製品・サービス

攻撃パターンに基づくSplunk環境診断サービス リスク対応レベル診断サービス

サイバー攻撃パターンに関する各種ガイドラインに基づき、
診断を実施し、Splunk導入環境で検知できる攻撃パターンを把握できます。

SplunkをSIEMとして導入したものの、実際にどの程度サイバー攻撃パターンを検知できているのか、現状のリスクシナリオは最適化されているのか、今後対策すべき攻撃パターンは何かなど、さまざまな運用面の課題でお悩みの皆さまも多いでしょう。

SCSKの「Splunk環境リスク診断サービス」は、IPA、JPCERT、総務省などによる各種サイバー攻撃パターン対策ガイドラインをベースとして各攻撃パターンに基づいた診断を実施し、現在ご利用中のSplunkについて、対策効果(検知できる攻撃パターン)をご報告するサービスです。

現状検知できるサイバー攻撃パターンを段階別に把握すると同時に、検知が不十分な攻撃パターンを洗い出し、今後対策を強化すべき攻撃パターンと、目標とすべきSplunk環境の対策効果を明確化することができます。

●Splunk運用でこんな悩みはありませんか? 1.どの程度サイバー攻撃パターンを検知できているのか、明確に把握できていない・・・ 2.今後、どのような攻撃パターンへの対策を強化すべきか知りたい・・・ 3.現状のリスクシナリオが適切かを検証したい・・・ → ●Splunk環境リスク診断サービスなら・・・ 1.現在ご利用中のSplunkについて、導入環境の対策効果(検知できる攻撃パターン)を把握できます 2.今後検知を強化すべき攻撃パターンと目標とすべきSplunk環境の対策効果を明確化できます 3.対策実施にかかる費用の効果測定が可能です

経験豊富なSCSKの診断担当がヒアリングと診断を実施し、
Splunk環境で検知できる攻撃パターンと今後対応すべき対策効果を明らかにします。

Splunk環境で検知できる攻撃パターンと今後対応すべき対策効果のヒアリングと診断を実施します。
  •  
  •  

【診断対象項目】

IPA、JPCERT、総務省などによる各種サイバー攻撃パターン対策ガイドラインをベースとして、弊社実績と知見を踏まえ診断項目を策定します。
この診断項目に沿って、個別に診断しています。

