SplunkのセキュリティApp InfoSecを徹底的に解説（その１）

Splunk は SIEM としてセキュリティイベントを分析するためのツールとして活用されることも多いですが、Splunk の強みの一つとして相関分析するために仕組みやプレビルドのダッシュボードが提供されている点になります。
今回、プレビルドダッシュボードで無料で利用できる InfoSec について、どんな分析用途で活用できるのか、ダッシュボードパネルの一つ一つを徹底的に解説していこうと思います。

InfoSec は一般的な企業のログ全てを対象としていて、非常に多くの分析パネルが用意されているため、その全てをご紹介するのに全３篇でお届けする予定です。

• Security Posture（セキュリティ全体概要）、Continuous Monitoringの各種ダッシュボード（本記事）
• Advanced Threats、Investigation（調査）の各種ダッシュボード
• Compiance、Excutive View、アラートの各種ダッシュボード

ダッシュボードの説明については、おおよそ以下のような構成で記載しています。

[ダッシュボードの名前]

[ダッシュボード全体の説明]

[ダッシュボードが対象としているログソース]

• [ログソースの分類と具体的なデバイスやシステムの例]

[ダッシュボードパネルのスクリーンショット]

1. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]
2. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]
3. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]

では早速ダッシュボードパネルを紹介していこうと思います。

Security Posture（セキュリティ全体概要）

重大度の高いアラートの件数や全体を対象にした脅威件数やイベント毎の件数を分析して、全体的なセキュリティ状況を大きく把握する

（対象とするログソース）

• 収集しているログ全体
• IDS/IPS機能を持つプロダクトからのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）
• マルウェア攻撃に分類されるようなAV、EDR等のログ（Symantec Endpoint Protection, CrowdStrike, SentinelOneなど）
• 認証系のログ（Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど）

1. 重大度(Severity) High のようなレベルの高い IDS からのアラート件数と、24時間前の同件数の増減推移
2. 感染が疑われるようなアクションがあった AV からのアラートの対象別ユニーク件数と、24時間前の同件数の増減推移
3. マルウェア攻撃検知のシグネチャ数と、24時間前の同件数の増減推移
4. InfoSec に使用する index を対象にしたホスト数と、24時間前の同件数の増減推移
5. 認証系のログから出力されたユーザー数と、24時間前の同件数の増減推移
6. 重大度(Severity)毎の IDS アラート件数
7. 重大度(Severity)毎の IDS アラート件数の時系列グラフ
8. 重大度(Severity) HighおよびCriticalの上位トップ10の IDS アラート件数の時系列グラフ
9. 脅威に関連するイベントログのイベントタイプごとの時系列での件数（ユーザー数）
10. 脅威に関連するイベントログのイベントタイプごとの時系列での件数（ホスト数）

Continious Monitoring

Windows Access and Changed

Windowsのログを対象に認証イベントや変更イベントの推移、目立ったイベントが発生していないかを確認

（対象とするログソース）

• Windows関連ログ

1. Windows Event Log のアカウントロックアウト(4740)が発生した件数（ユニークユーザー数）
   • ブルートフォース攻撃の検出：多数のユーザーアカウントが短時間でロックアウトされた場合、パスワード推測攻撃の兆候を疑う
   • パスワードポリシーの影響評価：新しいパスワードポリシーを導入した後であれば、ロックアウトされるユーザーの数が増加したかどうかを確認
   • 潜在的なセキュリティインシデントの特定：通常よりも多くのユーザーがロックアウトされている場合、調査が必要な異常な活動の可能性がある
2. Windows Event Log のアカウントロックイベント
3. Windows Event Log の特権昇格に関連するイベントの件数
4. Windows Event Log の特権昇格に関連するイベントの件数（ユーザー数）
5. Windows関連の認証系ログの失敗数
6. Windows関連の認証系ログの成功数
7. Windows関連の変更系ログの作成イベント数
8. Windows関連の変更系ログの削除イベント数
9. Windows関連の変更系ログの修正イベント数
10. Windows Security Event Log の出現率の低いADアカウントドメイン
11. Windows関連の認証系ログの時系列の成功・失敗数
12. Windows関連の認証系ログの時系列のログオン数（ユーザーごと）
13. Windows関連の変更系ログのタイプ別件数（スパークライン）
14. Windows Logon Mapの各種フィルタリング
15. Windows関連の認証系ログの失敗数（フィルタ）
16. Windows関連の認証系ログの送信元宛先ごとの失敗数（フィルタ）
17. Windows関連の認証系ログの送信元宛先ごとの失敗数円グラフ（フィルタ）
18. Windows関連の認証系ログのユーザーとログオンコンピュータとのネットワークグラフ（フィルタ）

