での脅威インテリジェンスの使用 Splunk Enterprise Security
ますます攻撃的になる脅威環境の中で、セキュリティ専門家や経営幹部は、サイバー攻撃を理解し、常に先手を打つために、脅威インテリジェンスプログラムを調査して実装する必要があります。脅威インテリジェンスデータを活用することは、あらゆる組織のリスク修復とセキュリティプログラムにとって不可欠な要素です。
リスクの評価と管理には、ランサムウェア、マルウェア、その他多数の巧妙な悪意のある活動など、現代の危険から身を守る能力が不可欠です。脅威インテリジェンスはまさにそれを実現し、サイバーセキュリティチームは、潜在的かつ差し迫った有害な活動やビジネスリスクをセキュリティオペレーションセンター (SOC) やインシデント対応チームに知らせることができます。
脅威インテリジェンスを活用する価値とは Splunk Enterprise Security ?
脅威インテリジェンスが効果的に機能すれば、大きなメリットが得られます。質の高い脅威インテリジェンスは、SIEMやSOARプラットフォームのマッチリストに追加できるデータベースの侵害指標を提供するだけでなく、脆弱性、内部からの脅威、漏洩した認証情報などに関する実用的な情報も提供します。セキュリティチームは、この情報を利用してデータ漏洩の可能性を減らし、データ漏洩の未然防止を図ることができるため、測定可能なコスト削減につながります。
サイバー犯罪者、不正行為者、悪意のある内部関係者は同様に、多くの戦術、手法、手順(TTP)を利用して最終目標を達成するために攻撃を実行します(最終目標は金銭的利益のためですが、必ずしもそうとは限りません)。脅威アクターの攻撃と手法はますます高度化しており、組織が防御能力を向上させることがますます重要になっています。
テクニカル脅威インテリジェンスは、セキュリティチームが防御プラクティスを策定し、攻撃を防ぐのに役立つ詳細を提供します。サイバーセキュリティチームは、適切なデータを組み込むことで、社内システムへのアクセスを売り込もうとする内部関係者や、組織の認証情報を収集したと主張する脅威アクターなど、不正なスキームに気づいたときに、適切なリソース所有者に直ちに通知できます。このような状況がエスカレートする前に調査して対処することで、組織は ROI にプラスの影響が見られると同時に、脅威インテリジェンスを実用的なものにすることができます。
脅威情報はどこで入手できますか?
世に出ている豊富なデータのほとんどは検索エンジンによって索引付けされていないため、質の高いテクニカルインテリジェンスにアクセスするのは難しい場合があります。実用的なデータは、違法なマーケットプレイス、フォーラム、ブログ、ソーシャルメディアなど、複数の媒体で見つかることがよくあります。このダイナミックなデータの海は、多くの組織が自ら追跡・監視するにはあまりにも多くのソースから成り立っています。さらに、ディープウェブやダークウェブのデータソースにアクセスすると、組織がそれを探求して活用しようとする際に、予期せぬリスクやリスクにさらされる可能性があります。
Splunkは、インターネット上の脅威インテリジェンスソースを統合して組織を支援します。 Splunk Enterprise Security 追加費用なしですぐに使用できるプラットフォーム。脅威インテリジェンスソースを解析して脅威指標を探し、関連する KV Store コレクションに追加します。
以下の汎用または脅威以外のインテリジェンスソースがデフォルトで有効になっています。
- Mozilla パブリックサフィックスリスト
- マイター AT&CK フレームワーク
- ICANN トップレベルドメインリスト
さらに、他にも質の高い脅威データソースがいくつかあり、有効化するだけで使用できます。
脅威インテリジェンスを活用し始めるにはどうすればいいですか?
データが揃ったところで、組織は何から始めればよいのでしょうか?脅威情報収集プロセスは煩雑で、リソースを大量に消費し、高度な技術を必要とすることがあるため、リスク修復プログラムにこのプロセスを組み込まない企業もあります。精選されたベンダーの脅威インテリジェンスや Splunk 独自の脅威インテリジェンス管理機能を利用すれば、この複雑な作業に楽に取り組むことができます。
正しく行えば、1 人でもより成熟したチームのワークフローを再現できます。実用的でスケーラブルな脅威インテリジェンスを手に入れる方法の 1 つは、この情報を、以下が実行する相関検索アクティビティの一部に含めることです。 Splunk Enterprise Security .脅威情報を活用して検索および防御戦略を構築することで、時間とリソースを節約でき、セキュリティアナリストが正しい方向に導けるようになります。
適切な基盤を構築できれば、効果的なリスク修復とセキュリティプログラムを手に入れることができます。
脅威インテリジェンスを追加する方法 Splunk Enterprise Security
この記事の情報は以下に適用されます。 Splunk Enterprise Security (ES) バージョン 7.xお持ちの場合 にアップグレード Splunk Enterprise Security バージョン 8.x 、一部の用語や手順は当てはまらない場合があります。ES 8.x でのこのユースケースについてさらにサポートが必要な場合は、 Splunk Professional Services お手伝いできます。
として Splunk Enterprise Security 管理者は、導入環境に脅威インテリジェンスを追加することで、疑わしいアクティビティ、既知の脅威、または潜在的な脅威の指標をイベントと関連付けることができます。脅威インテリジェンスを追加すると、アナリストのセキュリティ監視機能が強化され、調査の背景情報が追加されます。
Splunk Enterprise Security また、複数のタイプの脅威インテリジェンスをサポートしているため、独自の脅威インテリジェンスを追加できます。
Splunk Enterprise Security 管理者は、インターネットからフィードをダウンロードするか、構造化されたファイルをアップロードするか、またはイベントから脅威インテリジェンスを導入環境に直接挿入することで、脅威インテリジェンスを追加できます。
始める前に、次のような脅威インテリジェンスの種類を確認する必要があります。 Splunk Enterprise Security サポートします。を参照してください。 でサポートされている脅威インテリジェンスの種類 Splunk Enterprise Security .
-
に含まれる脅威インテリジェンスソースの設定
Splunk Enterprise Security
。
- まだに含まれていない脅威インテリジェンスソースが追加されるたびに Splunk Enterprise Security 手順に従って、追加するインテリジェンスのソースと形式に合った脅威インテリジェンスを追加してください。
-
に脅威インテリジェンスを正常に追加したことを確認します。
Splunk Enterprise Security
。
次のステップ
これで、より多くのことを行うことができるようになりました。 Splunk Enterprise Security 、を通じてさらに価値を高めましょう ユースケースの実装 または、追加情報については、以下の優れたリソースをご覧ください。
まだ問題がありますか?Splunkには、元の状態に戻すのに役立つ多くのリソースがあります。次のことをおすすめします。
- .Conf Talk: Expect more from your threat intelligence in Splunk Enterprise Security and Splunk SOAR
- Docs: Threat intelligence framework in Splunk ES
- Docs: Add threat intelligence to Splunk Enterprise
- Splunk OnDemand Services: Credit-based services that allow direct access to Splunk technical consultants for a variety of technical services from a pre-defined catalog. Many Splunk customers already have OnDemand credits included as part of their software license. To request OnDemand Services, file a ticket through the Support Portal.
- Splunk Answers: Ask your question to the Splunk Community, which has provided over 50,000 user solutions to date.
- Splunk Customer Support: Contact Splunk to discuss your environment and receive customer support.