではトラフィックサーチのダッシュボードが開き、選択したイベントがサーチされます。
データソースデータソース
プロトコルセンタープロトコルセンターのダッシュボードのレポートでは、ネットワークトラフィックのデータモデルのフィールドが使⽤されます。関連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケット分析ツールで取得されたネットワークの TCP および UDP のプロトコルトラフィックを⽣成するすべてのデバイスやユーザーが含まれます。
トラフィックサイズ分析トラフィックサイズ分析
トラフィックサイズ分析トラフィックサイズ分析の ダッシュボードでは、トラフィックデータと統計データと⽐較して、環境内の通常の状態とは異なるトラフィックを発⾒できます。このダッシュボードは、ファイアウォール、ルーター、スイッチ、またはネットワークフローなど、すべてのトラフィックデータの要約が表⽰されます。
トラフィックデータのバイト⻑を調査し、リクエストごとのバイト数が⼤きい接続や⼩さいバイト数の⼤量の接続の試みを特定できます。グラフを使って、送信データの不審なパターンを発⾒できます。概要データを掘り下げ、異常なソース/宛先のトラフィックを特定します。
ダッシュボードフィルタダッシュボードフィルタ
フィルタを使って、ダッシュボードのトラフィックサイズのイベントリストを整理できます。
フィルフィルタリンタリングの対グの対
象象
説明説明
標準偏差指標
パーセンテージ (%)は、その数の標準偏差が選択された場合に、フィルタリングで除外されるデータを量を指します。表⽰されるユーザーエージェント⽂字列の数は、⾼い偏差の値を指定すると減少し、低い偏差の値を指定すると増加します。
時間範囲 表⽰する時間範囲を選択
⾼度な クリックすると、このダッシュボードでフィルタリングできるカテゴリイベントのリストが表⽰され
55
フィルタ
ます。詳細な情報は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security のパネル毎フィルタリングの設定」を参照してください。
ダッシュボードパネルダッシュボードパネル
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
異常なトラフィックサイズの推移
異常なトラフィックサイズの件数の推移を表⽰するグラフフィルタで選択した標準偏差 (デフォルトでは 2) を上回るトラフィックを、X 軸を時間、Y 軸を件数とする線グラフで表⽰します。
トラフィックサイズの詳細
それぞれのトラフィックイベントと、そのサイズ (バイト) などの関連する詳細を表⽰する表ソースIP アドレスから複数のイベントが発⽣している場合は、count 列に検出されたイベントの件数が表⽰されます。bytes 列には、表⽰されているトラフィックイベントの最⼩、最⼤、平均のバイト数が表⽰されます。Z はトラフィックイベントの標準偏差を⽰します。
DNS のアクティビティDNS のアクティビティ
DNS のアクティビティのダッシュボードには、監視されている DNS のインフラに関するデータの概要が表⽰されます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表⽰されます。
ダッシュボードパネルダッシュボードパネル
パネルパネル 説明説明
キーイキーインジンジケータケータ
過去 48 時間のダッシュボードソースに該当するメトリックスを表⽰ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
ユニーユニークソークソースごとスごとの上位の上位の応答の応答コードコード
ホストで観察された上位の DNS 応答コードを表⽰します。不明または利⽤不可能なドメインに対して⼤量の DNS クエリを⾏っているホストでは、⼤量の DNS ルックアップの失敗(⼀部は成功)が報告されます。このような DNS クエリのパターンは、データ漏えいの試み、または不審なアクティビティを⽰唆している場合があります。ドリルダウンではDNS サーチのダッシュボードが開き、選択した応答コードがサーチされます。
上位の上位のDNSDNSクエリクエリのソーのソースス
ネットワークでの DNS クエリの上位のソースを表⽰します。⼤量の DNS クエリを送信しているホストでは、不適切な設定、技術的な問題、不審なアクティビティが発⽣している可能性があります。ドリルダウンではDNS サーチのダッシュボードが開き、選択したソース IP アドレスがサーチされます。
上位の上位のDNSDNSクエリクエリ
DNS クエリクエリのリクエストの上位 10 件の推移を表⽰します。ドリルダウンではDNS サーチのダッシュボードが開き、クエリを⾏ったホストのアドレスがサーチされます。
ドメイドメインごとンごとのクエのクエリリ
ドメインでグループ化された最も頻繁なクエリを表⽰します。⾒慣れないドメインがネットワーク上のホストから⼤量のクエリを受信していると、データ漏えいの試みや不審なアクティビティが発⽣している可能性があります。ドリルダウンではDNS サーチのダッシュボードが開き、クエリを⾏ったドメインのアドレスがサーチされます。
最近の最近のDNSDNSクエリクエリ
最近の 50 件の DNS 応答のクエリを詳細とともに表⽰します。ドリルダウンではDNS サーチのダッシュボードが開き、選択したクエリのアドレスがサーチされます。
データソースデータソース
DNSのダッシュボードのレポートでは、ネットワーク解決のデータモデルのフィールドが使⽤されます。関連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケット分析ツールで取得されたネットワークの DNS のプロトコルトラフィックを⽣成するすべてのデバイスやユーザーが含まれます。
DNS サーチDNS サーチ
