「Splunk で AWS 環境を分析する」というタイトルでClassmethod Odysseyに登壇しました #cm_odyssey
2024.07.11登壇概要
昨今のセキュリティ事情を踏まえ、有事に備えてあらゆるログ・イベント(証跡)を分析できる強固なセキュリティ対策を講じることが求められています。このため、SIEM製品として高い評価を受けているSplunk Cloudを紹介いたします。
解説
冒頭では、日本におけるセキュリティ侵害の傾向と、攻撃者の視点からどのように対策を講じるかについて、レポートデータを用いて説明いたしました。これに関連して、Splunk Cloudがどのようにアプローチできるのかを解説しています。
いただいたご質問の補足
Q) Splunkを稼働させるクラウドとしてAWSとGoogle Cloudがあるとのことですが、この2つは選べますか?またどのような観点で選ぶといいでしょうか??
A) はい。AWSとGoogle Cloudのいずれかを選択いただけます。
- 補足:それぞれの違いについて、次のリンクをご参照ください。
- https://docs.splunk.com/Documentation/SplunkCloud/9.2.2403/Service/SplunkCloudservice
Q) Splunkのdata mananegrの環境はCFn テンプレートで作れるということですが、具体的なリソースとしては何が構築されますか?月額費用などが気になります
A) Kinesis や Lambda などで Splunk のエンドポイントにデータを配信したり、Splunk が ユーザの AWS 環境にデータを取得しに行くための IAM ロールと S3 Bucket を作成します。次のドキュメントもご参考になれば幸いです。
Splunkbase はこちら
セッションでご紹介した、組み込みダッシュボードなどのリポジトリです。
豊富な分析・可視化・データ収集の App が保存されています。
是非、製品名など検索して確認してみてください。
https://splunkbase.splunk.com/
おわりに
セッション内で、NIST CSF の検知した時に分析するかしないかが分かれ道です。とお伝えしました。やはり、脅威や異常検知システムの結果を受けて都度対処いただくことはもちろん重要ですが、ログやイベントの分析も併せて行うことで、自社基盤と攻撃者の両方の「特性」を知ることが出来るため、有事の際の備えや、強固なセキュリティ対策に繋げるためにも、この機会に是非 Splunk をご検討いただけますと幸いです。
