Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策

© 2017 SPLUNK INC.© 2017 SPLUNK INC.© 2017 SPLUNK INC.© 2017 SPLUNK INC.

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策 2 / 2

池山邦彦 | シニア・セールス・エンジニアSplunk Services JapanNov 2017 | Version 1.0

© 2017 SPLUNK INC.© 2017 SPLUNK INC.

During the course of this presentation, we may make forward-looking statements regarding future events or the expected performance of the company. We caution you that such statements reflect our current expectations and estimates based on factors currently known to us and that actual events or results could differ materially. For important factors that may cause actual results to differ from those contained in our forward-looking statements, please review our filings with the SEC.

The forward-looking statements made in this presentation are being made as of the time and date of its live presentation. If reviewed after its live presentation, this presentation may not contain current or accurate information. We do not assume any obligation to update any forward looking statements we may make. In addition, any information about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. Splunk undertakes no obligation either to develop the features or functionality described or to include any such feature or functionality in a future release.

Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in the United States and other countries. All other brand names, product names, or trademarks belong to their respective owners. © 2017 Splunk Inc. All rights reserved.

Forward-Looking Statements

THIS SLIDE IS REQUIRED FOR ALL 3 PARTY PRESENTATIONS.


自己紹介

Who am I?池山邦彦（いけやまくにひこ）e-mail: [email protected]

シニア・セールス・エンジニア

2016年8月 Splunk入社

▶ 仕事: Splunkで夢を売る仕事

▶ 趣味: 写真撮影、ドラム、ベース演奏


Agenda本日お伝えしたい内容

▶ Splunkについて

▶ Data FeedとSplunkの連携

▶ デモ


Splunk概要

▶ 本社: • サンフランシスコ（AMER）

• ロンドン（EMEA）

• 香港（APAC）

▶ 社員数: 3,000+▶ 売上高:

$950M (YoY +42%)▶ NASDAQ: SPLK

会社

▶ 無料トライアル

▶ Splunk Products• Splunk Enterprise• Splunk Cloud• Splunk Light• プレミアム・ソリューション

製品

▶ お客様数: 13,000以上

▶ 110カ国以上

▶ 小さい組織から大企業まで

▶ Fortune 100社のうち85社

▶ 最大ライセンス: • 1PB/日以上

お客様


© 2017 SPLUNK INC.

© 2017 SPLUNK INC.

© 2017 SPLUNK INC.

マシンデータをアクセス可能に、便利なものに、そして、あらゆる人にとって価値あるものに変革する


マシンデータプラットフォームとして業界を牽引

カスタムダッシュボード

レポートと分析

モニターとアラート

開発者プラットフォーム

アドホック検索

オンプレミス

プライベートクラウド

パブリッククラウド

ストレージ

オンラインショッピング

コールセンター

デスクトップ

セキュリティ

Webサービス

ネットワーク

コンテナ

Webユーザー

RFID

スマートフォン

サーバー

メッセージ

GPS位置情報

パッケージアプリケーション

カスタムアプリケーション

オンラインサービス

データベース通話記録

電力計ファイアウォール

侵入検知

プラットフォーム (Apps / API / SDKs)

エンタープライズの拡張性

ユニバーサル・インデックス

あらゆる場所、種類、ボリュームのマシンデータ様々な課題に応えるデータプラットフォーム


ORDER, 2016-05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100

MAY 21 14:04:12.996 wl-01.acme.com Order 569281734 failed for customer 10098213.Exception follows: weblogic.jdbc.extensions.ConnectionDeadSQLException:weblogic.common.resourcepool.ResourceDeadException: Could not create pool connection. TheDBMS driver exception was: [BEA][Oracle JDBC Driver] Error establishing socket to host and port:ACMEDB-01:1521. Reason: Connection refused

05/21 16:33:11.238 [CONNEVENT] Ext 1207130 (0192033): Event 20111, CTI Num:ServID:Type0:19:9, App 0, ANI T7998#1, DNIS 5555685981, SerID 40489a07-7f6e-4251-801a-13ae51a6d092, Trunk T451.1605/21 16:33:11:242 [SCREENPOPEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092CUSTID 1009821305/21 16:37:49.732 [DISCEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092