All Authentication

認証系のログを対象にログインの失敗・成功数、ユーザーとログオン対象の関係性などを分析

（対象とするログソース）

• 認証系のログ（Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど）

1. 認証系ログの失敗数
2. 認証系ログの成功数
3. 認証系ログのアプリケーション（プロダクト）数
4. 認証系ログのユニークユーザー数
5. 認証系ログの時系列の件数（アクションごと）
6. 認証系ログのログイン試行数（アプリ（プロダクト）ごと）
7. 認証系ログの時系列のログイン試行数（アプリ（プロダクト）ごと）
8. 認証系ログのログイン試行数（ソースごと）
9. 認証系ログのユニークユーザー数（ソースごと）
10. Authentication Mapの各種フィルタリング
11. 認証系ログの失敗数（フィルタ）
12. 認証系ログの送信元宛先ごとの失敗数（フィルタ）
13. 認証系ログの送信元宛先ごとの失敗数円グラフ（フィルタ）
14. 認証系ログのユーザーとログオン対象とのネットワークグラフ（フィルタ）

Malware（マルウェア）

AV、EDRからのアラートなどのマルウェア攻撃に関連するログを分析して、調査の起点となる検知情報に注目する

（対象とするログソース）

• AV、EDR等のログ（Symantec Endpoint Protection, CrowdStrike, SentinelOneなど）

1. 感染が疑われるようなアクションがあった AV からのアラート件数
2. Deferredアクション（一時対処実施）の AV からのアラート件数
3. ブロックした AV からのアラート件数
4. アクションタイプ別の時系列の件数
5. シグネチャ別の時系列の件数
6. マルウェア別件数Top10
7. AV ログの感染と判定された宛先別件数
8. AV ログの感染と判定されたファイル別件数

Intrusion Detection (IDS/IPS)

IDS、IPSからのアラートを分析して、調査の起点となる検知情報に注目する

（対象とするログソース）

• IDS/IPS機能を持つプロダクトからのログ（NGFWログ、Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）

1. IDS, IPSログの検知したが許可したイベント数
2. IDS, IPSログの検知しブロックしたイベント数
3. IDS, IPSログの重大度クリティカルのアラート数
4. IDS, IPSログの重大度高のアラート数
5. IDS, IPSログの重大度中のアラート数
6. IDS, IPSログの重大度小のアラート数
7. IDS, IPSログの重大度情報のアラート数
8. シグネチャ、重大度別のアラート数
9. 外部からのアラート件数（ジオマップ）
10. シグネチャ別の時系列アラート件数
11. 重大度別の時系列アラート件数
12. 送信元ごとのアタックユニーク件数（横棒）
13. 送信元ごとのアタックユニーク件数（テーブル）

Firewalls

Firewallなどネットワーク機器のログのIP、ポートレベルの制御イベントを分析して、その他のログとの関連性に注目する

（対象とするログソース）

• Firewallなどネットワーク機器からのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）

1. FWなどでブロックした件数
2. FWなどで通信を許可した件数
3. イベント内の外部の送信元IPの件数
4. イベント内の外部の宛先IPの件数
5. 時系列のアクション別トラフィック件数
6. 時系列のプロトコル別トラフィック件数
7. 時系列のアプリケーション別トラフィック件数
8. ブロックした宛先ポート別インバウンドトラフィック（ジオマップ）
9. アプリケーション別インバウンドトラフィック（ジオマップ）
10. ブロックした国別インバウンドトラフィック
11. ブロックした送信元IP別インバウンドトラフィック
12. プロキシなどWeb系ログのURLカテゴリ別の件数

Network Traffic（ネットワークトラフィック）

Firewallなどネットワーク機器のログのIP、ポートレベルの制御イベント、ネットワークグラフを分析して、その他のログとの関連性に注目する

（対象とするログソース）

• Firewallなどネットワーク機器からのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）

1. ユニークな送信元の件数
2. ユニークな宛先の件数
3. トラフィックの通信量
4. 時系列のプロトコル別トラフィック件数
5. 時系列のアプリケーション別トラフィック件数
6. 送信元と宛先ごとのトラフィック量（Top5）
7. 送信元ごとのポート接続数、接続先IP、トラフィック数
8. 宛先ごとのポート接続数、送信元IP、トラフィック数
9. 宛先ポートごとの接続先IP、送信元IP、トラフィック数
10. Network Communication Mapの各種フィルタリング
11. アプリケーション別トラフィック件数（フィルタ）
12. 送信元別の宛先接続数（円グラフ）（フィルタ）
13. 送信元、宛先別のトラフィック数（フィルタ）
14. IPアドレス間の通信ネットワークグラフ（フィルタ）

まとめ

本シリーズは InfoSec のダッシュボードの解説を全３篇で紹介しています。
InfoSec でログ分析することで、包括的なログ相関分析が可能になります。
本記事をご参考いただき、具体的にどんな分析用途として使えるのかのマニュアルとしてご活用いただけると幸いです。