マクニカネットワークスは2020年10月20日、ログデータ解析ソフトウェア「Splunk Enterprise」を基盤として利用するSIEM(セキュリティ情報およびイベント管理)アプリケーション「Smart Security Monitoring App」を発表した。導入/実装サービスと組み合わせて提供する。インシデントの検知からアラート対応、詳細調査まで、SOC(セキュリティオペレーションセンター)の定常業務をカバーする。
マクニカネットワークスの「Smart Security Monitoring App」は、サイバー攻撃に対処するためにSIEM(セキュリティ情報/イベント管理)に求められる機能群とメカニズムを備えた、Splunk Enterprise用の独自SIEMアプリケーションである。導入時の検知ルールの実装やチューニングはパッケージ費用に含まれており、マクニカネットワークスが実施する。これにより、ユーザーは迅速にSIEMを立ち上げられる(図1)。
拡大画像表示
導入/実装サービスでは、データソースのSIEMへの統合(データを取り込み、必要に応じて正規化処理やパーシングを実施)、SIEMアプリケーションとダッシュボードの初期実装、選択した相関検知ルールの初期実装、検知ルールの初期チューニングの実施、脅威インテリジェンスの統合、IoCマッチングの実装、などを実施する。
費用は、取り込むデータソースの種別数と実装する相関検知ルール数の2つを基軸にして決まる。取り込むログ量は価格に連動しないため、ログ量を気にせずに導入できる。価格(税別)は、「Basicパッケージ」(データソース4種、ルール10種)が950万円、「Standardパッケージ」(データソース6種、ルール25種)がStandardパッケージが1240万円である。ライセンスに加えて、導入/実装サービスと初年度サポートが付く。
相関検知ルールとして、米MITREの「MITRE ATT&CK(マイターアタック)」フレームワークが定義する相関検知ルールを用いる。攻撃者の侵入後の行動を効果的に検出するとしている。攻撃者が侵入後に権限昇格を狙う際に多用するブルートフォースの挙動を認証ログから検出するルールや、攻撃者がターゲット企業の内部でのラテラルムーブメントを図る際に頻用するリモートサービス(SMBやRDPなど)の悪用を検出するルールなど400超のルールライブラリを用意している。
アノマリ検知は、30超の脅威インテリジェンスフィードを統合したインテリジェンスサービスと連動し、最新のIoC(侵害インディケータ)とマッチングして不審な挙動や通信を検出する。攻撃者が多用するドメインあてのアクセスや、C&Cサーバーと思わしきIPアドレスへの通信を検出するサーチを用意している。
ログデータ解析ソフトウェアのSplunk Enterpriseは、サーバー、ネットワーク機器、OS/アプリケーションなど、各種のデバイスやソフトウェアが出力する任意のテキスト形式のログを収集して管理する。ITシステムに起こっている障害をリアルタイムに検知して対処方法を探ったり、蓄積データに見られる動向を元に障害の予兆を発見したりできる。