マルチクラウド環境をSplunkで可視化分析してみた!
SIEM製品の要件において、ベンダーロックインを回避し、様々なソースからの情報を一元的に可視化分析する機能は大きなウェイトを占めるところかと思います。
Splunkでは3大クラウド(AWS、Microsoft Azure、Google Cloud)のデータを取り込み、一元的な観点で分析することに長けています。
今回は、その代表格である、InfoSec Multicloudの無料Appを使ってみました。
InfoSec Multicloud の強み
SIEMは、取り込むログの製品やサービスを問わず、またログの形式を問わずに取り込み、すぐに分析できることが強みです。
一元的にログを取り込むことができるので、特定の情報(ユーザーやIPなど)を別の機器のログ同士で相関づけて分析することができます。
ただし、相関分析するのにアナリストの目で行うのは非常に難しく、経験や技術を要するケースがほとんどです。
Splunkでは、システム内で自動で相関付けができるような仕組みとして CIM(Common Information Model)という、データモデリングを採用しています。
このCIMを活用して、AWS、Azure、Google Cloudの異なるログソースを、データモデル(認証やアラート、ネットワークトラフィックなど)でまとめて、正規化されたフィールドで分析することができます。
つまり、AWSはAWSのソースだけで、AzureはAzureのソースだけでデータや傾向を見るのではなく、3大クラウドをまとめて全体像をデータモデルの観点で可視化して、そこから見たい情報・より詳細な情報へドリルダウンして分析することができます。そしてそのオペレーションが InfoSec Multicloud で可能になっています。
取り込むログやフィールドの正規化について
Splunkに取り込まれる様々なログソースは、フィールドの抽出や、CIMで定義されているフィールドに合うように正規化が行われます。
これらのフィールド抽出や正規化を行うモジュールをAdd-onと呼んでいてい、事前にインストールしさえすれば、取り込んだデータをすぐに分析できる状態にすることができます。
InfoSec Multicloudで利用するために必要なAdd-onは以下の通りです。
取り込むログや該当するデータモデルについての情報が確認できるドキュメントのリンクを載せています。
AWS:
Microsoft Azure:
Google Cloud:
これらのAdd-onをAppからインストールし、その他、CIM と InfoSec Multicloud もインストールします。
今回、取り込み方法に関するご紹介はしません。
この後は、データは事前に取り込んだ状態で、どのようにAppを使って分析できるか、ご紹介していきます。
Security Posture
まず最初にAppにアクセスすると開かれるダッシュボードです。
AWS、Microsoft Azure、Google Cloudのそれぞれの環境から取り込んだデータの全体像を把握するのに利用します。
Continuous Monitoring の各ダッシュボード項目を見てもらうと、この InfoSec Multicloud で利用されるデータモデル = 分析観点が確認できます。
アラート、認証、変更、IDS/IPS、ネットワークトラフィックです。
Security Postureのオーバービューでは、それぞれの分析観点ごとのサマリが見れるので、ここから通常に比べて注目すべき値があれば、パネルをクリックすることで各データモデルのビューに飛ぶことができます。
Cloud Alertsのダッシュボードに飛ぶことができる。(それぞれの対応するダッシュボードに遷移が可能です)
Cloud Alerts
マルチクラウド環境からのアラート情報を総合的に監視します。
特定のクラウドからのアラートが多いのか、アラートに関しての特定のパターンや傾向があるのかを把握します。
Sevirityごとにそれぞれのパネルをクリックすると、詳細分析が表示されます。
どのクラウドベンダーでのアラートなのか一目で識別し、各パネルをクリックすると、詳細ログにドリルダウンができます。
Authentication(認証)
マルチクラウドの認証アクティビティを総合的に監視します。
