組織全体を可視化してインサイトを獲得し、セキュリティの強化、信頼性の向上、イノベーションの加速を図りましょう。
AWS re:invent 2017でKinesis Firehose経由でのSplunkへのデータ投入ができるようになったと発表されました。 Amazon Kinesis Data Firehose、配信先として Splunk が一般利用可能に CloudTrailやVPC Flow、CloudWatch Event、IoTをFirehose経由でストリームできるらしい。 ということで、試してみた。 はじめに Splunk: バージョン7.0.2 OS: Amazon Linux on EC2 AWSユーザーアクティビティをモニタリングするには CloudTrail から証跡情報をとる必要があります。 データの流れは↓ CloudTrail --> CloudWatch Logs --> Kinesis Firehose --> Splunk (参考)Power data ingesti
マクニカネットワークスは3月23日、Splunk Enterprise向けに 「Cloud Security Monitoring App」の提供を開始することを発表した。 マルチクラウド、ハイブリッド環境の統合管理 「Cloud Security Monitoring App」は、パブリッククラウドサービスに対する最新のサイバー攻撃に対処するため、SIEMに求められる機能群とメカニズムを搭載したSplunk Enterprise用のSIEM-App。 同Appを利用することで、高度な検知ルールの実装やチューニング、アラート管理、検知後の調査を行うことができ、マルチクラウドのセキュリティ対策に必要なSIEM運用を迅速に立ち上げることが可能だという。 アカウントハイジャック、脆弱なAPI利用、容易な外部とのデータ共有モデルによるデータ漏洩/持ち出し、サービスプロビジョニングモデルによる可視化
セキュリティ対策やネットワーク、DX、AIなどのソリューションを提供するマクニカネットワークス株式会社(以下、マクニカネットワークス、本社:横浜市港北区新横浜1-5-5、代表取締役社長:池田 遵)は、Splunk Inc. (本社:アメリカ合衆国カリフォルニア州サンフランシスコ、President and Chief Executive Officer:Doug Merritt、以下 Splunk)が販売するSplunk Premium Appsシリーズ※を対象にした、「Splunk Premium Apps 構築サポートサービス」の販売を開始いたします。 ※Splunk Premium Apps: Splunkプラットフォームの機能を拡張できるAppsのうち、有償で提供されるものを指します。 本サービスは、Splunk Premium Apps製品と同時に購入が必須となるSplunk社提
Splunkは2024年11月19日、「Microsoft Azure」(以下、Azure)で動作するエンタープライズ向けセキュリティおよびオブザーバビリティ製品の提供を開始した。組織のイノベーションの促進やセキュリティ強化、DXの拡大を支援することを目的とする。 これによって、「Splunk Cloud Platform」や「Splunk Enterprise Security」「Splunk IT Service Intelligence」がAzureで利用可能になった。これらのツールは包括的な可視化と迅速な対応を可能にし、組織のセキュリティ体制とオペレーション効率をさらに強化する。 Azureユーザー向けに複数のSplunk製品を提供 得られるメリットとは? AzureにSplunk環境を構築するメリットは次の4つだ。 管理の負担軽減: SplunkがITバックエンドを管理するため、
こんにちは!技術本部 情報セキュリティ部 CSIRTグループ所属の吉山です。 普段の業務では、AWSをはじめとする各種クラウド環境のセキュリティ向上・統制やSIEM基盤の開発・運用などに向き合っています。 今回は、昨年12月〜今年2月頃にかけて行った新SIEM基盤の導入・移行について、1年経ったので振り返りとして記事にまとめていきたいと思います。 本記事はSansan Advent Calendar 2024 - Adventar8日目の記事です。 移行開始までの道程 SIEM on AOSが抱えていた課題 なぜSplunkを選んだのか 移行中のお話 稼働開始後 ログ取り込み範囲の拡大、取り込み方法の改善 IaCや自動化の取り組み Detection Engineering運用 これから 最後に 移行開始までの道程 Sansan CSIRTでは、2020年頃からAmazon OpenSea
