Splunk の .conf Go Tokyo で発表されたアップデート情報とKeynote!

Splunk の .conf Go Tokyo で発表されたアップデート情報とKeynote!

#SIEM
#セキュリティ
#Splunk
佐久間昇吾

佐久間昇吾

facebook logohatena logotwitter logo
Clock Icon2024.10.11

10/9、Splunk 社による .conf24 のコンテンツを紹介する .conf Go Tokyo が開催されておりました。

そこで、発表のあった新情報をご紹介します!

Splunk アップデートまとめ

.conf 24 でも発表の合った内容も含まれています。

Splunk Enterprise Security 8.0

  • Splunk SOAR プレイブックやアクションとネイティブに統合
  • Mission Control のケース管理や調査機能とネイティブに統合

つまり、Splunk Enterprise Security でセキュリティ脅威の完全な TDIRを実現しようとされているとのことで、MTTD・MTTR の大幅な削減が期待できます。

  • TDIR(Threat Detection and Incident Response:脅威の特定・調査・対応)
  • MTTD(Mean Time To Repair:平均修復時間)
  • MTTR(Mean Time To Recovery:平均復旧時間)

参考リンク:未来の SIEM のご紹介: Splunk® Enterprise Security 8.0

Splunk SOAR 6.3

  • 300 以上の製品と統合(統合先製品はこちら
  • エディタがシンプル化、ビルトインコンテンツの充実化
  • SOC 以外のチームにも安全な方法でリアルタイムの入力要求を送信できるようにした

敷居を下げつつもより、多様なロールのユーザが扱える強力な製品になりました。

参考リンク①:SOAR 6.3 の新機能

参考リンク②:Splunk SOAR ガイド付き製品ツアー

近々の Keynote(方針)

今後の製品アップデートの方向を聞いてきました!

Splunk Enterprise Security と Cisco XDR との統合

Cisco XDR のイベントを Splunk Enterprise Security に取り込み、Splunk のログと同じように分析することができるようになるみたいです。

以下、シスコは、シスコ セキュリティ クラウド全体の急速なイノベーションによりプラットフォーム戦略を実現しています より引用& Google 翻訳

Cisco Extended Detection & Response(XDR)と Splunk Enterprise Security(ES)の統合:ランサムウェアやラテラルムーブメントなど、現在最も一般的な攻撃を検出するために特別に設計された Cisco XDR からの高精度のアラートと検出を Splunk ES にシームレスにフィードし、調査と修復を迅速化します。この統合により、組織は各ソリューションの強みを活用して、デジタルレジリエンスを向上させるより包括的な防御戦略を作成できます。

参考リンク①:Splunk Enterprise Security
参考リンク②:Cisco XDR

Splunk Enterprise Security と Splunk SOAR が Cisco Talos の脅威インテリジェンスと統合

.conf 以降、Splunk Attack Analyzer とはすでに統合されています。

Splunk Attack Analyzer は、元来、サイバー攻撃を受けたときに攻撃プロセスをツリー上に相関関係を洗い出すといったこれまでのフォレンジック対応を自動化する製品で、Talos と統合されたことにより、Cisco Talos から脅威レベルと脅威カテゴリが付与され、レピュテーションにも役立つようになります。

Splunk SOAR とは、Splunk Attack Analyzer と Cisco Talos の統合により、分類された正確な脅威イベントからプレイブックを自動的に実行して、調査のための検索や封じ込めを行えるようになるみたいです。

参考リンク①:Splunk + Cisco Talos インシデント対応でデジタルレジリエンスを強化
参考リンク②:Cisco Talos

Microsoft Azure 上でも Splunk Cloud を動かせるように

Splunk Cloud は AWS もしくは Google Cloud 上で稼働するよう、ユーザが選択をします。この選択肢に Microsoft Azure が追加される予定です。

AWS と Google Cloud でのサービス内容の違いについては以下を確認ください。
参考リンク:利用可能な地域と地域の違い

Splunk Asset and Risk Intelligence

Splunk Asset and Risk Intelligence は、IT資産のリスク評価やセキュリティ対策を強化するためにネットワークやクラウド、エンドポイントなどのデータを収集し、それらの資産にどのようなリスクが存在するかを分析・評価してくれます。これにより、セキュリティイベントの管理やリスクの優先順位付けが簡単に行え、脆弱性や潜在的な脅威を把握できるようになります。

.conf Go Tokyo では、以下3点が共有されておりました。

  • サイロ化している資産情報を包括的に集約
  • 正確なコンテキストを提供して調査の迅速化
  • セキュリティコントロールに対するコンプライアンスの問題を検出

参考リンク:Splunk Asset and Risk Intelligence

AI Assistant for Observability

まだ正式名称ではないかもしれないですが、Splunk Observability Cloud 向けの AI Assistant 機能が実装されようとしています。今はプライベートプレビュー状態です。

セッションの中では、デモ動画がありました。
「○○の原因は?」みたいな自然言語で AI に確認すると、原因箇所を数秒で提供してくれており、だいぶ高速に特定の原因を発見することができておりました。

具体的には、以下の「参考リンク①」が一番わかりやすいかと思います。

参考リンク①:AIに相談してエラーの理由を早期発見?! AI Assistant for Observability
参考リンク②:Splunk Observability Cloud で AI アシスタントを構築する

AI Assistant for Security

まだ正式名称ではないかもしれないですが、Splunk Enterprise Security 向けの AI Assistant 機能で、プレビューまでは来ておらず開発中とのことでしたが、Splunk Observability Cloud と同様のようなことが出来るようにしたいとおっしゃっていました。

まとめ

.conf Got Tokyo では、AI の活用により、Splunk をそこまで知らないユーザでも、製品の操作方法を聞きながら使うことができるようにアシストしてくれるというようなことも仰っていました。日本語で対話しながら何が起きていて、どうすれば解決できるのかまで教えてくれるのはとても頼りになると感じました。

Share this article

facebook logohatena logotwitter logo

関連記事

Splunk Core Certified Power User (SPLK-1002) を受けた話し

Splunk Core Certified Power User (SPLK-1002) を受けた話し

User avatar
酒井剛
2024.11.08
マルチクラウド環境をSplunkで可視化分析してみた!

マルチクラウド環境をSplunkで可視化分析してみた!

User avatar
酒井剛
2024.11.06
[小ネタ] Splunk マルチアカウントで便利なAWSの分析

[小ネタ] Splunk マルチアカウントで便利なAWSの分析

User avatar
酒井剛
2024.11.01
データ分析ツールにデータを取り込まずに検索! - Splunk Federated Search for S3 を使ってみた

データ分析ツールにデータを取り込まずに検索! - Splunk Federated Search for S3 を使ってみた

User avatar
酒井剛
2024.10.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.