データ最適化

ノーマライゼーション

データ正規化とは、データを取り込んで保存する方法です。 Splunk platform 一貫性と効率性を高めるため、共通の形式を使用する。新しいデータソースを取り込んだり、既存のデータを確認したりするときは、タイプやカテゴリが似ているデータでも同じ形式を採用しているかどうかを検討してください。検索を実行したり、検索をスケジュールしたりすると、時間が節約され、パフォーマンスが向上します。

エンリッチメント

のデータのエンリッチメント Splunk platform コンテキストや情報を追加して、平均応答時間 (MTTR) を短縮する方法を提供します。

データやイベントについてさらに理解しようとすると、そのイベントに関する追加情報を手動で調べるのに時間がかかります。は Splunk platform イベントを充実させたり、他のソースからの情報を自動的に追加したりできるので、その処理がはるかに速くなります。

たとえば、脅威インテリジェンスフィードを使用して、次のような注目すべきイベントを詳しく説明できます。 Splunk Enterprise Security 。豊かにすることで Splunk Enterprise Security 脅威インテリジェンスからの情報で注目すべきイベントをイベントに追加すれば、手作業で調べなくても実用的な洞察が得られる貴重な情報をイベントに追加できます。これにより、アナリストのワークフローが改善され、対応までの時間が短縮されます。

データの可用性と保持

データ可用性とは、データをどのくらいの頻度で利用できるかを表します。セキュリティインシデントが進行中の場合、正しいデータまたは正しい時間枠のデータが準備できていなかった場合 Splunk platform 重大な結果を招く可能性があります。さらに、データ管理における予期しない問題や中断は避けられないため、必要なデータへのアクセスを許可したまま、システムがこれらの問題を回避できる必要があります。

安全で確実なSplunk導入の確立と維持は、適切なデータを入手することから始まります。適切なデータを配置するには、システムとデータ自体に関する共通のフレームワーク構造を計画して実装する必要があります。イベント管理活動の構造ベースのフレームワークを順守しながら、要件を定義し、その要件を満たすポリシーを策定する必要があります。これらのアクティビティには、イベントの生成、送信、保管、分析、保存、廃棄が含まれます。

標準化、エンリッチメント、効果的なデータの可用性と保持にはどのようなメリットがありますか?

正しいデータ取り込みは、他のソリューションの実装を容易にする多くの利点をもたらします。これにより、チームは組織にとって最も重要な分析と優先順位付けのタスクに集中できます。セキュリティインシデントレビューのデータを充実させることで、イベントに関する貴重な追加インサイトが得られ、解決までの時間が短縮されます。一部の企業は他の企業よりも時間に敏感ですが、どの組織の業績と事業継続にとっても、データの可用性を維持することは不可欠です。その他にも、次のようなメリットがあります。

• データは信頼性が高く一貫性のある方法でフォーマットできます。
• アラートと相関ルールは簡単に実装できます。
• アプリとアドオンは簡単に実装できます。
• 信頼性とデータ整合性が向上しました。
• インサイトは、セキュリティイベントと相関検索に自動的に追加できます。
• アナリストの手動タスクは自動化できます。
• セキュリティ関連の注目すべきイベントは、1 つのダッシュボードに集約できます。
• データサイロは解消できます。
• 運用効率を向上させることができます。
• インテリジェンスソースからノイズをフィルタリングして、アラートの優先順位を自動的に向上させることができます。
• 脅威インテリジェンスデータは、チーム、ツール、共有パートナー間で共有できます。
• 標準化されたインテリジェンスに基づくエンリッチメントは、効率の向上に役立ちます。
• 適切な保管と管理を行うことで、データライフサイクルをより適切に制御できます。
• 可用性の高い導入により「常時稼働」アクセスが可能になるため、サービスの継続性を向上させることができます。
• データの管理と維持にかかるストレージコストと総コストは、使用状況や需要パターンに基づいて改善できます。
• データの安全性を高めることで、データの悪用を防ぎ、保管中も転送中も安全に保つことができます。

データ最適化のベストプラクティスとは

Splunkは以下のベストプラクティスを推奨しています。

• 次のものを使用してください。 共通情報モデル (CIM)。
• オンボードデータ へ Splunk platform データマネージャまたはフォワーダを使用する。
• を使う Splunk 用の OCSF-CIM アドオンです。 。
• を作成 データ階層化戦略 年齢、検索頻度、サポートするユースケースに従ってデータを整理すること。
• を使用してデータをフィルタリング、マスキング、変換、ルーティングすることにより、データパイプライン管理を改善します Splunk データ管理パイプラインビルダー (エッジプロセッサーとインジェストプロセッサー) .)
• あなたのためのデータストレージと保持ポリシーを作成してください Splunk エンタープライズ または Splunk クラウドプラットフォーム デプロイ。

データが適切に利用され、適切に管理されていることを確認するために、環境内の特定の領域を監視する必要がある場合があります。

• アイドル接続。 アイドル状態の接続はリソースを消費し、ネットワークを混雑させ、システムパフォーマンスに影響を与えます。アイドル状態の接続は、問題を示したり、データ可用性にギャップが生じたりする場合もあります。
• 実行時間の長いクエリ、コマンド、またはジョブ。 これはデータベースクエリやジョブだけでなく、コマンドやバックアップにも当てはまります。このようなデジタルアクションは、システムの状態が悪い、ディスク速度が遅い、CPU やその他のリソースの競合、またはより深刻なシステム上の問題を示している可能性があります。
• ディスク入出力。 ディスク I/O は通常、ディスクアクティビティに関連するシステムの入出力操作を指します。ディスク I/O の追跡は、特定のワークロードにおけるボトルネック、不適切なハードウェア構成、不適切なサイズのディスク、または調整が不十分なディスクレイアウトを特定するのに役立ちます。
• メモリー。 メモリを監視すると、交通渋滞や漏洩の調査、不適切なサイズのシステムの特定、負荷の把握、アクティビティの急増の確認に役立ちます。さらに、メモリを大量に消費するパターンを知っておくと、可用性の需要を予測するのに役立ちます。
• ディスク容量。 ディスク容量の監視にはさまざまな形式があり、それを指標として利用することで、不必要な問題や、より多くのスペースを導入するための費用のかかる作業を防ぐことができます。
• エラーとアラート。 ログ内のエラー、アラート、および回復メッセージも、考慮すべき指標の1つです。FATAL、PANIC、および主要なエラーメッセージのログ監視を追加すると、システムやアプリケーションのクラッシュ、コアダンプ、システムダウンタイムを必要とするエラーなど、アベイラビリティソリューションが頻繁に回復する問題を特定するのに役立ちます。

どのようなデータ最適化プラクティスを導入すべきか?

以下の追加リソースは、このガイダンスの実装に役立ちます。

• 製品ヒント: エンタープライズセキュリティにおけるデータモデルの管理
• 製品ヒント: テクノロジーアドオンによるエンタープライズセキュリティデータの標準化
• 製品ヒント: へのデータオンボーディング Splunk Enterprise Security
• 製品ヒント: の使い方 Splunk Enterprise Security アセットとアイデンティティーのフレームワーク
• 製品ヒント: Splunk インデックスの適切な保護
• 入門ガイド: ES へのデータの取り込み
• 入門ガイド: 統合アプリ:ユースケース-Splunk インテリジェンスマネジメント (TruStar)
• .Conf セッション: データオンボーディング:どこから始めればいいの？
• Splunk サクセスフレームワーク: データライフサイクル管理