サーチフィルタにより DNS プロトコルのデータを整理できるため、DNS サーチのダッシュボードはプロトコルデータの検索に役⽴ちます。このダッシュボードは DNS データのアドホックサーチで使⽤します。また、DNS
56
ダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] をクリックした場合を除き、DNS サーチDNS サーチのページには結果が表⽰されません。
フィルタリングの対象フィルタリングの対象 説明説明
ソース ソース IP アドレス
宛先 宛先 IP アドレス
Query DNS クエリ
メッセージのタイプ DNS メッセージのタイプ:クエリ、応答またはすべて
応答コード DNS 応答のタイプ:すべて、すべてのエラー、⼀般的な応答コードのリスト
SSL のアクティビティSSL のアクティビティ
SSL のアクティビティSSL のアクティビティのダッシュボードには、 SSL を使⽤するトラフィックと接続の概要が表⽰されます。このダッシュボードでは、ペイロードを復号することなく、SSL で暗号化されたトラフィックを使⽤ごとに確認できます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表⽰されます。
ダッシュボードパネルダッシュボードパネル
パネパネルル 説明説明
キーキーインインジジケーケータタ
過去 48 時間のダッシュボードソースに該当するメトリックスを表⽰ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
共通共通名ご名ごとのとのSSLSSLのアのアククティティビビティティ
SSL 証明書の共通名 (CN) ごとにアウトバウンドの SSL 接続を表⽰します。⾒慣れないドメインがネットワーク上のホストから⼤量の SSL 接続を受信していると、データ漏えいの試みや不審なアクティビティが発⽣している可能性があります。ドリルダウンではSSL サーチのダッシュボードにページがリダイレクトされ、選択した共通名がサーチされます。
SSLSSLクラクラウドウドセッセッショションン
既知のクラウドサービスをとなる CN ごとに、アクティブなセッションの件数を表⽰します。CN はクラウドドメインのルックアップファイルに事前設定されているクラウドサービスのドメインのリストと⽐較されます。Enterprise Security でのルックアップの編集については、「Splunk EnterpriseSecurity の管理」の「Splunk Enterprise Security のルックアップの作成と管理」を参照してください。ドリルダウンではSSL サーチダッシュボードが開き、選択したソース IP と共通名がサーチされます。
最近最近ののSSLSSLセッセッショションン
最も新しい 50 件の SSL セッションを SSL キーに関する情報とともに表で表⽰します。ssl_end_time、ssl_validity_window および ssl_is_valid のフィールドでは⾊分けされたテキストが使⽤されているため、期限切れの証明書、期間が短い証明書、無効な証明書をすばやく特定できます。ドリルダウンではSSL サーチのダッシュボードにページがリダイレクトされ、選択したイベントの完全な詳細が表⽰されます。
データソースデータソース
SSL のアクティビティのダッシュボードのレポートでは、証明書データモデルのフィールドが使⽤されます。関連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケット分析ツールで取得されたネットワークの SSL のプロトコルトラフィックを⽣成するすべてのデバイスやユーザーが含まれます。
SSL サーチSSL サーチ
SSL プロトコルデータのサーチに役⽴つSSL サーチのダッシュボードは、サーチフィルタで整理できます。このダッシュボードは SSL プロトコルのデータのアドホックサーチで使⽤します。また、SSL アクティビティダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] をクリックした場合を除き、SSL サーチSSL サーチのページには結果が表⽰されません。
フィルタリングの対象フィルタリングの対象 説明説明
ソースソース ソース IP アドレス
宛先宛先 宛先 IP アドレス
57
件名/発⾏者の共通名件名/発⾏者の共通名 x.509 証明書の件名 または発⾏者のフィールドから取得した共通名
証明書のシリアル番号証明書のシリアル番号 x.509 証明書のシリアル番号のフィールド
証明書のハッシュ証明書のハッシュ x.509 証明書のシグネチャのフィールド
メールアクティビティメールアクティビティ
メールアクティビティメールアクティビティのダッシュボードには、監視されているメールのインフラに関するデータの概要が表⽰されます。ダッシュボードのサーチには、ダッシュボードタイムピッカーで選択した期間に基づいて結果が表⽰されます。
ダッシュボードパネルダッシュボードパネル
パネパネルル 説明説明
キーキーインインジジケーケータタ
過去 48 時間のダッシュボードソースに該当するメトリックスを表⽰ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
上位上位ののメーメールルソーソースス
メールプロトコルのトラフィックを多く発⽣しているホストを表⽰します。ホストがネットワークで過剰な量のメールを送信していると、異常な、または不審なアクティビティが発⽣している可能性があります。スパークラインで確認されるホストに周期性が認められる場合は、スクリプトによるアクションの可能性があります。ドリルダウンではメールサーチのダッシュボードが開き、選択したソース IP がサーチされます。
⼤容⼤容量量メーメールル
