Splunk Phantom | Phantom platform (ファントム　プラットフォーム )－東京エレクトロンデバイス

セキュリティインテリジェンスを元にした自動化と高度な連携

「Phantom platform」はSIEMなどのログ分析基盤やセキュリティ製品が発信したイベント情報、他にも脅威情報/脆弱性情報配信サイトなど、セキュリティインテリジェンスを持っている連携先製品やサービスから情報を受信します。これら受信情報を元に事前定義したワークフローを実行する事で、従来は人手で行っていた運用を自動化します。 受信した情報を使い追加調査や情報の収集、異なるセキュリティ製品・サービスに加えて運用に関わってくる製品・サービスとの情報伝達や操作の指示を実施します。  Phantom platformが自発的にオペレーションを提案してくれる機能「MISSION GUIDANCE™」は受信した情報に対する推奨の調査や情報収集の内容、インシデントへの対応操作などを提案します。これにより、セキュリティ運用者やアナリストの活動を手助けし、また限定された選択肢を提示されることによる新たなセキュリティアナリストの教育にも活用することが可能です。 セキュリティインテリジェンスから受信したセキュリティインシデントの情報を元に、Case Management機能を使い組織が取るべき一連の対応のガイドラインを登録、実際に取った行動を一連の流れで記録として残すことが可能です。これにより、組織のCERT/CSIRTの活動を助け、運用者やアナリストのメンバー同士のコミュニケーションを円滑にして、組織のセキュリティに対する対応力を向上させる事ができます。標準ではインシデント対応のガイドラインとしてNIST-800-61が登録されており、追加で組織独自のガイドラインを登録することも可能です。

ノンプログラミングでのワークフロー定義

Phantom platformにおけるワークフローはPlaybook(プレイブック)として定義、登録します。Playbookの定義のためVPE: Visual Playbook EditorというGUI環境が提供されています。これにより、プログラミングの知識が無くともワークフローの定義と登録、運用の中の変更が可能です。また視覚的で直感的なVPEは運用者間の情報伝達や内容の見直しなどを容易にします。 勿論、GUIだけでは定義出来ないより高度なワークフローを定義するために、PythonによるPlaybook Editorも提供されています。

オープンアーキテクチャで開発されたプラグインによる高い拡張性

Phantom platformは、連携する製品・サービスを拡張するため、個々の製品・サービスに対応したプラグイン Apps(アップ)を提供しています。Appsを追加インストールすることで、組織のセキュリティインフラストラクチャを単一のPhantom platformのシステムに統合することが可能となり、組織のセキュリティ対応力が強化されます。AppsはSplunkの認定を受けたものや、Splunkが運営するコミュニティサイトのユーザーが開発してコントリビュートしたもの、またお客様自身で開発したものをインストールすることが可能です。オープンで拡張可能なアーキテクチャにより、誰でも新しいAppsを開発し、利用することが可能です。

もっと見る＞＞

個々の操作手順は意識不要！抽象化されたオペレーション

Phantom platformにおける連携製品・サービスへの指示、伝達は、Actions(アクション)という明確な動詞と目的語の組み合わせで行います。これは一般的な動詞であり、製品・サービス固有の用語や操作手順は用いません。これにより、セキュリティの運用に関わる全てのオペレータが個々の製品・サービスの用語や操作手順を習熟する必要が無く、抽象化された表現と必要なパラメーターのみで指示、伝達が可能となり、全体のサポートレベルを高い水準で平準化させる事ができます。