Splunkは、複数のデータソースにまたがる脅威検出とセキュリティ運用を強化する新たなセキュリティイノベーションを発表した。
新バージョンの「Splunk Enterprise Security 8.0」では、セキュリティチームがリスクをプロアクティブに管理・軽減できる機能が追加されるほか、脅威ハンティングや頻繁な脅威検出のために、外部にデータが保存されている場所でも直接データを分析できる新機能「Federated Analytics」が追加されるという。
Splunk Enterprise Security 8.0:脅威の検出と対応を効率化
Splunk Enterprise Security 8.0では、Mission Controlがネイティブに統合されたため、セキュリティアナリストは脅威の検出、調査、対応を一元化されたインターフェイスから簡単に実行できるようになるという。これにより、運用効率とスピードを向上させることが可能に。また、用語の標準化とSplunk SOARの自動化機能を連携させることで、アラートのトリアージと調査を迅速化し、分析を行って脅威検出を強化するとしている。その結果、セキュリティアナリストは、ワークフローを効率化し、短時間で対応することで、生産性を向上させることができると述べている。
Splunk Enterprise Security 8.0の新機能を活用することで、以下のことができるようになるという。
- シームレスなワークフローエクスペリエンスを活用:統一されたワークスペースと対応計画を提供し、脅威の特定、評価、対応を支援
- 調査の効率化を促進:ワンクリックで利用できる最新の情報集約機能とトリアージ機能により、事前に設定した条件に基づいて調査結果を自動的に集約し、重要なインサイトを網羅的に表示
- 重大なインシデントに注力して時間を節約:検出機能の強化により、リスクベースのアラート戦略を理解して実装するためのターンキー機能を提供。調査が必要な信頼性の高いアラートのみが集約されて生成される
- 効率的なコミュニケーションと迅速な対応:セキュリティワークフローの各フェーズに適した、明確で簡潔な用語が使われるように
Federated Analytics:Splunkと外部のデータソースを網羅するデータ分析を強化、Amazon Security Lakeから開始
Splunkの新機能「Federated Analytics」は、Splunk Cloud PlatformとクラウドベースのSplunk Enterprise Securityのプライベートプレビュー版に搭載し、データ分析のための新しいアプローチを提供するという。AWS環境、主要なSaaSプロバイダー、オンプレミス環境、クラウドソースにまたがる組織のセキュリティデータをAmazon Security Lakeなどのデータの保存場所で直接データを分析できるため、脅威ハンティングを行ったり、特定のデータのみをSplunkに取り込んで脅威検出の頻度を高めることが可能だとしている。
また、Amazon Security Lakeとシームレスに統合することで、データを再配置することなく、セキュリティインシデントを効率的に検出して調査可能に。この機能によって多くのコンテキストを利用したデータ分析を迅速に行えるようになり、運用の俊敏性が強化され、将来的にはデータプラットフォームを拡張することもできると同社は述べている。
Federated Analyticsにより、セキュリティチームは以下のことができるようになるという。
- あらゆる場所にあるデータを分析:様々な場所に保存されたデータにタイムリーにアクセスして分析でき、データの整合性を維持しながら遅延を低減
- あらゆる場所にあるデータからセキュリティの状況をまとめて可視化:アナリストは、SplunkとAmazon Security Lakeのデータをシームレスに統合して分析し、セキュリティデータ全体を一元的に表示することで、データ保管のコストと移動の複雑さを軽減可能に
- 効率性と費用対効果を向上:データのレベル分けや選択的な取り込みや、スマートなデータ管理戦略で運用コストを最適化し、データ管理にかかる支出を削減
セキュリティ防御の強化:Cisco TalosとSplunkのセキュリティ製品の統合
シスコがSplunkを買収したことで、セキュリティチームはCisco Talosの脅威インテリジェンスの能力をSplunk Attack Analyzer、Splunk Enterprise Security、Splunk SOARで活用し、既知の脅威や未知の脅威に対する防御を強化できるようになるという。
Talosの脅威インテリジェンスネットワークを活用することで、Splunkのユーザーは脅威の検出と対応プロセスを効率化し、過剰なアラートを削減できるほか、セキュリティアナリストはよりクリティカルな脅威に集中できるようになるとしている。Talosの脅威インテリジェンスネットワークによって、脅威の識別や対応の優先順位を世界各地で発生しているアウトブレークの元となる脅威で行え、コンテキストに即したインサイトを取得、高度な相関付けを行うことが可能だとSplunkは述べている。
Talosのリアルタイムインテリジェンスの技術的な統合はSplunkのポートフォリオ全体で進められているという。
Splunk Enterprise Security 8.0は、現在プライベートプレビューの段階で、2024年9月には一般提供を開始予定。Federated Analytics機能は、プライベートプレビュー版の提供を2024年7月から開始する予定だとしている。
【関連記事】
・生成AIは「攻撃者」と「防御側」どちらにより多くのメリットをもたらすのか──Splunk調査
・2024年はAIがセキュリティ業務を”肩代わり”も、脅威は民主化され増加傾向に──Splunk予測
・Splunkクラウドソリューション、パートナーシップ締結によりMicrosoft Azureに対応へ