2MB を超えるメールを送信しているホストを表⽰します。⼤容量のメールを繰り返し送信するホストの存在は、不審なアクティビティやデータ漏えいを⽰唆している場合があります。ドリルダウンではメールサーチのダッシュボードが開き、選択したソース IP がサーチされます。
稀な稀な送信送信元元
メールをほとんど送信していない送信元のメールアドレスを表⽰します。サービスアカウントや⾮ユーザーのアドレスからメールが送信されている場合は、不審なアクティビティやフィッシングの試みが発⽣している可能性があります。ドリルダウンではメールサーチダッシュボードが開き、選択した送信元がサーチされます。
稀な稀な受信受信者者
メールをほとんど受信していない受信先のメールアドレスを表⽰します。サービスアカウントや⾮ユーザーのアドレスでメールが受信されている場合は、不審なアクティビティやフィッシングの試みが発⽣している可能性があります。ドリルダウンではメールサーチダッシュボードが開き、選択した受信先がサーチされます。
データソースデータソース
メールのダッシュボードのレポートでは、メールのデータモデルのフィールドが使⽤されます。関連するデータソースには、Splunk Stream や Bro ネットワークのセキュリティモニタなど、脆弱性スキャナやパケット分析ツールで取得されたネットワークのメールのプロトコルトラフィックを⽣成するすべてのデバイスやユーザーが含まれます。
メールサーチメールサーチ
メールプロトコルのデータのサーチに役⽴つメールサーチのダッシュボードは、サーチフィルターで整理できます。このダッシュボードはメールプロトコルのデータのアドホックサーチで使⽤します。また、メールアクティビティのダッシュボードパネルのドリルダウンサーチの第⼀の宛先でもあります。
ドリルダウンのアクションに応じて開かれた場合、もしくはフィルタおよび/または時間範囲を設定して [送信] をクリックした場合を除き、メールサーチメールサーチのページには結果が表⽰されません。
フィルタリングの対象フィルタリングの対象 説明説明
メールのプロトコルメールのプロトコル メール通信のプロトコル
ソースソース ソース IP アドレス
送信元送信元 送信元のメールアドレス
宛先宛先 宛先 IP アドレス
受信先受信先 受信先のメールアドレス
プロトコルインテリジェンスのダッシュボードでのトラブルシューティングプロトコルインテリジェンスのダッシュボードでのトラブルシューティング
プロトコルインテリジェンスのダッシュボードでは、「Splunk Stream」などの App や「Splunk Add-on forBro IDS」などからのパケットキャプチャデータが使⽤されます。適合するデータがない場合、ダッシュボードには何も表⽰されません。Splunk Stream と ES の統合についての概要は、『Enterprise Security のインストールとアップグレード』マニュアルの「Splunk Stream の統合」を参照してください。『Splunk Enterprise
58
Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
脅威インテリジェンスのダッシュボード脅威インテリジェンスのダッシュボード
脅威アクティビティ脅威アクティビティ
脅威アクティビティ脅威アクティビティのダッシュボードでは、脅威インテリジェンスソースのコンテンツと Splunk Enterprise のイベントが照合され、脅威のアクティビティに関する情報が提供されます。
ダッシュボードフィルタダッシュボードフィルタ
⽤意されているダッシュボードフィルタを使って、ダッシュボードパネルに表⽰される結果を整理できます。フィルタは、セキュリティのキーインジケータには適⽤されません。
フィルタリフィルタリングの対象ングの対象 説明説明
脅威グループ マルウェアドメインなどの既知の脅威である、名前のあるグループやエンティティ
脅威のカテゴリ APT、⾦銭的な脅威、バックドアなどの脅威のカテゴリ
サーチ 以下の各フィールドに関連する値のサーチで使⽤:宛先、ソースタイプ、ソース、脅威コレクション、脅威コレクションキー、脅威キー、脅威マッチフィールド、脅威マッチ値
時間範囲 表⽰する時間範囲を選択
ダッシュボードパネルダッシュボードパネル
パネパネルル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
脅威アクティビティの推移
選択した時間のすべての脅威コレクションごとにイベントの件数を表⽰します。ドリルダウンでは、指定した時間内で選択した脅威コレクションのサーチが開きます。脅威のコレクションの確認については、『Splunk Enterprise Security の管理』の「Splunk Enterprise Security がサポートしている脅威インテリジェンス」を参照してください。
活発な脅威のコレクション
指定した時間でのイベントの⼀致ごとに上位の脅威コレクションを表⽰します。ピークのイベント⼀致となるスパークラインも表⽰します。ドリルダウンでは選択した脅威コレクションのサーチが開きます。
活発な脅威ソース
指定した時間での上位の脅威ソースをイベント件数の⼀致ごとに表⽰します。ドリルダウンでは選択した脅威ソースのサーチが開きます。
脅威アクティビティの詳細
最近の脅威の⼀致の詳細を表⽰します。脅威アクティビティの詳細脅威アクティビティの詳細のイベント選択ボックスを⾼度⾼度なフィルタなフィルタオプションと使⽤することで下記を実⾏できます。
threat_match_value によってホワイトリストに登録して⼀致を除外特定の threat_match_value の⼀致を選択し、テーブルの最上部に表⽰
データソースデータソース