実施環境: Splunk Free 8.2.2 0. 概要 Splunk には、ワークフローという機能があります。 これは stats コマンド等を使用しない単純な検索時に使用できる機能で、フィールドの値を Splunk の内部/外部に受け渡すことができます。 この機能を利用すると、例えば発見したエラーメッセージをそのまま検索したり、問題のありそうなホストに絞ってログを調査したりすることが可能です。 今回はこのワークフローという機能について紹介します。 1. ワークフローの種類 ワークフローには大きくわけて3つの種類があります。 外部への受け渡し GET : URL の末尾にパラメータを入れる POST : 「メッセージボディ」にパラメータを入れる 内部への受け渡し Search : SPL にパラメータを入れる GET / POST の細かい説明はここでは省きます。 詳しく知りたい方は、
昨今、テレワークの普及によりAWSやAzure、GCPといったパブリッククラウドサービスの利用が増加しています。それに伴い、クラウド固有の特性であるAPIやマルチユーザとの共有モデル等を悪用したサイバー攻撃も増加しています。例えば、クラウド上の複数サービスを一つのアカウントで利用することができる特性は、一つのアカウントをハイジャックされた場合、複数サービスへの侵入を許すこととなり業務上クリティカルなインシデントを引き起こすリスクがあります。また、ユーザ側の設定ミスによる情報漏洩などのインシデントも多く発生しています。クラウドセキュリティ対策は今、外部脅威への対策だけでなく、内部脅威対策としてクラウド環境とユーザの管理/監視が重要です。 対策においては、パブリッククラウドサービス事業者が提供するクラウドネイティブセキュリティサービスがありますが、複数のクラウドサービスを横断的に監視するために
AccentureとSplunkは2021年11月2日、新たにビジネスグループ「Accenture Splunk Business Group」を創設すると発表した。Accentureの業界や技術に関する知識と経験をデータプラットフォームを提供するSplunkのデータ基盤に融合し、データ分析の支援を強化する。 これまでの協業を土台に顧客の支援体制を強化へ Accenture Splunk Business Groupは、これまでAccentureとSplunkが進めてきた事業を基礎としている。AI(人工知能)を活用したITシステムの運用やセキュリティの自動化、インテリジェントサプライチェーンの実現を中心に、データから得た知見を活用できるよう支援する。
米現地時間6月9日、Splunkは、TruSTARを買収するための正式契約を締結したことを発表した。 本買収によりSplunkは、既存のセキュリティ機能を拡張し、複雑さを解消してデータにアクセスし、自律的な方法で効果的に脅威を検出して対応できるようにするとしている。TruSTARの利用者は、Intel 471、Recorded Future、MandiantといったSplunkの商用脅威インテリジェンス統合パートナーのコミュニティやフリーミアムのフィードを活用できるという。 Splunkのクラウド担当シニアバイスプレジデント兼最高プロダクト責任者を務めるSendur Sellakumar氏は、「現在のデータの時代において、迅速な検出、対応の効率化、サイバーレジリエンスの強化を実現するためには、インテリジェンスを統合して自動化することが非常に重要です。TruSTARのクラウドネイティブソリュ
SplunkでAWSのログ集約をしてみたいと思います。 他の方もSplunkへのAWSログ集約に関するブログを書かれていたりするとは思うのですが、AWSへのログの送信方法はいくつものパターンがあるので自分の整理も兼ねて確認していきたいと思います。 AWSログ送信アーキテクチャ AWSでは、サードパーティーへのデータ連携の方法として主に二つのパターンがサポートされています。 Push型とPull型ですね。 Splunkの場合も同様に大きく分けるとこの2つの方法になります。 Push型 Kinesis Data Firehoseを使って、ログをPush型でリアルタイムに送信していくアーキテクチャです。 このアーキテクチャを採用する時のメリットは以下になります。 データレイテンシが少なく、大量のデータを高速でリアルタイムに配信することができる データスループットの変動に伸縮可能に対応することがで
はじめに AWS LambdaでRESTでデータ取得してSplunkに送信してみるではBlueprintを使用してLambdaからSplunkへのHEC送信に成功しました。 しかしBlueprintはNode.jsでした。Splunk管理者はPythonの方が得意だと思いますので(偏見)、Pythonでできないか調べました。 PythonでSplunk HECに送信するClass(Splunk-Class-httpevent)がありましたので、今回はこちらを使って実現します。 Splunk-Class-httpeventはレイヤーにしてLambda上のPythonから呼び出せるようにします。 Splunkで毎日運勢を占えるようになりました。 環境 Lambdaからアクセス可能するためEC2などでグローバルIPを持つSplunk Enterprise、もしくはSplunk Cloud AWS
