Transcription

分析主導型 SOC 誠二 Senior Sales Engineer2018/ 6/ 8 Tokyo#SplunkLive

2018 SPLUNK は、SEC Splunk、Splunk 、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk LightおよびSPLは、Splunk 2018 Splunk Inc. 無断複写・転載を禁じます。

2018 SPLUNK INC.1. 従来のセキュリティ運用2. ベストプラクティスと最新動向3. 分析主導型 SOC の5つのポイント4. 成功事例

2018 SPLUNK INC.出典:『EY Global Information Security Survey 2015』

2018 SPLUNK INC.出典:『EY Global Information Security Survey 2015』

従来のセキュリティ運用

2018 SPLUNK INC.SOC構築に向けたさまざまなガイド

2018 SPLUNK ム:全体像[13] adership/security-leadership-poster-135[14] -mindmap-2016/

2018 SPLUNK ム:全体像複雑 [13] adership/security-leadership-poster-135[14] -mindmap-2016/

2018 SPLUNK INC.従来の 「SOC 組みは不可能です」– [1] Anton Chuvakinhttps://www.gartner.com/doc/3479617

2018 SPLUNK INC.従来の SOC スト

セキュリティ運用の動向

2018 SPLUNK INC.SOC の基礎的要件と求められているもの アラート管理 インシデント対応アラート管理 ツールチェーンエンジニアリング 脅威インテリジェンス(利用と作成) Threat Hunting 脆弱性管理 リジェンス

2018 SPLUNK INC.SOC ストSIEM 策を実行セキュリティ運用/SOC /責任者情報セキュリティ担当者SOC 幹部

2018 SPLUNK INC.一般的となったマネージド セキュリティ サービス 第 1 階層 勤務時間外 ツールチェーンの運用 外部の専門家からの支援 リバースエンジニアリング フォレンジック 高度な IR レッドチーム

2018 SPLUNK INC.SOC の自動化 「第 1 象は? コンテキストの収集/補強 - 必須 設定の変更 – 場合による 証拠の収集 - おそらく ツールチェーンの統合を重視する マーへと急速に転換中

2018 SPLUNK 脅威リスト Raw ログフィード ノイズ ラート 洞察 成熟度の高い利用: 独自の脅威インテリジェンスを収集 「脅威リストの奔流にご注意」– Splunk ユーザー

2018 SPLUNK INC.Threat Hunting- どのような場合に適しているのか? Threat ます。 SANS Forensics 578、Robert M. Lee

Splunk による分析主導型 SOC5つのポイント

2018 SPLUNK 分類相関付け検索ISACフィード XII、OpenIOC、Facebook サービス ネットワークと資産への影響を判断 分析/IR に使用 フォレンジックを収集/提供 捕獲/特定/イベントの関連付けに使用 パートナーと情報を共有

2018 SPLUNK INC.2.高度な分析の利用 ネイティブ機械学習と 状況に集中異常と脅威の検出を促進 - ルキットを利用 - ョン - User Behavior Analytics SOC 担当マネージャー、SOC アナリスト、および SIEM 柔軟性の高いワークフロー

2018 SPLUNK INC.3.自動化 作業を自動化 サイトを取得 てのプロセスを自動化Splunk Web リジェンスWAF ィエンドポイントID とアクセス

2017 SPLUNK INC.4.プロアクティブな検出と調査 ュリティ関連データ、履歴、Raw リジェンス攻撃者が Web サイトをハッキングPDF 信認証- ルウェアを作成してPDF として利用コマンド & コントロールサーバーへのHTTP (Web) 付ファイルを開くPDF て実行する.pdfCalc.exeSvchost.exe

2018 SPLUNK INC.Splunk を高めるThreat 化するThreat Huntingにつながるあらゆるマシン データ t 化データサイエンスと機械学習

2018 SPLUNK 要なもの 関付け らのインサイト kセキュリティソリューション1,000 以上のAppsとアドオン

2017 SPLUNK ク Web リジェンスWAF ィエンドポイントID とアクセス

2018 SPLUNK INC.Splunk Enterprise れる資産と ID の相関付け脅威重要なイベント ーム

成功事例

2017 SPLUNK INC.金融セブン銀行様 SOC構築について

2018 SPLUNK INC.すぐに始められます– splunk.com123無償Splunk ロード無償Enterprise Securityサンドボックス

2018 SPLUNK INC.conf18登録開始!.conf18 October 1 – 4, 2018Splunk University September 29 – October 1フロリダ州 オーランド のイノベーション体験300 以上のテクニカルセッションIT ビジョナリーによる基調講演Splunk スアナリティクスDevelopmentIoTIT Foundations

NCC. 2 021081 8S SPPL LUUNNKK nkLive