脅威アクティビティ脅威アクティビティのダッシュボードのレポートでは、脅威インテリジェンスデータモデルのフィールドが使⽤されます。関連するデータソースには、 threat_activity インデックスの脅威ソースのイベントの⼀致のほか、関係する脅威のアーティファクトが含まれます。『Splunk Enterprise Security の管理』の「Splunk EnterpriseSecurity のダッシュボードのトラブルシューティング」を参照してください。
脅威のアーティファクト脅威のアーティファクト
59
脅威のアーティファクト脅威のアーティファクトのダッシュボードは、脅威のダウンロード源から得られたコンテンツを確認、調査できる唯⼀の場所です。ここではユーザー指定の脅威のソースやアーティファクトに関するすべての脅威情報が表⽰され、追加のコンテキストが提供されます。
このダッシュボードには、脅威に関するコンテンツを分離できる複数のフィルターやタブがあります。
まずは脅威のアーティファクト脅威のアーティファクトを変更し、脅威のアーティファクトのタイプを選択します。
フィルタリングのフィルタリングの対象対象 説明説明
脅威のアーティファクト
ネットワーク、ファイル、サービスなど、脅威コレクションでグループ化されたオブジェクトのコレクション
選択によって、その他の利⽤できるフィルタは変更されます。
脅威のアー脅威のアーティファクトティファクト
の選択の選択
テキストによるフィルタリンテキストによるフィルタリング:デフォルトは(* ) ワイルドグ:デフォルトは(* ) ワイルド
カードカードドロップダウンでのフィルタリングドロップダウンでのフィルタリング
脅威 ID マルウェアのエイリアス、IntelSource ID、Intel Source Path 脅威カテゴリ、脅威グループ
ネットワーク IP / ドメインHTTPリファラ、ユーザーエージェント、クッキー、ヘッダ、データ、またはURLから選択し、サーチ⽂字列を追加
ファイル ファイル名、ファイル拡張⼦、ファイルパス、ファイルのハッシュ
レジストリ ハイブ、パス、キーの名前、値の名前、値のタイプ、値のテキスト
サービス 名前、説明の名前、説明、タイプ
User ユーザー、フルネーム、グループ名、説明
プロセス プロセス、プロセス引数、ハンドルネーム、ハンドルタイプ
証明書 シリアル番号、件名、発⾏者、有効期限、発効⽇
メール アドレス、件名、本⽂
タブを使って脅威ソースのコンテキストを確認:
タブタブ パネルパネル
脅威の概要
エンドポイントのアーティファクト、ネットワークのアーティファクト、メールのアーティファクト、証明書のアーティファクト
ネットワーク HTTP インテリジェンス、IP インテリジェンス、ドメインインテリジェンス
エンドポイント
ファイルインテリジェンス、レジストリインテリジェンス、プロセスインテリジェンス、サービスインテリジェンス、ユーザーインテリジェンス
証明書 証明書インテリジェンス
メール メールインテリジェンス
データソースデータソース
脅威のアーティファクト脅威のアーティファクトのダッシュボードでは、脅威コレクション KVStore のフィールドが参照されます。関連するデータソースとしては、STIX や OpenIOC ⽂書などの脅威ソースが挙げられます。
トラブルシューティングトラブルシューティング
このダッシュボードでは、脅威インテリジェンスの KVStore コレクションのデータが参照されます。適合するデータがない場合、ダッシュボードパネルには何も表⽰されません。ダッシュボードにデータが表⽰されない理由を調べる場合は、以下の⼿順に従ってください。
1. 脅威インテリジェンスのダウンロード脅威インテリジェンスのダウンロードと脅威インテリジェンスマネージャー脅威インテリジェンスマネージャーのページで⼊⼒が正しく設定されていることを確認してください。これらの⼊⼒では、脅威ソースから取得したデータが KVStore コレクションに保存されます。
2. 脅威インテリジェンスの監査脅威インテリジェンスの監査のダッシュボードパネルの脅威インテリジェンスの監査イベントでモジュール⼊⼒が作成したログを確認してください。
詳細は『Splunk Enterprise Security の管理』の「Splunk Enterprise Security のダッシュボードのトラブルシューティング」を参照してください。
Web インテリジェンスのダッシュボードWeb インテリジェンスのダッシュボード
60
Web インテリジェンスWeb インテリジェンスのダッシュボードでは、潜在する執拗な脅威を特定できます。
HTTP カテゴリ分析のダッシュボードHTTP カテゴリ分析のダッシュボード
HTTPカテゴリ分析HTTPカテゴリ分析のダッシュボードでは、トラフィックデータのカテゴリが表⽰されます。このダッシュボードは、ファイアウォール、ルーター、スイッチ、またはネットワークフローなど、すべてのトラフィックデータの要約が表⽰されます。
統計データを⽐較して、トラフィックの外れ値や通常は⾒られないトラフィックを特定できます。標準から外れるカテゴリのカウント (過剰または過少) に注⽬します。これは脅威を⽰唆している可能性があります。トラフィック量が少ないアクティビティを⾒つけ、要約データからドリルダウンしてイベントを調査します。スパークラインを使⽤すると、不審なアクティビティのパターンをカテゴリごとに特定できます。
不明なトラフィックカテゴリ不明なトラフィックカテゴリ
HTTP カテゴリ分析HTTP カテゴリ分析のダッシュボードの [不明なカテゴリのみを表⽰] フィルタで Web トラフィックをフィルタリングし、不明なカテゴリだけを表⽰します。
不明なトラフィックをフィルタリングする前に不明なカテゴリを定義する必要があります。
1. [設定] > [タグ][設定] > [タグ] を選択します。2. [タグ名別表⽰][タグ名別表⽰] をクリックします。3. DA-ESS-NetworkProtection の App コンテキストApp コンテキスト、または TA-websense などの関連するネットワーク
