マクニカネットワークス、「Splunk Enterprise」を活用した攻撃検知・運用効率の向上を実現するアプリを提供

　マクニカネットワークス株式会社は20日、統合ログ解析・管理ツール「Splunk Enterprise」向けの独自アプリケーション「Smart Security Monitoring App」の提供を開始した。

　マクニカネットワークスではこれまで、SplunkをSIEMとして提供をすることで、顧客のログ管理、インシデント調査を支援している。

　Smart Security Monitoring Appは、昨今の高度なサイバー攻撃に対処するためにSIEMに求められる機能群とメカニズムを搭載した、Splunk Enterprise用の独自アプリケーション。「相関検知ルール」「IoCマッチングによるアノマリ検知」「アラート対応管理メカニズム」「詳細解析ダッシュボード群」の4つの機能群が初期実装されており、検知能力と運用効率の向上を実現し、企業がSIEM運用を迅速に立ち上げられるようにする。

　相関検知ルールは、サイバー攻撃の流れや手法などを体系化した「MITRE ATT&CK」フレームワークで定義されるルールにより、高度な攻撃者の「侵入後の行動」を効果的に検出し、対処する。たとえば、攻撃者が侵入後に権限昇格を狙う際に多用するブルートフォースの挙動を認証ログから検出するルールや、攻撃者がターゲット企業の内部でのラテラルムーブメントを図る際に頻用されるリモートサービスの悪用を検出するルールなど、400超のルールライブラリが用意されている。

　IoCマッチングによるアノマリ検知は、独自の脅威インテリジェンスサービスと連動し、最新のIoC（Indicator of Compromise、侵害インディケータ）から、不審な挙動や通信を可能な限り早期に検出することに対応する。30超の脅威インテリジェンスフィードを統合したインテリジェンスサービスと連動することで、IoCをSIEMに統合し、IoCとのマッチングにより各種の検知を行う。

　アラート対応管理メカニズムは、迅速にアラートに対応するための機能として、アラートトラッキング（オーナー割り当て／ステータス管理など）の仕組みや、アラート優先度の自動割り当て、多角的なフィルタリングなど、効果的なアラート対応管理の仕組みとダッシュボードを提供する。

　詳細解析ダッシュボード群は、SOC実務で必要となる多様な切り口での解析を可能にする、多数のダッシュボードを提供する。

　Smart Security Monitoring Appの提供対象は、Splunk Enterpriseを利用中または導入検討中の企業。提供価格（税別）は、データソース取り込み／パーシング設計が4種まで、相関検知ルール実装が10種までの「Baseパッケージ」が950万円、データソース取り込み／パーシング設計が6種まで、相関検知ルール実装が25種までのStandardパッケージが1240万円。