課題

  • リモートワークモデルの変化により、従業員が機密データにアクセスすることが大きな懸念となっており、このワークシナリオではユーザーアクティビティを監視する可視性が不可欠となっています。
  • リモートユーザー、セキュリティインシデントを監視し、セキュリティユースケースを使用してリスクが発生している場所をチェックできるように、現在のセキュリティ姿勢を改善します。
  • 従業員の所在地に関係なく、安全なリモートアクセスを提供します。

 

セキュリティ脅威

アカウントの侵害 偵察
データ漏れ DDOS攻撃
内部脅威 ブルートフォース
コマンド&コントロール 不正アクセス
特権のエスカレーション 横方向への移動

 

ソリューション一覧

  • Splunk Enterpriseを利用した各種サービスのアクセス・認証ログの監視・分析
  • 特定のユースケースを実装し、すべてのユーザーアクセスおよび認証アクティビティを検出
  • 検出されたログは、アラートとレポートを通じて、組織のCSIRTチームに通知されます。
  • 9つの異なるタイプのデータソースから25以上のユースケースが実装されています。
  • 実装されたユースケースの一部を紹介します。:
  1. ブルートフォース検出
  2. SQLインジェクション
  3. 業務時間外のユーザー操作
  4. アカウントロックアウトの検出
  5. 異常なダウンロードの検出

 

メリット

  • CSIRTチームにリアルタイムでユーザアクセスや認証の可視性を提供します。
  • CSIRTチームは継続的にアラート(検出)を監視し、アラートのトリアージを実行します。
  • 不正アクセスの検出における手作業の削減
  • データソースデータソース:FortiGateネットワークログ、ストレージアプリケーションログ、認証サーバーログ、RDSサービスログ

 

ユーザー: CSIRTチーム

製品: Splunk Enterprise

お問い合わせ

メッセージの送信

一般的な情報をお探しの方、または特定の質問をお持ちの方、以下のフォームにご記入ください。 または、susan@positka.com まで
ご連絡ください。