SplunkのセキュリティApp InfoSecを徹底的に解説（その３）

本シリーズは全３篇でお送りしています。最後となります第３回目です。

セキュリティの相関分析App InfoSec のダッシュボードについて解説しています。

• Security Posture（セキュリティ全体概要）、Continuous Monitoringの各種ダッシュボード
• Advanced Threats、Investigation（調査）の各種ダッシュボード
• Compiance、Excutive View、アラートの各種ダッシュボード（本記事）

ダッシュボードの説明については、おおよそ以下のような構成で記載しています。

[ダッシュボードの名前]

[ダッシュボード全体の説明]

[ダッシュボードが対象としているログソース]

• [ログソースの分類と具体的なデバイスやシステムの例]

[ダッシュボードパネルのスクリーンショット]

1. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]
2. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]
3. [スクリーンショット番号のパネルに使われているクエリの説明]
   • [分析用途、分析観点]

では早速ダッシュボードパネルを紹介していこうと思います。

Compliance

CIS CSC、NIST 800-53、PCI DSS 3.0、HIPPA、NERC CIP v5、ISO 27002:2013などのセキュリティプレームワークで定められている共通的なコンプライアンス準拠に必要なデータ分析と可視化し、監査を行う

（対象とするデータソース）

• 認証系のログ（Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど）
• Firewallなどネットワーク機器からのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）
• IDS/IPS機能を持つプロダクトからのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）
• マルウェア攻撃に分類されるようなAV、EDR等のログ（Symantec Endpoint Protection, CrowdStrike, SentinelOneなど）

1. 認証系ログのユニークなユーザー数をカウント
   • アクティブなユーザーアカウントの総数を理解
   • 監査目的でユーザー数の変化を追跡
2. 認証系ログで最も古い認証イベントの日時を表示
   • データ保持ポリシーの有効性を評価
   • 長期的なセキュリティ分析の基準点を設定
   • データの完全性や一貫性を検証
3. 15日以上ログインしていないユーザーを特定し、その最後のログインからの経過日数を表示
   • 長期間使用されていないアカウントを見つける
   • 潜在的に不要アカウントを特定する
4. Windows Eventのユーザーアカウントがロックアウトされた最新の時間をユーザーごとに特定し、時系列で表示
   • アカウントロックアウトの頻度と最新の発生を追跡
   • 潜在的な不正アクセス試行を特定
5. 認証系ログの認証アクションごとのカウント数を時系列で表示
   • 成功した認証と失敗した認証の比率を時系列で分析
   • 潜在的な不正アクセス試行のパターンを特定
6. 各ホストに対して認証が成功したユニークなユーザー数を表示
   • 通常よりも多くのユーザーがアクセスしているホストを特定し、潜在的な異常を検出
   • 特定のホストへのアクセス権限が適切に制限されているか確認
7. 認証系ログの変更アクションごとのイベント数を時系列で表示
   • 時間帯ごとのアカウント変更パターンを把握
   • アカウント管理活動の監査記録を維持
8. アカウント管理に関連する変更アクションをユーザーごとに集計し、最も多くの変更を行ったユーザーから順に表示
   • 各ユーザーが実行したアカウント管理アクションの種類と頻度を把握
   • 異常に多くのアカウント変更を行っているユーザーを特定
   • ユーザーごとのアカウント管理活動の詳細な監査記録を維持
9. ネットワークトラフィックのデバイスとベンダー製品ごとのイベント数を表示
   • どのデバイスが最も多くのトラフィックを生成しているかを特定
   • 各ベンダー製品の使用頻度を把握
   • 異常に多くのトラフィックを生成しているデバイスを特定し、潜在的な問題を調査
   • 承認されていないデバイスや製品がネットワーク上で使用されていないか確認
10. ネットワークトラフィックに適用されたルール（検出ルールやポリシーなど）ごとにトリガーされた回数を表示
    • どのセキュリティルールが最も頻繁にトリガーされているかを特定
    • ルールの有効性や過敏性を評価
    • 特定のコンプライアンス要件に関連するルールの適用状況を確認
11. ネットワークトラフィックの送信元と宛先のペアごとにトラフィック量（ギガバイト単位）を計算し、最も多いトラフィックを生成しているTop20を表示
    • 最も多くのデータを転送しているIPペアを特定
    • ネットワークリソースの主な消費者を把握
    • 異常に大量のデータ転送を行っているIPペアを特定し、潜在的な脅威を調査
    • データ漏洩や不正なデータ転送の可能性を検出
12. ネットワークトラフィックのアクションごとのイベント数を時系列で表示
    • ネットワークトラフィックの動向分析
    • 時間帯ごとのネットワークアクションの可視化
    • セキュリティ監視やネットワークパフォーマンス分析
    • 異常なトラフィックパターンの検出
13. ネットワークトラフィックのトランスポートプロトコルごとのイベント数を時系列で表示
    • 許可されたネットワークトラフィックの動向分析
    • トランスポートプロトコル（TCP、UDP等）別のトラフィック量の時間的変化の可視化
    • ネットワークの使用パターンの把握
    • 特定のプロトコルに関する異常なトラフィック増加の検出
    • ネットワークキャパシティプランニングの支援
14. IDS系ログの重要度ごとのイベント数を時系列で表示
    • IDSによって検出された攻撃の時間的傾向分析
    • 重要度別の攻撃数の可視化
    • セキュリティインシデントの時系列パターンの把握
    • 高重要度の攻撃の急増検出
    • インシデントレスポンス優先順位付けの支援
15. IDS系ログの検出されたが許可された攻撃を集計し、上位20件を地理的に分布し可視化
    • 許可された攻撃の地理的分布の可視化
    • 攻撃シグネチャ別の地理的ホットスポットの特定
    • グローバルな脅威ランドスケープの分析
    • 特定の地域からの攻撃パターンの識別
    • セキュリティポリシーの地域別調整の支援
    • 地理的に集中した攻撃キャンペーンの検出
    • インシデントレスポンスの地理的優先順位付け
16. 許可されたネットワークトラフィックの送信元IPで地理的分布を分析し、宛先ポート別にイベント数を集計し可視化
    • 許可されたネットワークトラフィックの地理的分布の可視化
    • 宛先ポート別のグローバルトラフィックパターンの分析
    • ネットワークリソースの地理的な需要分析
    • 地域別のネットワークポリシー調整の根拠提供
    • コンプライアンス要件に関連する地理的なデータフロー分析
17. 許可されたネットワークトラフィックの送信元IPを地理的に分析し、アプリケーション別にイベント数を集計し可視化
    • 特定のアプリケーションがどの地域で最も使用されているかを把握
    • 特定の地域からの異常なアプリケーション使用を検出
    • 地理的に集中したアプリケーション関連の脅威を特定
    • 特定の地域でのアプリケーション使用がコンプライアンス要件を満たしているか確認
    • データ主権やプライバシー規制に関連するアプリケーションデータフローを分析
18. マルウェア攻撃に関するログのアクションごとのイベント数を時系列で可視化
    • マルウェア攻撃の動向をほぼリアルタイムで把握
    • 各アクション（検出、ブロックなど）の効果を時系列で評価
    • マルウェア攻撃の長期的トレンドを可視化
19. マルウェア攻撃に関するログのマルウェアのシグネチャごとのイベント数を時系列で可視化
    • 最も活発なマルウェアシグネチャを特定
    • 新しいマルウェアの出現を早期に検出
    • 急増しているマルウェアシグネチャに基づいて対応の優先順位を決定
20. マルウェア攻撃に関するログの宛先ごとのイベントを集計し降順で表示
    • 最も頻繁にマルウェア攻撃を受けている宛先の特定
    • 脆弱性の高いシステムやデバイスの識別
    • セキュリティ対策の優先順位付け
    • リスクの高い資産の特定と保護
21. マルウェア対策製品のバージョン情報を分析し、各デバイスにインストールされている最新のバージョンを特定
    • マルウェア対策ソフトウェアの最新バージョン状況の把握
    • 更新が必要なシステムの特定
    • セキュリティソフトウェアの管理と監視
    • コンプライアンス要件への適合確認