{actor:{displayName: “Go Boys!!”,followersCount:1366,friendsCount:789,link:http://dallascowboys.com/,location:{displayName:“Dallas, TX”,objectType:“place”},objectType:“person”,preferredUsername:“B0ysF@n80”,statusesCount:6072},body: “Can’t buythis device from @ACME. Site doesn’t work! Called, gave up on waiting for them to answer! RT ifyou hate @ACME!!”,objectType:“activity”,postedTime:“2016-05-21T16:39:40.647-0600”}

マシンデータはどのように見える？ソース

注文履歴

Twitter


ミドルウェアエラー


マシンデータから重要な洞察を得られますソース

注文履歴

Twitter



Customer ID Order ID Product IDORDER, 2016-05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100




Order ID

Twitter ID

Customer ID

Customer ID

Time waiting on hold

Customers Tweet

Company’s Twitter ID


マシンデータから重要な洞察を得られますソース

注文履歴

Twitter



Customer ID Order ID Product IDORDER, 2016-05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100




Order ID

Twitter ID

Customer ID

Customer ID

Time waiting on hold

Customers Tweet

Company’s Twitter ID


統合されたエンタープライズ・プラットフォーム

可溶性管理データセキュリティ Apps SDK / APIスケール

データ収集

インデックス

データ装飾

検索 &発見

分析と予測

レポート可視化

アラートアクション


ITとビジネスに跨って価値を提供

開発者プラットフォーム (REST API, SDKs)

IT 運用アプリケーション

デリバリービジネス

分析IoTと

産業データ

セキュリティコンプライアンス

不正検知

Platform for Operational Intelligence



アカマイから得られるデータ

▶ Log Delivery Service (aka LDS)• ユーザーのアクセスから数時間後にバッチ処理で(S)FTP送信

▶Cloud Monitor• エッジサーバーから直接ほぼリアルタイムにログをHTTP POST （Push型）

▶SIEM Integration API• WAFアクティビティをAPI経由で取得（Pull型）

https://developer.akamai.com/api/luna/siem/overview.html

▶Data Feed• Client IntelligenceデータをAPI経由で取得


目標・ゴール

ログと脅威情報の

相関検索から

潜在的なセキュリティリスク

と対応策の知見を得る


相関検索複数のデータソースから相関するキーワードを検索して関連付け

{"category": "WEBSCRP","code": "434577","ip": "223.252.160.139","ts": 1510198526,"targets": {...

}

{"type": "akamai_siem","attackData": {"configId": "16167","policyId": "t20_51596","clientIP": "223.252.160.139”...

}

{"type": "cloud_monitor","start": "1510198528","cp": "110244","message": {"cliIP": "223.252.160.139",...

}

"223.252.160.139”

"223.252.160.139" "223.252.160.139"

Data Feed SIEM Integration Cloud Monitor


▶ 攻撃の傾向を把握

• 地域情報 / 攻撃手法 / 時間 / ネットワーク etc.

▶ 高度な検索と可視化により素早いインシデント分析を可能にする

SIEM Integration APIリアルタイムなデータ検索・可視化によるインシデントレスポンス強化


▶ 攻撃者のIPアドレスとレピュテーションスコアの相関性を分析

▶ ターゲットの傾向や攻撃手法を元に自社に対する本当の脅威を発見

SIEM Integration API x Data Feed自社にとっての脅威を抽出

SIEM IntegrationData Feed


▶ 攻撃が観測され、且つ、レピュテーションスコアが高いネットワークからのアクセス傾向を探る

▶ 同一ネットワーク（AS番号）でレピュテーションに記録されているIPアドレスによるアクセス傾向をCloud Monitorで取得したログから探る

• HTTPステータス / User-Agent / Referer etc.

Data Feed x Cloud Monitor大量のデータから潜在的な脅威を発見

Data Feed Cloud Monitor

Cloud Monitor


Contact [email protected]

© 2017 SPLUNK INC.© 2017 SPLUNK INC.© 2017 SPLUNK INC.© 2017 SPLUNK INC.

Thank You

Technology

Akamai x Splunkで実現するAnalytics Drivenな インターネットのセキュリティ対策

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策