認証失敗、成功でのトレンド、アプリケーションごとで注目したい場合は、それぞれのパネルをクリックすると下部のパネルがフィルタされ、より注目することができます。
クラウドの環境内のユーザーをリストして、イベントカウントなどを分析したい場合には、ユーザー数をクリックすると、ドリルダウン分析ができます。
ユーザーをリストして、イベントカウントを分析。アカウントをリストしてイベントカウントを分析できます。
特定のIPアドレスなどに注目して、選択すると、別ウィンドウでIPアドレスをキーに調査画面が開き、さらにIPでの相関分析ができます。
IPアドレスをキーに様々な分析が可能。
元のAuthenticationの画面でスクロールダウンすると、認証に関する分析ができ、それぞれのユーザーや、送信元/宛先のセットで選択すると、フィルタがかかりグラフィカルなアクセスマップで分析できます。
Change(変更)
マルチクラウド上の変更イベントについて監視します。
変更イベントがスパイクしていないか、その変更を行った操作は地理的に問題ないかを確認することができます。
変更のアクションの種別と実行コマンドのトレンドと、それらの操作を行った地理的位置を確認します。
Network Traffic(ネットワークトラフィック)
どんな通信がトラフィックとして発生して、何を許可しブロックしたのかを様々な角度で分析します。
Operating Anomalies
機械学習を使ったクエリが組み込まれ、通常と異なったクラウドインフラへの操作が行われていないかを監視します。
いずれのパネルでも、通常を逸脱した行動が見られる場合は、注目すべき値を選択し、別ウィンドウで調査画面が開かれドリルダウンができます。
Access Anomalies
機械学習を使ったクエリが組み込まれ、侵害につながる可能性がある認証アクションを特定するのに活用できます。
Brute Force Attackが疑われるハイレートな認証試行、認証試行の殆どが失敗となったイベント、一つの送信元に対して複数のユーザーへの認証成功・失敗のイベントを特定することができます。
地理的に移動不可能な距離で起こった同じユーザーでの認証試行イベントを特定します。
Network Anomalies
機械学習を使ったクエリが組み込まれ、ネットワークスキャンの疑いのあるイベント、SMBの脆弱性をついた通信の可能性を特定します。
Identity Investigation
特定のユーザーをフィルターに入力、または他のダッシュボードからのドリルダウンで、ユーザーを起点に詳細分析を行います。
送信元、宛先、認証アクション、アプリ、変更アクション、送信元からのアクセスリスト、認証イベントのリスト、イベントのリスト、エンティティ間のグラフマップ、直近のイベントの詳細ログを確認します。
Asset Investigation
特定のIPアドレスまたはホストをフィルターに入力、または他のダッシュボードからのドリルダウンで、IP・ホストを起点に詳細分析を行います。
通信のブロック/許可、プロトコル、エンティティ間のグラフマップ、認証イベント、認証したユーザー、アプリ、認証イベントのリスト、変更イベント、アラート、アラートシグネチャ、IDSアラートの送信元、IDSアラートの宛先、IDSアラートの詳細、イベント詳細ログを確認します。
Executive View
役員や上層部向けに統計データと画像などを合わせた直感的で分かりやすいダッシュボードを編集、作成することができます。
様々な形式でデータを共有することが可能です。
コンソールのホーム画面として設定するこもできます。
Billing
マルチクラウドの利用コストを一元的に可視化して、確認することができます。
傾向からのコストが変動する可能性のある予測推移の算出、サービスごとの分析ができます。
番外: それぞれのクラウドサービスに特化した可視化分析
今回マルチクラウド全体の管理から詳細分析を相関分析で行う、InfoSec Multicloudをご紹介しましたが、それぞれの個々のクラウドサービスに絞った可視化・分析のためのAppもあります。
これらも同時にインストールして、適材適所で分析に利用することが良いかと思います。
まとめ
SIEM製品では、異なる環境の複数のデータソースをとれることが強みの一つです。
InfoSec Multicloudを使えば、環境ごとに分断されずに可視化することで、セキュリティやガバナンス強化が期待できそうです。