[root@testhost test]# ls -l /opt/splunk/etc/apps/search/lib/splunklib/searchcommands/*command.py -rw-r--r--. 1 splunk splunk 5432 2月 13 14:59 /opt/splunk/etc/apps/search/lib/splunklib/searchcommands/eventing_command.py -rw-r--r--. 1 splunk splunk 7872 2月 13 14:59 /opt/splunk/etc/apps/search/lib/splunklib/searchcommands/external_search_command.py -rw-r--r--. 1 splunk splunk 18949 2月 13 14:59 /opt/s
KPI Splunkで検索可能なパフォーマンス指標(CPU負荷率等)、ビジネス指標(売上等) 複数または単一のエンティティのメトリクスなどのステータスの統計値をKPIとして定義 サービスとKPIの組み合わせ方例 データベース メモリ使用率 CPU使用率 ディスク使用率 DBクエリ数 Webストア チェックアウト数 Webチェックアウト率 モバイルチェックアウト率 売上 ドキュメント処理 処理ドキュメント数 処理失敗数 失敗率 通常からの乖離 健全性スコア 複数または単一のKPI値に重みをつけてサービス健全性スコアとして数値化 ハンズオンパート ハンズオンパートでのトピックス トップページ(サービスアナライザー) ここでは、サービス毎のサービス健全性スコアをタイルビューで見れる。 「30」などは非常に低いスコア(障害状態)を表していて、それぞれのサービスのステータスが確認できる。 サービスで
Splunkのコンポーネントを簡単にまとめてみます。 Splexicon:Component - Splunk Documentation Indexer(インデクサ) Splunkのコアコンポーネントの一つで、データの収集と保存(インデックスへの格納)、(Search Headからクエリを受けての)インデックスデータの検索機能を提供します。 Search Head(サーチヘッド) Splunkのコアコンポーネントの一つで、データの検索と表示を司ります。データの検索時はIndexerに対してクエリを発行し、返されたデータに対し統計処理を施すなどして表示します。 アラート/レポート等のスケジュールで動作する機能もSearch Headが提供します。 最小構成ではIndexerとSearch Headを一つのサーバ上で動作させることができます。 ※できるというより、インストール直後はデフォルト
Splunkの特徴は「追いかける」――JP1や秘文と連携することでより強力に 安藤:Splunkでいい事例はありますか? 蔵重:システムのトラブルシューティングですが、Splunkを理解するのによい例があります。お客様から「システムがうまく動かない」と相談を受けた時、エンジニアが出向いてログを収集して分析します。かつては個々のログを何時間も分析していました。しかしSplunkですとデータを集約して解析できますから、関係するトランザクションIDやキーワードで検索すると調査が一気に進みます。もともとSplunkはこのように使うための製品でした。 安藤:それは不正調査にも応用できますね。他にも、一般的なセキュリティ製品だと登録されたパターンから情報を検索することが多いのですが、Splunkだとこれまでにないパターンを探すのが得意です。 蔵重:未知の脆弱性でも発見できる可能性があるということですね
はじめに splunkの機能の一つとして「あるデータソースから出力されたデータ(ログ)を自動で取り込む」というのがあります。 この機能を使うと、たとえば、OSのログが出力されたタイミングで、そのログをSplunkに取り込んだり、APIリクエストが返されたタイミングで、そのレスポンスをSplunkに取り込むといったようなことができます。 この機能を使うときにハマりがちなこととトラブルシュートのtipsをまとめてみました。 ※補足 以下のtipsに書かれているコマンド例では$SPLUNK_HOMEという変数を使用しています。 Splunk EnterpriseもしくはUniversalForwarderのインストールパスと読み替えてください。 取り込みたいデータのパスの書き方は正しいか? Splunk EnterpriseもしくはSplunk UniversalForwarderをインストール
Chuck Robbins,Gary Steele 本日、Splunkが正式にシスコに統合されたことをお知らせいたします。今後、当社のお客様は、1 つになったテクノロジーの力を活用し、非常に複雑な多くの課題の解決にとどまらず、膨大なチャンスを活かせるようになります。Splunkの力を得たシスコは、ネットワークの力を最大限に引き出しつつ、市場屈指のセキュリティおよびオブザーバビリティのソリューションをともに提供します。 組織は、事業を支える人、場所、アプリケーション、データ、デバイスをつなぎ、デジタルフットプリント全体をサイバーセキュリティの脅威、ダウンタイム、その他事業リスクから保護しなければなりません。これはまさに当社の目指すところです。 シスコとSplunkが一体となり、包括的なセキュリティ、オブザーバビリティ、ネットワーキングのソリューションにより、比類ない可視性とインサイトを組織の