アドオンを選択します。4. [新規][新規] をクリックします。5. unknownのタグ名タグ名を⼊⼒します。6. [フィールド値ペア][フィールド値ペア] を⼊⼒して不明なトラフィックとして定義します。
例:category=undetected
7. [保存][保存] をクリックします。
ダッシュボードフィルタダッシュボードフィルタ
フィルタはHTTP カテゴリリストの整理に役⽴ちます。
フィルフィルタリンタリングの対グの対
象象
説明説明
時間範囲 表⽰する時間範囲を選択
⾼度なフィルタ
クリックすると、このダッシュボードでフィルタリングできるカテゴリイベントのリストが表⽰されます。詳細な情報は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security のパネル毎フィルタリングの設定」を参照してください。
ダッシュボードパネルダッシュボードパネル
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。
パネパネルル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
カテゴリの分布
count を X 軸、 src_countを Y 軸として、カテゴリのカウントを散布図で表⽰します。フィルタまたは時間範囲の変更よってグラフが更新されます。項⽬にマウスオーバーすると詳細が表⽰されます。
カテゴリの詳細
過去 24 時間でのHTTP カテゴリのアクティビティを⽰すスパークラインなど、HTTP カテゴリの詳細を表⽰します。
HTTP ユーザーエージェント分析のダッシュボードHTTP ユーザーエージェント分析のダッシュボード
HTTP ユーザーエージェント分析HTTP ユーザーエージェント分析のダッシュボードでは、プロキシデータのユーザーエージェント⽂字列を調査して、脅威の可能性を特定できます。
ブラウザ名のスペルミス (Mozzila など)や完全に間違ったバージョン番号 (v666 ) を含む不正なユーザーエージェント⽂字列は、攻撃や脅威を⽰唆している場合があります。⻑いユーザーエージェント⽂字列は、多くの場合に悪意あるアクセスのサインです。標準的な⻑さから外れる (⻑い、または短い) ユーザーエージェント⽂字列は脅威の可能性があるため、監視と評価が必要になります。
61
ここでは⾼度なフィルタを使って、特定のユーザーエージェントをブラックリストやホワイトリストに登録できます。また、統計情報を使って外れ値を視覚的に特定できます。コマンドと制御 (C&C) のアクティビティを⾏うユーザーエージェントを概要データを使って評価することで、予期しない HTTP 通信のアクティビティを発⾒できます。
ダッシュボードフィルタダッシュボードフィルタ
ダッシュボードには、ユーザーエージェントのリストの整理に役⽴つたくさんのフィルタがあります。
フィルフィルタリンタリングの対グの対
象象
説明説明
標準偏差指標
パーセンテージ (%)は、その数の標準偏差が選択された場合に、フィルタリングで除外されるデータを量を指します。表⽰されるユーザーエージェント⽂字列の数は、⾼い偏差の値を指定すると減少し、低い偏差の値を指定すると増加します。
時間範囲 表⽰する時間範囲を選択
⾼度なフィルタ
クリックすると、このダッシュボードでフィルタリングできるカテゴリイベントのリストが表⽰されます。詳細な情報は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security のパネル毎フィルタリングの設定」を参照してください。
ダッシュボードパネルダッシュボードパネル
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。「Splunk Enterprise Security のキーインジケーター」を参照してください。
ユーザーエージェントの分布
length を X 軸、count を Y 軸として、ユーザーエージェント⽂字列を散布図で表⽰します。フィルタまたは時間範囲の変更よってグラフが更新されます。項⽬にマウスオーバーすると raw データの詳細が表⽰されます。
ユーザーエージェントの詳細
ユーザーエージェントの⽂字列の値のほか、過去 24 時間のユーザーエージェント⽂字列を対象としたアクティビティを⽰すスパークラインなど、環境内のユーザーエージェントの詳細を表⽰します。
新規ドメイン分析のダッシュボード新規ドメイン分析のダッシュボード
新規ドメイン分析新規ドメイン分析のダッシュボードには、環境内の新しいドメインが表⽰されます。これらのドメインは新しく登録されたものや ES が初めて認識したものです。パネルには、新規ドメインアクティビティのイベント、存在期間ごとの新規ドメインアクティビティ、トップレベルドメイン(TLD)ごとの新規ドメインアクティビティ、これらのドメインの登録の詳細が表⽰されます。
ここでは、最近登録されたドメインと通信しているホストを確認できます。また、存在期間のパネルでは、新規ドメインアクティビティで新しく登録されたドメインに活発にダイレクトされている外れ値を確認できます。TLDパネルでは、新規ドメインアクティビティにあるトップレベルドメインの想定外なアクティビティを特定できます。件数の多い新しいドメインを調査することで、アクティブなトロイの⽊⾺やボットネットなど、悪意ある脅威がネットワークに存在しないかどうかを確認できます。
ダッシュボードフィルタダッシュボードフィルタ
ダッシュボードには、表⽰するドメインのリスト整理に役⽴つ多くのフィルタがあります。
フィルフィルタリンタリングの対グの対
象象
説明説明
ドメイン ドメイン (アクセス、エンドポイント、ネットワーク) を⼊⼒します。
新規ドメインタイプ
