はじめに Splunkをセキュリティ監視で利用する際に、SSEやESCU、Threat Intelligenceといった攻撃を検知するためのテクノロジーが用意されている ただし、SSEやESCUのappに含まれるスケジュールサーチ条件を単純に全部有効化しても有効活用は難しい。理由は。 ルール一つ一つの意味を理解し、過検知を緩和するチューニングが必要 マシンスペックの限界(同時サーチ実行数の上限)を迎えるから いきなり100点の監視を目指す前に、自分たちのできる所から監視レベルを強化していくために参考となる以下のフレームワークを元にSplunkの各種appや機能をまとめてみた MITRE ATT&CK The Pyramid of Pain 注意:個人の見解です 対策の考え方 参考となるフレームワークの一つとしてSqrrl社※の提唱するThreat Hunting Maturity Mode
