IT資産管理
LanScope Cat x Splunkであらゆるデータを取り込み、分析をスマートに。
Written by 横田 聡
Splunkのセールスエンジニア。過去の経歴からSplunkではセキュリティ分析方法の提案、分析ワークショップの実施を担当する機会が多いです。しかし、最近はIoTの分析プラットフォームとしても利用できる Splunkの底知れぬポテンシャルに感化されて、自宅でもIoTセンサーデータを集めて分析するのが趣味のミーハーな人です。
目 次
・早く帰るためにも分析はスマートに
・LanScope Cat Appsとは
・働き方の見える化
・サイバーセキュリティの見える化
・資産情報の見える化
・Splunkはなぜ見える化を追求するのか
関連資料セキュリティ・IT資産・業務の見える化を実現!あらゆるデータを取り込み、分析をスマートに。
「LanScope Cat x Splunk カタログ」
LanScope CatはVer.9.0より、Syslog転送が可能となりました。さらに、Splunkと共同で「LanScope Cat App」を開発。「LanScope Cat App」を使うことで、LanScope Catの各種ログを自動で取り込み、多角的な分析を実施し、セキュリティ・IT資産・業務の見える化を実現します。
Splunkは、マシンデータから答えを導き出す企業です。
現在150ヵ国以上、15,000社以上のお客様にSplunkを活用いただき、ビジネス・官公庁・教育/研究機関など 全ての業界におけるシステムの効率性・安全性・利益性を高めるためのサポートをしています。
URL:https://www.splunk.com/ja_jp
早く帰るためにも分析はスマートに
昨今、働き方改革や残業抑制などの対応が企業で叫ばれていますが、Splunkという製品自体も元々はIT運用のトラブルシューティングを早く終わらせたいという創業メンバーの想いから作られました。
つまりSplunkは ITオペレーション、セキュリティログ分析などの調査効率をあげて、素早くデータを導き出し解決し、早く家に帰って家族・仲間との時間を過ごすためのツールと言い換えても良いと思います。
それを実現するために欠かせないのは、異なるフォーマットのマシンデータ(ログ、イベント、アラートなど)であっても、相関検索が容易かつ高速にできる必要があります。Splunkはそれを実現するためのツールとして、利用ユーザーから熱烈な支持を頂いております。3ヶ月ごとにユーザー同士による勉強会(通称、GOJAS)を開催しており、ユーザー同士でSplunkの活用事例を共有し合い、助け合う文化が醸成されています。
またデータ収集の際には、ベンダーによって異なるログのフォーマットを意識することなく、データを取り込んですぐに横断的な検索ができる様にするためのApps(フィールド定義セット、ダッシュボードセットなど)がベンダーから多数提供されています。1500程度(2018年11月時点)のAppsが無料ダウンロードしてご利用いただけます。この様に各ベンダーとの開発エコシステムが形成されている点も Splunkが多種多様なマシンデータを相関検索できる理由となっています。
LanScope Cat Appsとは
そしてこの度、MOTEX社と共同でLanScope Catのログを用いたダッシュボード Appsを開発しました。資産管理・内部不正対策・外部脅威対策の見える化の実現のために3つのテーマのダッシュボードセットを用意しました。
本ダッシュボードセットは Splunkにインストール可能なAppsとして提供しております。事前にAppsをインストールして、Catのsyslog連携機能を有効にするだけでご利用いただけます。この度作成したダッシュボードセットは実際にSplunkとCatを利用しているお客様の声を元に作成に至りました。
それぞれのダッシュボードがどのようにお役にたてるのかのイメージをご紹介いたします。
働き方の見える化
■1. 業務分析ダッシュボード
Catの操作ログを中心に業務時間内、時間外のパソコン稼働状況をグループごとに集計しています。
これによって時間外労働の申請と、パソコン稼働状況の実績ログを重ねてチェックすることで、業務負荷状況を可視化することができます。またCat管理サーバから資産情報をダウンロードしSplunkに取り込むことで、Adobe製品のインストール状況と操作ログから利用実態を把握することできます。不要なアセットの見直しの際にご利用いただくことが可能です。