新規登録新規登録または新規発⾒新規発⾒を選択し、表⽰するドメインのタイプをフィルタリングします。
最⻑存在期間(⽇数)
新規発⾒/新規登録ドメインの時間範囲デフォルトは 30 ⽇間です。
62
時間範囲 表⽰する時間範囲を選択
⾼度なフィルタ
クリックすると、このダッシュボードでフィルタリングできるカテゴリイベントのリストが表⽰されます。詳細な情報は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security のパネル毎フィルタリングの設定」を参照してください。
ダッシュボードパネルダッシュボードパネル
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
新規ドメインアクティビティ 新規ドメインのアクティビティに関する情報のテーブルビュー
存在期間ごとの新規ドメインアクティビティAge を X 軸、 Count を Y 軸として表⽰する散布図図にマウスオーバーすると、存在期間と新規ドメインの数が表⽰されます。
TLDごとの新規ドメインアクティビティ(TLD = トップレベルドメイン)
Count を X 軸、TLD を Y 軸とする棒グラフグラフにマウスオーバーすると、トップレベルドメインの最新のイベント件数が表⽰されます。
登録の詳細新規ドメインの登録情報に関する情報のテーブルビューテーブルのドメインをクリックするとそのドメインのサーチが開き、raw イベントが表⽰されます。
WHOIS データのための外部 API の設定WHOIS データのための外部 API の設定
新規ドメイン分析新規ドメイン分析のダッシュボードのデータを表⽰するには、外部ドメインのルックアップデータソースとの接続を設定する必要があります。モジュール⼊⼒の設定と有効化が完了するまで、このダッシュボードではドメインが新しく認識されたをものかどうかだけが報告されます。
ドメインのルックアップは、WHOIS データに有料の API を提供する外部のドメインソースの domaintools.comを使⽤します。
1. domaintools.com アカウントにサインアップしてください。2. サイトから、API のホスト名と API アクセスのための認証情報を取得します。API アクセスの認証情報は、
ご使⽤中のメールアドレスとは異なります。
Splunk Enterprise Security では、API 情報を使ってモジュール⼊⼒を設定します。
1. ES メニューバーから、[設定] > [データ強化] > [WHOIS 管理][設定] > [データ強化] > [WHOIS 管理] を選択します。2. whois_domaintoolswhois_domaintoolsの隣にある [有効][有効] をクリックします。3. モジュール⼊⼒の名前をクリックし、domaintools API にアクセスするための API のホスト名とユーザー
名を追加します。4. 認証情報管理ビューで API の認証情報を保存します。「Splunk Enterprise Security の⼊⼒認証情報の管
理」を参照してください。
注意注意: モジュール⼊⼒を有効にするまで、⼊⼒によって処理されるドメインはキューに⼊りません。これにより、チェックポイントディレクトリがファイルでいっぱいになるのが防⽌されます。
モジュール⼊⼒を有効にしたら、outputcheckpoint_whois マクロを有効にしてチェックポイントデータを作成します。
1. [設定] > [全般] > [全般設定][設定] > [全般] > [全般設定] を選択します。2. ドメイン分析ドメイン分析 設定で 有効有効 を選択して WHOIS トラッキングを選択します。
モジュール⼊⼒では、情報が whois_tracker.csv ルックアップファイルに保存されます。$SPLUNK_HOME/var/lib/splunk/modinputs/whois ディレクトリにファイルが保存されると、 whois インデックスへのデータの追加が開始されます。処理が終わると、チェックポイントファイルが削除されます。
URL ⻑の分析のダッシュボードURL ⻑の分析のダッシュボード
URL ⻑の分析URL ⻑の分析のダッシュボードでは、URL ⽂字列情報を含むプロキシまたは HTTP データが分析されます。このダッシュボードでは、ファイアウォール、ルーター、スイッチ、ネットワークフローなど、URL の⽂字列やパスの情報を含むすべてのトラフィックデータが要約、表⽰されます。
ここでは URL を統計的に⽐較することで外れ値を特定できます。リファラのない⻑い URL を調査します。SQL インジェクション⽤の埋め込まれた SQL コマンド、クロスサイトスクリプティング (XSS)、埋め込まれたコマンドと制御 (C&C) の指⽰、その他の悪意あるコンテンツを含む異常に⻑い URL を検索します。ここでは詳細テーブルを使って、URL と通信しているアセットの数を確認できます。
キーインジケータを使って新しい URL を⽐較し、通常では⾒られない異常な URL ⽂字列を特定します。通常の⻑さ(通常より⻑い、または短い)に当てはまらない URL は、脅威である可能性があります。⾒慣れない送信元
63
や宛先との間での異常に⻑い URL パスは、多くの場合に悪意あるアクセスのサインであり、調査が必要です。
ダッシュボードフィルタダッシュボードフィルタ
フィルタを使って、ダッシュボードに表⽰される URL ⻑のインベントを整理できます。
フィルフィルタリンタリングの対グの対
象象
説明説明
標準偏差指標
パーセンテージ (%)は、その数の標準偏差が選択された場合に、フィルタリングで除外されるデータを量を指します。表⽰されるユーザーエージェント⽂字列の数は、⾼い偏差の値を指定すると減少し、低い偏差の値を指定すると増加します。
時間範囲 表⽰する時間範囲を選択
⾼度なフィルタ
