技術文書

マイクロフォーカスエンタープライズ株式会社

マイクロフォーカスエンタープライズ株式会社

Splunkのコストと運用を最適化、SIEM製品との「CEF Syslog統合」の手順と効果

セキュリティイベントのデータを統合ログ管理ツールに取り込む場合、しばしば分析手順の複雑化やコストの増大といった問題に直面する。「Splunk」を例に、SIEM製品とのCEF Syslogの統合による課題解決の手順とその効果を具体的に紹介する。

要約

 ITインフラやセキュリティ製品、ビジネスアプリケーションなどから生成される大量のマシンデータを収集・分析して、新たな価値を導き出す統合ログ管理ツール。その代表的な存在である「Splunk」は、セキュリティ対策における脅威の検出や可視化にも利用されている。

 しかし、Splunkが収集した“未集約”のイベントデータは、しばしばデータ分析の手順を複雑なものとし、ユーザーエクスペリエンスを低下させる。これらのイベントデータを集約しない場合、Splunkライセンスコストやハードウェア使用量が増大する点も大きな問題だ。

 そこで考えたいのが、SIEM製品を活用した「イベントの集約化」だ。SIEM製品がエンリッチ化したデータは、これらのコストの抑制に加え、データ入力の標準化による分析手順の簡素化を可能とする。本資料では、Splunkとの連携に優れたSIEM製品を例に、CEF(Common Event Format)のSyslogを統合する手順と、これによるSplunkライセンス使用量の削減効果を具体的に紹介する。

アンケート