課題
- リモートワークモデルの変化により、従業員が機密データにアクセスすることが大きな懸念となっており、このワークシナリオではユーザーアクティビティを監視する可視性が不可欠となっています。
- リモートユーザー、セキュリティインシデントを監視し、セキュリティユースケースを使用してリスクが発生している場所をチェックできるように、現在のセキュリティ姿勢を改善します。
- 従業員の所在地に関係なく、安全なリモートアクセスを提供します。
セキュリティ脅威
アカウントの侵害 | 偵察 |
データ漏れ | DDOS攻撃 |
内部脅威 | ブルートフォース |
コマンド&コントロール | 不正アクセス |
特権のエスカレーション | 横方向への移動 |
ソリューション一覧
- Splunk Enterpriseを利用した各種サービスのアクセス・認証ログの監視・分析
- 特定のユースケースを実装し、すべてのユーザーアクセスおよび認証アクティビティを検出
- 検出されたログは、アラートとレポートを通じて、組織のCSIRTチームに通知されます。
- 9つの異なるタイプのデータソースから25以上のユースケースが実装されています。
- 実装されたユースケースの一部を紹介します。:
- ブルートフォース検出
- SQLインジェクション
- 業務時間外のユーザー操作
- アカウントロックアウトの検出
- 異常なダウンロードの検出
メリット
- CSIRTチームにリアルタイムでユーザアクセスや認証の可視性を提供します。
- CSIRTチームは継続的にアラート(検出)を監視し、アラートのトリアージを実行します。
- 不正アクセスの検出における手作業の削減
- データソースデータソース:FortiGateネットワークログ、ストレージアプリケーションログ、認証サーバーログ、RDSサービスログ
ユーザー: CSIRTチーム
製品: Splunk Enterprise