クリックすると、このダッシュボードでフィルタリングできるカテゴリイベントのリストが表⽰されます。詳細な情報は、「Splunk Enterprise Security の管理」の「Splunk Enterprise Security のパネル毎フィルタリングの設定」を参照してください。
ダッシュボードパネルダッシュボードパネル
グラフの要素やテーブルの⾏をクリックすると、raw イベントが表⽰されます。この機能についての詳細は、「raw イベントへのドリルダウン」を参照してください。下記の表はこのダッシュボードのパネルについての説明です。
パネルパネル 説明説明
キーインジケータ
過去 48 時間のダッシュボードソースに関するメトリックスを表⽰。ダッシュボードの上部にあるキーインジケータにはサマリー情報が表⽰されます。このマニュアルの「Splunk EnterpriseSecurity のキーインジケーター」を参照してください。
異常なURL ⻑の推移
異常な URL ⻑の件数の推移を表⽰するグラフフィルタで選択した標準偏差 (デフォルトでは 2) を上回る URL ⻑を、X 軸を時間、Y 軸を件数とする線グラフで表⽰します。
URL ⻑の詳細
URL⽂字列のほか、完全な URI ⽂字列などの詳細を表⽰する表ソース IP アドレスから複数のイベントが発⽣している場合は、count 列に検出されたイベントの件数が表⽰されます。Z は URL ⻑の標準偏差を⽰します。
64
同梱されているアドオン同梱されているアドオンEnterpr ise Secur ity の Splunk UBA のデータ表⽰Enterpr ise Secur ity の Splunk UBA のデータ表⽰
Splunk Enterprise Security と Splunk User Behavior Analytics (UBA) を統合すると、App は情報を共有でき、環境に存在し、組織が直⾯しているさまざまな種類のセキュリティ脅威を特定できます。
Splunk UBA から Splunk Enterprise Security に脅威と異常を送り、リスクスコアを調整して重要なイベントを作成します。Splunk UBA から Splunk Enterprise Security に相関サーチ結果を送り、異常の処理を⾏います。Splunk UBA からユーザーとデバイスの組み合わせデータを取得し、Splunk Enterprise Security で表⽰します。特定のセッションの最中にデバイスに割り当てられたユーザーアカウントや他のデバイスと、特定のセッションの最中にユーザーに割り当てられたデバイスを特定します。
Enterprise Security では、Splunk UBA からのデータをさまざまな場所に表⽰できます。
UBA の異常のダッシュボードでの異常の表⽰。脅威と異常スイムレーンのアセットダッシュボードと ID 調査ダッシュボードでの表⽰。セッションに関連するユーザーとデバイス割り当てデータのセッションセンターダッシュボードでの表⽰。
「Splunk UBA 向けの Splunk アドオン」の「Splunk Enterprise Security と Splunk UBA の統合」を参照してください。
セキュリティ体制とインシデントレビューでの脅威の表⽰セキュリティ体制とインシデントレビューでの脅威の表⽰
Splunk UBA から Splunk Enterprise Security に送られた脅威は、インシデントレビューとセキュリティ体制ダッシュボードでは重要なイベントとして現れます。セキュリティ体制ダッシュボードで、脅威から作成された重要なイベントの数を重要セキュリティ指標 (KSI) として確認できます。
インシデントレビューでは、イベントの詳細を展開し、説明、脅威のカテゴリ、Splunk UBA を参照した相関サーチ、他の詳細を確認できます。イベントに対してワークフローアクションを使⽤し、影響ある異常を表影響ある異常を表⽰⽰し、Splunk UBA の脅威の詳細ページを開きます。Splunk UBA『ユーザー』マニュアルの「脅威の詳細」を参照してください。
UBA の異常のダッシュボードでの異常の表⽰UBA の異常のダッシュボードでの異常の表⽰
UBA 異常ダッシュボードを使い、Enterprise Security の Splunk UBA から異常を確認し、環境における異常な活動への理解を深めることができます。[セキュリティインテリジェンス] > [ユーザインテリジェンス] >[セキュリティインテリジェンス] > [ユーザインテリジェンス] >[UBAの異常] [UBAの異常] を選択し、ダッシュボードを表⽰します。
さまざまなメトリックスの件数の過去 48 時間の推移をキーインジケータを使って確認します。UBA 重要項⽬、UBA 異常アクター、UBA 異常シグネチャ、脅威ごとの UBA 異常、UBA 異常の総数を確認します。異常の推移異常の推移パネルでは、異常なアクティビティの急増を調査し、アクターの数を異常の数と⽐較できます。最も活発なシグネチャ最も活発なシグネチャパネルでは、最も頻繁に発⽣している異常のタイプを特定できます。最も活発なアクター最も活発なアクターパネルでは、最も頻繁に発⽣している異常アクティビティの原因となっているユーザー、デバイス、App や他のアクターを特定できます。最近の UBA の異常最近の UBA の異常パネルでは、最新の異常アクティビティを特定できます。
ダッシュボードの値クリックして Splunk UBA の異常の表⽰すると、サーチを開始できます。特定の異常イベントのイベントアクションを使って要因となる異常を表⽰要因となる異常を表⽰し、Splunk UBA を開いて異常の詳細異常の詳細ビューを表⽰します。詳細は、Splunk UBA の『ユーザー』マニュアルの「異常の詳細」を参照してください。