今後5年でデータの価値は飛躍的に向上 データ活用の「準備ができている」企業はわずか14%――Splunk調査(1/2 ページ) Splunkは、来たる「データの時代」に向け、企業のデータ活用状況に関する調査レポートを発表した。大多数(81%)が今後データは極めて価値があるものになると考える一方、過半数超(57%)はデータ管理能力がデータ増加のペースに追い付けないと懸念していることが分かった。 データ分析プラットフォームベンダーのSplunkは2020年9月11日、企業のデータ活用状況に関する調査レポート「Data Age - データの時代に備える」を発表した。 同社は、今後はデータ活用の巧拙がビジネスの成功を左右する「データの時代」が本格化すると提唱し、既にその波が始まっているとしている。 同調査は「データの時代」に向け、データ活用への理解の進展状況や企業が直面する課題を明らかにするととも
以前の記事でマルチバリューをsortみたく整列できなくて結構大変だったので、作れるんじゃないかと頑張りましたが、無理でした。 でも途中まで書いときます。 2020/1/19 https://github.com/gjanders/SplunkAdmins/blob/master/bin/streamfilter.py が参考になると。 multivalue fields come through as a list, iterate through the list and run the regex against each entryin the multivalued field あとは Multivalue fields are sent as a ; delim string with each term incased in $, and the field name is s
「AIの進歩によって物事は根本的に変化している。システムが停止しないように日々業務に当たっているIT担当者やセキュリティ担当者にAIは業務効率化などの恩恵を授ける。ただし、AIにはサイバー攻撃に悪用されるなどマイナスの側面もあることは忘れてはいけない。これを踏まえて重要になるのはデジタルレジリエンスの基盤を構築することだ。インシデントを防止、検出、回復、対応する能力がなければ、AIから望む価値を引き出すことは難しいだろう」(スティール氏) だが、インシデントから早期に復旧するデジタルレジリエンスの基盤を構築するには課題もある。AI活用が進むことで管理するデータ量が増大しているのはその代表例だ。アプリケーションごとに生まれる膨大なデータがサイロ化してしまい、連携できていないケースも見受けられる。この他、サイバー攻撃の激化に伴い、セキュリティソリューションがどんどん増えていき管理が煩雑化したり
はじめに Splunk Observability Cloud(以下、Splunk o11y)では、Kubernetes用のOpenTelemetry CollectorとしてSplunk OpenTelemetry Collector for Kubernetesが提供されています。 ※もちろん中身はOtelなので、Splunk o11yへのテレメトリーデータ送信に限ったものはありません。 標準デプロイ方法 最低限、これを打てば完了でメトリクスとトレースが送られます(ログについては後述)。 helm repo add splunk-otel-collector-chart https://signalfx.github.io/splunk-otel-collector-chart helm install <リリース名:my-test など> --set="splunkObservabi
企業や団体の活動には様々な IT 機器(サーバ、スマートフォン、 PC、...)が使用されます。そして、それらの機器は操作や通信などの記録であるログを日々出力しています。 しかし、いざログを活用しようにも、各々のログは別々の場所で管理されている場合が多いです。毎回ログの場所を確認し、ログの中身を確認するのには非常に手間がかかります。また、形式もハードウェアやソフトウェアによって異なります。 そこで登場するのが、Splunk です。 本記事では、 Splunk の概要と基本的な使い方について解説します。 Splunkの概要 Splunkの基本的な使い方 環境の準備 サーチ方法 タブの使用方法 検索結果 イベント パターン 集計結果 統計情報 視覚エフェクト 最後に Splunkの概要 Splunk とは一言で言うと「ログを集めるソフトウェア」 です。 Splunk を使用すると、複数のログを
セッション スピーカー:Tom Smith セッションレベル:300 - Advanced カテゴリ:Security, Data Protection はじめに AWSの年に一度の祭典 re:Invent 2022に参加しております。 現地オフラインで Detecting SSRF events on AWS using Splunk (sponsored by Splunk) というセッションに参加してきました。 セッションの概要は以下となります。 概要 2019 年、有名な金融機関に対する侵入により、1 億人を超える顧客の個人データが失われました。 許可されていないユーザーは、サーバー側のリクエスト フォージェリ (SSRF) を実行し、グループがアクセスできるようにしました。 このセッションでは、ハイレベルな SSRF の基礎、AWS と Splunk の統合、そして最後に Str
