Splunkのイベントに参加してきましたので、レポートなどを残しておきたいと思います。
今回もSplunkの事例、便利な使いかたのヒントなどをお聞きしてきました。
もくじ
「Splunk Solution Day 2014 @Security」とは
今回は日本国内でもかなりの販売実績を誇る「マクニカネットワークス株式会社」によるSplunk単体のイベントです!参加登録だけでも300名を超える申し込みがあったそうです。
Splunkという製品がSecurityに製品をシフトしてきているとはいえこの分野はとっても興味を引くものなんですね!
また、詳細は以下のページにお任せします!
セッション
セッションは全て、撮影録音が禁止されていたので写真はありません!><ま、セキュリティですからね!
マクニカネットワークスさんからの挨拶
今回はセキュリティに関しても「事後対応」にフォーカスした内容ということ。特にログ収集と検索レポート基盤のSplunkには得意な分野ですね!
そして、Splunkの最大のイベント「.conf2014」に話は移って、セッションのうちセキュリティを扱ったものが増えてきたと。
.conf2014の基本基調は「NASDAQのCISO(最高情報セキュリティ責任者)」が話をしたというのでかなりのインパクト!
セキュリティの厳しい金融系のNASDAQがSplunkを採用しているということで、信頼度も上がりますね!
keynote動画見つけたんでリンク貼っておきます〜
Security Keynote w/ Mark Graff, CISO, NASDAQ OMX - Splunk.conf 2014 - theCUBE - YouTube
また国内事例を見ても約4割の顧客がセキュリティ関連に「Splunk」を利用しているとのこと。
【基調講演】最新のサイバー攻撃に対抗するインシデント対応の基礎知識
この講演では気になった部分をメモ形式で
- SNS(LinkdInなど)から、名前・社名・部署名からメールアドレスを取得しSlideShareのプレゼンテーションの感想などを送って、マルウェアサイトに誘導する標的型攻撃が行われた実績があるとか!
- アクセス先のサーバーIPがブラックリスト入りしていないか確認する、「IP Address Blacklist Checker Tool」
他は、一般的に知られていることを改めて、ご紹介いただきました。
一昔前よりは攻撃が巧妙化しているが、今までの攻撃手法を複数組み合わせたものが中身であることが多いと。
次世代 Security Operation Center (SOC)を考える ~Kill Chainメソッドを使ったAPTへの対応について~
なんか、そういう切り口としても使えるのか〜って、思わせてもらいました!
- ShellShockの対応状況も可視化出来る
→ Finding shellshock (CVE-2014-6271, 7169, 7186, 7187) with Splunk forwarders | Splunk Blogs- もちろんForwarderを使って、任意のシェルを実行することができるので対策をForwarderに命令も出来る!
- Heartbleed Command for Splunk | Security and Compliance | Splunk Appsで、Heartbleedの可視化が出来る
- Splunk App for Enterprise Security 3.0 Security Indicators | Splunk
まとめはざっくり言うと、Splunk使えばインシデントの解決が早いし、マクニカネットワークスさんがサポートしてくれるから話し聞いてみてね!ってお話でした!ざっくりw
【ユーザ講演】日揮/日揮情報システムにおけるセキュリティログ解析・監視基盤「Splunk」活用事例
ユーザー事例は面白いヒントが拾えたりするんで楽しみにしています!
- ファイルサーバーの使用状況監視
- オフィスフロア 入退出状況確認
- 無線LANの統合認証及びログ基盤としてSplunkの導入
- 複合機で印刷状況も取り込んで保存予定
- インシデント対応時間がSplunk導入後、とにかく早くなった!
複合機のログを入れるっていうのは面白いなぁ〜って思いました!
紙で印刷されるとこれがわからなかったりしますからね〜
【ユーザ講演】Splunkによるインシデント対応ビフォーアフター
サイバーエージェントさんの全社システムにSplunk導入したお話
- Ping Identityと同時に導入始めたけど、片手間で出来るほど導入がラク
- 分析軸が決まっていない調査で、トライ・アンド・エラーのレスポンスが早いので、とっても便利!
- 「lookup/transaction/dedup コマンド」が超絶便利!
- ライセンスが容量なので、一時的なスケールアウトなどコントロールしやすい
- インシデントの調査時間が格段(1/20)に減った!
- OSSでやろうとしたけど、Splunkが格段に初期導入・運用コスト低かった
「OSSでやろうとしたけど、Splunkが格段に初期導入・運用コスト低かった」ここは自分も全く同じ印象を持っていました。
情報システム部門は社内のエース級エンジニアが多数在籍居るわけではない(特に自社サービスの場合)ので、運用人的コストなどは結構重要視していました。
なので、OSSが選考から外れることもしばしば。(エンジニアが多数居て、カスタマイズ ゴリゴリしたい!出来るところは別ですよw)
いや〜いい話聞けた!
展示会場・懇親会・LT大会
展示会場では実際にSplunkに触れるコーナーが設置されていました。
なかなかWeb系エンジニアでないと、なじまない感じですねw
まとめ
- NASDAQがSplunkを採用するというニュースがびっくりしました!
- 今回はSecurity特化した内容ですが、結果的にログ基盤であるSplunkの得意分野だっただけで、他にも色んな所に使えるんです!
- 強力なSPL(Splunk Search Language) はすごいです! → 参考:Use the search language
参考リンク
現時点での最新バージョン「6.2」の新機能を詳細に日本語で解説しているページです!
こちらはマクニカネットワークスさんが開催しているSplunk定期セミナーです
Splunk セミナー - ITシステムのためのデータ分析プラットフォーム
また、こちらの「Splunkメールマガジン」に最新の情報が配信されるので、オススメです!(僕も登録しています)
Splunk - メールマガジン新規登録フォーム
最新書籍を発見(英語)
Josh Diakun,Paul R Johnson,Derek Mock Packt Publishing 2014-10-31