Excutive View

CIOまたは役員レベルの管理者向けにセキュリティ情報のグローバルビューを提供する。全体的なセキュリティ状況の理解や、導入しているセキュリティ製品の効果を説明するためのレポーティングとして活用する

（対象とするデータソース）

• IDS/IPS機能を持つプロダクトからのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）
• マルウェア攻撃に分類されるようなAV、EDR等のログ（Symantec Endpoint Protection, CrowdStrike, SentinelOneなど）
• 認証系のログ（Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど）
• Firewallなどネットワーク機器からのログ（Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など）

1. 過去24時間分のIDS関連ログのInformationの重要度を除く検知数をカウント、さらに24時間前の同件数との比較割合を表示
   • 過去48時間のIDS攻撃トレンドの分析
   • セキュリティインシデントの増減の把握
2. 過去24時間分のマルウェア攻撃関連ログのブロックされた検知数をカウント、さらに24時間前の同件数との比較割合を表示
   • 過去48時間のブロックされたマルウェア攻撃トレンドの分析
   • マルウェア対策の効果性の評価
3. 認証関連ログからユニークなユーザー数をカウント
   • アクティブユーザー数の把握
   • ユーザーアカウントの監査
   • セキュリティ分析のベースライン設定
4. 収集しているログ全体からユニークなホスト数をカウント
   • 情報セキュリティ関連データ内のユニークなホスト数の把握
   • 資産管理の支援
5. 認証関連ログから過去30日間の日別ユニークユーザー数を時系列で表示
   • 日別のアクティブユーザー数の把握
   • ユーザーアクティビティの時系列分析
   • 異常なユーザーアクティビティの検出
   • セキュリティ分析のためのベースライン設定
6. ネットワークトラフィックの過去30日間の日別トラフィック量をギガバイト単位で表示
   • 日別のネットワークトラフィック量の把握
   • ネットワーク使用パターンの分析
   • 異常なトラフィック量の検出
   • ネットワークキャパシティプランニング
7. IDS関連ログの検出された攻撃の送信元を地理的に分布して可視化
   • 攻撃元の地理的分布の可視化
   • 高リスク地域の特定
   • グローバルな脅威ランドスケープの分析
   • セキュリティ戦略の地理的最適化

Alert（アラート）

設定しているアラートの発火したアラートの全体的な分布やアラートの設定を行う

（対象とするデータソース）
Splunkの内部ログ（特にデータ取り込みの必要なし）

1. 設定しているアラートから発火したアラート情報（時間、アラート名、重要度、アラートアクション）を表示
2. 設定しているアラートから発火したアラートの件数をタイトルごとに集計し時系列で表示
3. 設定 > サーチ、レポート、アラートの画面に遷移して、アラートの設定・編集が可能
4. アラート設定方法の動画のリンク

まとめ

本シリーズは InfoSec のダッシュボードの解説を全３篇で紹介しており、これで最後の記事となります。
InfoSec でログ分析することで、包括的なログ相関分析が可能になります。
本記事をご参考いただき、具体的にどんな分析用途として使えるのかのマニュアルとしてご活用いただけると幸いです。