半導体、ネットワーク、サイバーセキュリティ、AI/IoTにおけるトータルサービス・ソリューションプロバイダー の株式会社マクニカ(本社:神奈川県横浜市、代表取締役社長:原 一将、以下マクニカ)は、様々なITシステムから 生成されるデータの収集、検索、分析、可視化を行うデータ分析プラットフォームSplunk® Enterprise(以下 Splunk)の利活用を支援するためのオリジナルサービス「Macnica Premium Support for Splunk」の提供を開始い たします。 ■背景 近年、DX推進やサイバーセキュリティ対策推進にあたり、データ利活用の重要性が高まる中で、Splunkは統合ロ グ管理・分析基盤として年々市場シェアを広げ、多くのお客様にご利用いただいています。その理由の一つはデータ 取り込みや可視化ダッシュボード作成の柔軟性であり、ITセキュリティ運用や様々なサー
はじめに スケーリング可能な?Splunk環境が欲しいなと思い、Docker Swarmを使用してみた。 Windows 10 ProのHyper-V上にdocker-machineを作成して、そこにSplunk環境を構築する ホストの作成 まず最初に、クラスタ構築用にmanagerノード1つとworkerノード2つを用意した docker-machine create --d hyperv vm1 docker-machine create --d hyperv vm2 docker-machine create --d hyperv vm3 $ docker-machine ls NAME ACTIVE DRIVER STATE URL SWARM DOCKER ERRORS vm1 - hyperv Running tcp://192.168.0.22:2376 v19.03.12
#!/usr/bin/env python import sys, base64 from splunklib.searchcommands import dispatch, StreamingCommand, Configuration, Option, validators @Configuration() class base64Command(StreamingCommand): """ Base64 encode and decode text ##Syntax .. code-block:: base64 output=<field> action=<enc|dec> <field> ##Description Outputs the string of the input field with base64 encoding/decoding. ##Example Encod
先日書いた以下エントリで、Splunkインストール後、うっかりsysVinitで起動するように設定してしまっていた。 ojisanworld.hateblo.jp なぜこの事実に気づいたかというとこちらのエントリを読んだから。 簡単だけど注意しておきたいSplunkインストール前の考慮点 - Qiita 読んだ瞬間、「え、Splunkってsystemdじゃないの?」って思いました。 というのも、以前仕事で構築した際はsystemdだった気がするんです。 ただ、7.2.2だった気もするんだよなぁ。。 でも、boot-startの設定後、Splunkのユニットファイルがなかったんで、おかしいと思ってはいたんです。こんな感じ。 # ls -l /etc/systemd/system/ 合計 4 drwxr-xr-x. 2 root root 31 3月 19 21:13 basic.target
Part 1: A Beginner’s Guide to Basic Splunk Search and Navigation (Introduction) Introduction Hemanth from the Alliance Department here. In this Part 1, there would be a walkthrough Splunk's search interface, familiarizing with key features and functionalities. The Part 2 would focus on advance functionalities and operations which results to valuable insights and unlock the full potential of the da
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く