脅威と異常スイムレーンのアセットダッシュボードと ID 調査ダッシュボードでの表脅威と異常スイムレーンのアセットダッシュボードと ID 調査ダッシュボードでの表⽰。⽰。
アセット/ID 調査のダッシュボードでスイムレーンを使って、UBA の脅威や異常と他の重要なイベントを相関できます。
サーチするアセットや ID に関連する異常や脅威の情報を確認するには、アセット調査と ID 調査のダッシュボードに UEBA の脅威とUBA の異常のスイムレーンを追加します。「スイムレーンの編集」を参照してください。
スイムレーンをクリックし、追加の詳細のサーチを開いて Splunk UBA の異常を表⽰します。イベントアクションから要因となる異常を表⽰要因となる異常を表⽰へ移動し、Splunk UBA を開いて異常の詳細異常の詳細または脅威の詳細脅威の詳細を表⽰します。詳細は、「現在の脅威の詳細」を参照してください。
異常と脅威によるリスクスコアの変更異常と脅威によるリスクスコアの変更
Enterprise Security では Splunk UBA からの異常や脅威のリスクスコアを使って、関連しているアセットや IDのリスクスコアが変更されます。リスクスコア修飾⼦は、Splunk UBA の異常や脅威のリスクスコアの 10 倍になります。
例:
1. Splunk UBA が Enterprise Security にホスト10.11.12.123 に関する異常を送信します。この異常のリスクスコアを 8 とします。
2. Enterprise Security は、この異常にもとづいて、ホスト 10.11.12.123 のリスクスコアを変更します。UBAのリスクスコアに 10 を乗じるため、リスク修飾⼦は 80 になります。
リスク分析のダッシュボードでリスクスコアを分析する際に、リスクを増加させているソースを確認できます。
65
セッションセンターのダッシュボードでのユーザーとデバイスのセッションへの割りセッションセンターのダッシュボードでのユーザーとデバイスのセッションへの割り当ての表⽰当ての表⽰
セッションセンターでアセットや ID をサーチするとき、Splunk UBA からユーザに関する追加のデータを取得できます。ユーザーはセッションのデータに基づいてデバイスに対応付けられている場合があります。「セッションセンターのダッシュボード」を参照してください。
セッションセンターのダッシュボードは、重要なイベントのトリアージの際にインシデントレビューダッシュボードから直接開くこともできます。重要なイベントの詳細を確認するとき、ユーザーまたはデバイスフィールドの[ワークフローアクション] をクリックし、セッションセンターのダッシュボードを開きます。
相関サーチ結果を Splunk UBA に送信相関サーチ結果を Splunk UBA に送信
Enterprise Security と Splunk UBA をセットアップすると、Splunk UBA への相関サーチの結果の送信を開始できます。相関サーチ結果を⾃動的に送信したり、またはインシデントレビューのダッシュボードからの重要なイベントを送信することで相関サーチ結果をアドホック⼿法で送信することができます。
⾃動的に相関サーチ結果を Splunk UBA に送信⾃動的に相関サーチ結果を Splunk UBA に送信
既存の相関サーチを編集、または新規の相関サーチを作成して UBA に送信UBA に送信の応答アクションを追加し、⾃動的に相関サーチ結果を Splunk UBA に送信します。
1. Enterprise Security のメニューバーから、[設定] > [コンテンツ管理][設定] > [コンテンツ管理] を選択します。2. 相関サーチの名前をクリックするか、または [新規作成][新規作成] をクリックして新規の関連サーチを作成します。3. 新規応答アクションの追加新規応答アクションの追加をクリックして UBA に送信UBA に送信を選択します。4. 相関サーチ結果から作成された可能性のある異常のスコアを Splunk UBA に設定するために重⼤度重⼤度を⼊⼒
します。例えば、⾼重⼤度を⽰すには 7 と⼊⼒します。
5. 相関サーチを保存します。
相関サーチ結果をインシデントレビューからアドホックに送信相関サーチ結果をインシデントレビューからアドホックに送信
相関サーチ結果から作成された重要なイベントを Splunk UBA にアドホック⼿法でインシデントレビューのダッシュボードから送信します。
1. インシデントレビューのダッシュボードで、Splunk UBA に送信したい重要なイベントを検索します。2. アクションアクション列から、適応応答アクションの実⾏適応応答アクションの実⾏を選択します。3. 新規応答アクションの追加新規応答アクションの追加をクリックして UBA に送信UBA に送信を選択します。4. (オプション) 相関サーチ結果から作成された可能性のある異常のスコアを Splunk UBA に設定するため
に重⼤度重⼤度を⼊⼒します。重要なイベントの重⼤度が、利⽤できる場合は、⼊⼒された値よりも優先されます。
5. 実⾏実⾏をクリックして応答アクションを実⾏し重要なイベントの詳細を Splunk UBA に送信します。
Splunk UBA に送信する結果のタイプSplunk UBA に送信する結果のタイプ
Splunk UBA に異常をもたらすのは特定の相関サーチ結果だけです。Splunk UBA は相関サーチ結果を外部アラームとして解析し、結果にソース、宛先、またはユーザーを含む関連サーチが Splunk UBA に異常を⽣成する可能性が最も⾼いです。Enterprise Security から送られた相関サーチのすべての結果が Splunk UBA で異常として表⽰されるとは限りません。Splunk UBA は関連データがある相関サーチ結果についてだけ異常を作成し、他の相関サーチ結果は無視します。
66
