ブランドロゴ 組織内CSIRTや社内SOCを手軽に構築して簡単に運用できる データ分析プラットフォームの決定版! 大量データの収集・分析・可視化! splunk スローガン スローガン付きブランドロゴ 単色表示用 白ヌキ用 組織内CSIRTの構築が急務となっています! ※ 黒の四角い背景は白ヌキ状態を示すためのもので、 デザインされたものではありません。 ウィルス感染、不正アクセス、情報漏えい、DoS 攻撃といったインシデントが発生! 発生後にその対応方法を考え始め対応体制をとるのでは、被害を拡大させる一因となってしまいます。 事前に インシデントに対応する組織・体制等を整えておくことが求められています。 インシデント発生! さあどうしますか? 正式社名ロゴタイプ 『組織内 CSIRT(Computer Security Incident Response Team)』とは、組織内でインシ デント対応に関する業務を専門に担当するチームのこと。 内部に対しては、一本化された窓口としてインシデントに対応する、或いはその対応に必要な技術 的支援及びノウハウを提供し、外部に対しては外部のインシデント対応組織との連絡調整する機 関となります。 組織内CSIRTとは? 現場で何が起こっているのかを把握して、調査解析するためにはログの収集・分析が必須です。 しかし、現実には必要なログが収集されていなかったり、膨大な量のログから必要な情報を収集する のに手間がかかり過ぎ、解析がインシデントのスピードに追い付かないのが現状です。 組織内CSIRTの課題 組織内CSIRT構築に係るこんなお悩みはございませんか? インシデントに対応するログって 何を取っておけばいいの? 膨大で複雑なログをどうやって 迅速に調査すればいいのか? 組織内CSIRTを準備するのに 時間もコストもかけられないん だけど・・・ ネットワークやセキュリティに関 する専門知識を持った人がいな いので運用できないと思う。 攻撃のスピードに調査・分析・ の速度が追い付かない 本当に攻撃なのかどうか判断す る術がない。 ログ解析には、スピードが重要! 自由度が高く、様々な角度で横断的に分析でき CSIRTの担当者が共通で利用できるログ解析基盤が必要 splunkとは あらゆるデータを 一元管理 RDB不要 RDBを使わないので、データの 正規化や定義スキームの作成 等、導入前の面倒な作業は 一切発生しません splunkならフォーマットの違い を意識することなく、テキスト化 されているデータであれば、 splunkは対象のシステムやデ バイスによる制限を受けません。 ITインフラの 可視化 複雑なシステム環境においても、 ログなどのITデータを元に splunkで可視化することが可 能です。 自在な切り口で 分析 コネクタ不要 ログはテキストデータで取り込む ため、収集する機器やアプリ ケーションの制限はありません。 またコネクタ等の開発も不要と なります。 アラートによる 監視 E-mail送信、スクリプト実行と いったアクションによって、特定の イベントなどが発生したことを認 識することが可能です。 47 横串検索 / 相関分析 / 外 部データ連携による分析など、 自在な分析が可能です。 柔軟な スケールアウト システム規模に応じて、柔軟に スケールアウトすることが可能で す。 http://www.gsx.co.jp インシデント検知・調査のフレームワーク シグニチャ マッチング 仮想 エンジン 相関分析 ログデータ バイナリ データ ES Enter prise apps 各機器のモニタリン グポイントにおいて既 知のルールやシグニ チャによる検知 各機器のモニタリン グポイントにおいて未 知の攻撃を仮想エ ンジン上で実行する ことによりによる検知 複数機器の動きを 複合的に見ることに より①既知の相関 ルールや②統計的 なアノマリかどうかを 判断して検知 テキストベースのログ データやスクリプト経 由のデータ 脅威情報 STM -XX- Net Floow IP Rep パケットデータのヘッ ダーやパイロード情 報、NetFlow等 検知 ProjectHoneyPot (無償)やNorse (有償)リスト 調査 システム要件 ■マネージャ(検索・取り込み)のハードウェア構成 プラットフォーム 非Windows Windows 推奨ハードウェア構成 最少構成 ・2×6core ・CPU:2GHz以上 ・RAM:12GB ・RAID0 or 1+0 (12×15K RPM 300GB SAS drivers) ・OS:64bitOS ・CPU:1×1.4GHz ・RAM:1GB ・CPU:Intel Nehalem (または同等のCPU)2GHz ・RAM:2GB ■ログ転送用エージェントのハードウェア構成 プラットフォーム 共通 推奨ハードウェア構成 ・Dual core ・1.5GHz以上プロセッサー ・RAM:1GB ・1.0GHzプロセッサー ・RAM:512MB ■対応可能OS ■対応可能ブラウザ OS 種類 Unix Solaris10,11(64bit,SPARC) Linux2.6以上,3.0以上(32bit,64bit) FreeBSD7,8(32bit,64bit), FreeBSD9(64bit) MacX10.7,10.8.10.9(Intel) AIX6.1,7.1(PowerPC) HP/UX 11i v2,11i v3(Itanium) Windows 最少構成 ブラウザ バージョン Firefox ESR 24.2/最新バージョン Internet Explorer 9,10,11 Safari 最新バージョン Chrome 最新バージョン WindowsServer2003,2003R2, 2008,2008R2,2012,2012R2(64bit) Windows7(64bit),8(32bit,64bit) よくあるご質問 Q1 Q2 splunkの利用対象者は誰ですか? ヘルプデスクの方々からシステム管理者や開発担当の方々など、IT データに関わる方、現在ITデータをマニュアルで処理している方すべ てが対象になります。さらにサポート担当の方々やコンプライアンス担 当、ビジネスユーザなど、ログ内のデータを見るためにエスカレーション を必要とする方々もsplunkを利用することで、自分に必要なデータ だけを自ら見ることができるようになります。 splunkはどんな用途で使われる ことが多いですか? 運用管理やトラブルシューティングの効率化、セキュリティ、コンプライ アンス、ビジネスインテリジェンスなどの用途で使用されます。GSXで は、splunkを利用したCSIRTの構築支 援のメニュー(別途有 償)をご用意しております。 担当営業までご相談ください。 本カタログは、2014年11月時点における内容になります。 48 http://www.gsx.co.jp
© Copyright 2024 ExpyDoc
