読者です 読者をやめる 読者になる 読者になる

ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

日本Splunkユーザ会 GOJAS(Japan Splunk User Group) Meetup 参加レポート

ソリューション技術部 マネージャー 山口(@kinunori)です。

プリンシパルエンジニア 兼 エンジニアリングマネージャとして、10名規模のエンジニアチームのマネジメントとWebインフラオペレーションをしてます。

弊社では、ユーザグループや勉強会など社外コミュニティへの参加・貢献を会社として推奨しており、運営メンバーや登壇者輩出や後援企業として社外コミュニティに寄与しています。

私もAPI Meetup日本Splunkユーザー会(GOJAS)の運営コアメンバーとして参加していたり、今年のJAWS Daysではスタッフとして事前準備から携わっています。

本エントリでは日本Splunkユーザー会ミートアップ(GOJAS Meetup)の参加レポートを書いていきます。(なぜコミュニティへ参加・貢献するのか、という点は長くなるので、また別のエントリで、、、)

日本Splunkユーザ会(GOJAS)とは

データアナリティクスツール Splunkのユーザコミュニティです。

貯めたデータから必要な情報を抽出し可視化するのは、ツールの使い方、標準偏差など統計に関する知識が必要となり、個人で調べて実現するのは難しい場合もあります。

そこで、便利により効率的にデータ解析を行う為、ユーザ同士による活用手法、ノウハウ共有することを目的として、完全ボランティアの有志メンバーで結成されました。

弊社では Splunkの導入・活用支援をサービスとして提供していますが、ユーザとして得た経験をもとに活用支援サービスを提供している部分もあり、登壇・運営を通してユーザコミュニティに貢献しています。

【GOJAS Meetup-02】SplunkマニアックスVol.1

今回は、既に利用しているユーザをターゲットにクリティカルな環境での活用事例セッションや、効率的なクエリを行う為のSplunk内部アーキテクチャ解説セッションが行われました。

私も司会として全体進行を担当させてもらいました!

イベントページはこちら https://gojas.doorkeeper.jp/events/56197

当日の様子(参加者のみなさん熱心メモを取りながらセッションを聞いてます) f:id:kinunori:20170322194124j:plain

Splunkでつくる、標的型攻撃対策のSIEM

株式会社サイバーエージェント 山口 玲 さん のセッション

資料非公開のようなので簡単にまとめておきます。
サイバーエージェントさんからは標的型攻撃の検知事例が発表されました。
攻撃そのものを検知し、早い段階でブロックすることを目的にSplunkを活用しているとのことです。

* 管理者アカウントの使われ方監査を分析する
    * アカウントと行使されるIPの組み合わせ
    * アカウントと使用時間の組み合わせ
    * 滅多に使われないアカウントの利用状況
    * 認証失敗が突出したアカウント
 
* DNSログ監査
    * Dynamic DNSの利用状況

* エージェントを利用した端末のプロセス情報収集
    * 起動しているプロセスが本来動作する端末で起動しているのか

よく使う検索条件をマクロ化し再利用していたり、date_hourやdate_wdayを使った営業日判定など詳細なテクニックが説明され、既に使われているユーザの方も参考になった点が多かったのではないかと思います。

また、S3の貯めたデータに対し、Amazon Athenaを利用した分析も行ったり、マシンラーニングの組み合わせで効率的な標的型攻撃検知を進めているとのことでした。(また登壇して欲しい)

サイバー犯罪に立ち向かうためのチームとデータ利活用

楽天株式会社 大野 隆弘 さん のセッション

こちらも資料非公開のようなので簡単にまとめておきます。
楽天さんからは不正ログインの検知事例が発表されました。
パスワードリスト攻撃など、ユーザアカウントへの不正ログイン・不正利用の検知を目的にSplunkを活用しているとのことです。

楽天さんではセキュリティ部署、ID開発部署、カスタマー部署国外サービス拠点など関連する部署が多く、見ているデータが異なるケースもある中で迅速に情報共有することが必要になった結果 Splunk を利用する事で解決した事例を細かく説明されました。

Splunkのダッシュボードを軸に各部署が同じ情報を参照する事で、ログの異常性判断、データからの情報加工のタイムロスを少なくし、情報を早く正確に共有しているようです。

Web UIなので非エンジニアも艇庫なく利用でき、結果のみを共有する事も出来るので難しいクエリなどを非エンジニアに覚えてもらう必要も無い点も大きいようでした。

実際にブロックしたはずの攻撃がブロックされていない状況があり、Splunkによる分析結果の共有で攻撃に気づいた実績もあるとのことでした。

Inside Splunk - サーチの仕組みはどうなっているか

Splunk Services Japan 小松原 貴司 さん のセッション

Splunkの中の人がSplunkユーザの為にマニアックなセッションをということでSplunkの小松原さんが登壇されました。

インデックス構造やイベントの保存プロセス、内部構造に基づく効率的なクエリ記述(実際同じ結果が返ってくるが、応答速度が倍以上違った)など、更に効率的な活用へのヒントを惜しむことなく説明されていました。

資料が公開されているのでリンクを貼ってきます。

顕微鏡の向こう側 - サーチはどのように動くか https://www.slideshare.net/takashikomatsubara50/how-search-works-tsidxterm

さいごに

GOJAS Meetup では、セッション終了後に懇親会を開催しています。 懇親会ではスピーカーへの質問やユーザ同士での相談、ディスカッションも活発に見られました。

次回は4月に GOJAS Meetup-03 を開催する予定です。 興味のある方は是非参加されてはいかがでしょうか。

運営チームと参加者による記念撮影 f:id:kinunori:20170322193856j:plain