評価基準(攻撃シナリオ<IPA>ベース)
想定脅威 攻撃手口 説明
初期潜入
標的型メール 標的型メール受信 Fromが内部ドメインのメールを外部より受信
メール添付ファイルからマルウェア感染 マルウェアが添付されたメールから感染
標的型メールから不正サイトへ誘導 メールに記載された不正サイトURLへアクセス
Web 悪性サイトへのアクセス
(フィッシング詐欺等)
WebサーバやDNSが攻撃され、アクセスしたユーザをフィッシングサイトへ誘導(Drive-By-Download含む)
正常なWebサイトからのマルウェア感染 正常なWebサイトが不正に改竄され、埋め込まれたマルウェアをダウンロードし感染
自社公開サイトから侵入
(脆弱性を突く攻撃)
外部からの攻撃による自社公開サイトへの不正侵入
物理的 外部媒体からのマルウェア感染 許可されない外部媒体接続
(例:USBメモリ内に潜伏したマルウェアが接続後感染、拡大)
持込みPCから社内ネットワークへのマルウェア感染 持込みPCがマルウェア感染しており、社内ネットワーク接続による感染拡大
その他 VPN接続によるマルウェア感染 マルウェア感染したPCがVPN接続により社内ネットワークに感染拡大
基盤構築
バックドア開設 外部への通信経路調査 マルウェア感染端末からC&Cサーバへの通信施行
C&Cサーバのとの通信確立 C&Cサーバとの通信成功、及び定期的な通信
C&Cサーバからのマルウェアダウンロード C&Cサーバより攻撃に利用するツールのダウンロード
探索 内部ネットワークの情報収集 内部ネットワークの情報収集のため不特定多数の端末、サーバへの通信発生
侵入対象の脆弱性調査 特定の脆弱性を保持する端末調査のため、不特定多数の端末サーバへの通信発生
Web 悪性サイトへのアクセス
(フィッシング詐欺等)
WebサーバやDNSが攻撃され、アクセスしたユーザをフィッシングサイトへ誘導(Drive-By-Download含む)
正常なWebサイトからのマルウェア感染 正常なWebサイトが不正に改竄され、埋め込まれたマルウェアをダウンロードし感染
自社公開サイトから侵入
(脆弱性を突く攻撃)
外部からの攻撃による自社公開サイトへの不正侵入
その他 VPN接続によるマルウェア感染 マルウェア感染したPCがVPN接続により社内ネットワークに感染拡大
評価基準(攻撃シナリオ<IPA>ベース)
想定脅威 攻撃手口 説明
内部侵入・調査
認証者情報搾取 ブルートフォース攻撃によるログイン試行 特定ホストの同一IDに対する複数回ログイン試行(ランダムID/パスワード)
パスワードリスト攻撃によるログイン試行 同一端末から特定ホストへの複数回ログイン試行
(複数のIDとパスワードの組合わせ)
ローカル特権アカウントでのログイン試行 「root」や「administrator」に対するログイン試行(許可されていない端末、利用不可特権アカウントの利用など)
ドメイン特権アカウントでのログイン試行 「Domain Admins」に対するログイン試行(許可されていない端末、利用不可特権アカウントの利用など)
キッティングアカウントでのログイン試行 キッティング時に利用する共通アカウントからの不正なログイン
Pass the Hashによる認証情報搾取 不正なツール(pwdump等)の実行によるパスワード情報搾取、不正ログイン試行
Keyloggerによる認証情報搾取 不正なツール(pwdump等)の実行によるパスワード情報搾取
権限操作 特権アカウントの使用/管理者権限に昇格 root/administratorへのスイッチ、またはsudo(管理者で実行)の実行
特権コマンドの実行
(パスワードポリシーの変更等)
/etc/passwordやドメインのパスワードポリシーの変更
ファイルサーバなどへのアクセスや権限の奪取 ファイルサーバ管理アカウントへのログイン試行、権限昇格
OS/ソフトの脆弱性を突いた権限昇格 エクスプロイトツールの実行により管理者権限の奪取
感染活動 社内他端末への攻撃ツールの配布 端末間のリモートアクセス、ファイル共有による不正なツールの配布
ドメイン管理者による攻撃ツール配布 ドメイン管理者による不正なツールの配布
ファイルサーバ上へのマルウェアの配置 ファイルサーバへの不正なツールの配置
乗っ取り RATによる感染PCの遠隔操作 外部よりRAT実行による社内端末の遠隔操作
ユーザ端末からのサーバへのリモート接続(SSH、RDP、PsExec等) メンテナンスセグメント以外からのSSH/RDP/PsExecの実行
管理者が通常使用するIPアドレスと異なるIPアドレスからの管理者権限要求 メンテナンスセグメント以外からの特権アカウントを利用した操作
評価基準(攻撃シナリオ<IPA>ベース)
想定脅威 攻撃手口 説明
目的遂行
データ窃取・外部送信 機密情報への不正アクセス 通常業務とは異なる不正と疑わしい機密情報へのアクセス
機密情報の外部流出 機密情報を複数回に渡り、特定サイトへアップロード
大容量のデータアップロード 機密情報を大量に外部へアップロード
業務時間外のデータアップロード 通常業務では発生しない時間外におけるデータアップロード
不正なデータ流出 不正なサイトへのデータ送信、不正と疑わしい外部記憶媒体へのデータ書き込み
データの破壊・業務妨害 不正アクセスの痕跡消去 操作ログやシステムログの不正な削除
業務データの削除 機密情報の不正な削除
破壊プログラムの設置と実行 不正なツールの保存、実行
稼働中サービスの停止 意図しないサービスの停止
外部からの攻撃(DDoS) 外部から公開サーバへDoS攻撃

【診断結果イメージ】

攻撃パターン毎に診断した結果を段階毎に集計し、
レーダチャートに整理

リスク対応レベル診断サービス・サマリページイメージ

分析ルールと各攻撃パターンをマッピングし、相関分析ルールの検知状況に基づき、個々に診断

リスク対応レベル診断サービス・詳細イメージ(1/2)
リスク対応レベル診断サービス・詳細イメージ(2/2)
  •  
  •  

Splunkについてのお問い合わせ・資料請求

Splunk(スプランク)についてのご質問、ご相談、お見積りの依頼などお気軽にお問い合わせくださいませ。業界・業種を問わず、最適なご利用・ご導入方法をご提案いたします。

ご購入前の技術的なご質問はこちら

ライセンス・導入に関するお問い合わせはこちら

お問い合わせフォーム

お問い合わせフォーム