背景

Windows/Unixシステムにおける不正なユーザーID作成の監視

グローバルに展開する最大手の多国籍銀行では、不正行為に備え、不正なユーザーIDの作成を監視したいと考えています。Splunk のアラート管理機能は、このような活動を追跡・特定する効果的な方法を銀行に提供します。

課題:

• 手動ログ集計/分析:複数のチームが関与するログ集計の面倒なプロセス
• ID作成イベントを迅速に検出し、複数のシステムやソースからのデータを集約、相関、分析できる単一のセキュリティプラットフォームの欠如
• 調整の問題–複数のシステム/チームにまたがる不正調査ワークフロープロセス;MTTR (Mean time to resolution) の増加
• 適時な分析–異なるログタイプ間での情報の相関付けは困難であり、時にはログデータが上書きされ、調査が限られることでした。

解決策:

• ID作成イベントは、要求の信頼性を検証するために、一致するソースに対して相関/マッピングされます。
• マッピングの不一致があると、セキュリティ監視チームにさらなる調査のフラグを立てるためのほぼリアルタイムのアラートがトリガーされます。
• Windows/Unixプラットフォーム向けのSplunkベースのリアルタイムに近いID作成監視ダッシュボードとアラート

メリット:

• セキュリティ体制の改善–財務/データ損失の削減
• リアルタイムに近いログの検索、分析、レポート作成のための単一の統合プラットフォーム
• 手作業/人件費の削減
• より迅速なトラブルシューティングと対応:MTTRを数日から数分に短縮;不正アカウントの迅速な特定とブロック

監視対象システム/データソース:: Windows/Unix system logs, User Management System logs (Matching Source), User Provisioning Tool logs (Matching Source)

ユーザー:情報セキュリティチーム

プロダクト:Splunk Enterprise