■2. 内部情報持出リスク調査ダッシュボード
転職サイトの閲覧ユーザーを時系列に描画し、調査したいユーザー名をクリックすることで、そのユーザーがWindowsファイルサーバからコピー/移動したデータの回数とファイルパス一覧、デバイスに書き出した回数と一覧、Webサービスへのアップロード、削除操作、メール添付操作などを一度に調査可能なダッシュボードを用意しました。
サイバーセキュリティの見える化
■1. 攻撃メールの調査ダッシュボード
近年、セキュリティリテラシーを高めるために標的型メール訓練を実施されているお客様もいらっしゃると思います。あるいは、ばら撒きメールの受信、メールの開封状況を調査するためにメールのログや PCの操作ログを集めて実態調査をされる対応も増えていると思われます。
本ダッシュボードはメールの件名、添付ファイル名などを元に、Catの操作ログを検索し、グループ毎の添付ファイルの開封率まで可視化することができます。これによってメール本文は見たものの、不審な添付ファイルはクリックしないルールが現場で浸透できているか把握することが可能です。[図1]
[図1]Dark Traceからの通知
■2. エンドポイント調査ダッシュボード
アンチウイルスソフトでは検知していないものの、ネットワークセキュリティ製品(サンドボックス、IDS、UTM)にて不正な通信を検知することがあると思います。不正な通信先のIPアドレスまたは通信発生元のIPアドレスをキーにして、Catの操作ログ、Webアクセスログ、アプリケーションログ、アプリケーション通信ログを横断的に検索することができるダッシュボードを用意しました。
資産情報の見える化
■1. インベントリレポートダッシュボード
Catの管理コンソールからインベントリ情報をcsvダウンロードし、Splunkに取り込むことで、インベントリのスナップショットレポートを確認することができます。
■2. データ量ダッシュボード
Splunkに取り込まれたログ件数の把握に活用いただくダッシュボードです。
本ダッシュボードセットはSplunkにログを収集した場合に、どんなことができるのか?を体感いただくためのサンプルダッシュボードセットとなっております。
LanScope Cat以外のセキュリティ製品ログ(Firewall、Proxyサーバ、DNSサーバ、Active Directory)も同じくSplunkに取り込んで、Appsを参考に頂きながら、自分だけの相関検索を作成いただくことも可能です。
Splunkはなぜ見える化を追求するのか
ITオペレーション、セキュリティログ分析は、クラウド、仮想、物理といった環境の違いを問わず、リアルタイムな可視性を備え、インテリジェンスによる状況把握が可能であること、そして、大規模環境すらもエンドツーエンドで網羅するものとして提供されるべきです。
そのためにはシステムを構成するあらゆるモノが出力するマシンデータをPushまたはPull型で収集し、それらの相関から“何か”を可視化していくことが重要です。オペレーション担当者が深部までドリルダウンしながら分析するだけでなく、ダッシュボードからマネージャーや経営層など職務や所属に応じてカスタマイズした情報の提供もできます。
マシンデータを利用した最適なITオペレーションの実現を目指すことを我々は「オペレーショナルインテリジェンス」と呼んでいます。Splunkでは無償利用できるWindowsやUnixなどに対応したAppsを利用することで、実装済みのサーバシステム、ネットワークシステム、データベースシステムの可視化がすぐにできます。まずは“藁の中の針”を探すところから始まり、問題や課題を生じさせているたくさんの針を見つけ、取り除いていく。こうすることでシステム停止をもたらす要因を根本的に激減させられます。
世界150カ国以上の15,000以上(2018年11月時点)のお客様がクラウドおよびオンプレミスでSplunkを使用しています。数百万もの熱心なユーザーの仲間入りをしてみませんか。是非Splunkの60日間無料トライアルをご利用ください。
https://www.lanscope.jp/endpoint-manager/on-premises/product/partner/splunk.html
