どんな製品か
Splunk は、サーバやネットワーク機器、アプリケーションなどが出す大量のログを取り込み、検索・可視化・分析するためのプラットフォームです。提供元の Splunk は現在 Cisco の傘下にあります。
「結局なに?」を一言でいえば、あらゆるログを集めて横断検索できる基盤です。元はログ分析の汎用ツールとして広まり、セキュリティ向けの機能を備えた SIEM 製品としても定番の位置を占めています。
主な特徴
最大の特徴は、SPL(Search Processing Language)と呼ばれる独自の検索言語です。集めたデータに対して柔軟に絞り込み・集計・加工ができ、調査や可視化の自由度が高い点が支持されています。
- 構造がそろっていないログでも、取り込んでから後で意味づけして検索できる。
- ダッシュボードやアラートを組み、状況の監視と通知につなげられる。
- セキュリティ用途では相関分析や脅威検知の機能を追加して使う。
幅広いデータソースに対応し、用途に応じて機能を足していける拡張性も強みです。
位置づけ / 他との違い
Splunk はログ分析の汎用基盤として始まった経緯から、セキュリティ専用に限らず、運用監視やシステム分析にも使われます。SIEM 製品の中でも、検索の柔軟さと分析力で評価されることが多い製品です。
クラウドネイティブを前提とする一部の SIEM と異なり、オンプレミスでもクラウドでも利用できる構成の幅があります。
Splunk は取り込むデータ量に応じてコストが増える設計が一般的です。何でも集めるのではなく、監視したい対象を定めてから取り込むデータを絞ると、費用と運用の両面で無理が出にくくなります。
Security Vendor
Splunkを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
SOC / セキュリティ監視
比較で見る軸
対応カテゴリ: 1領域 / 主な領域: ログ集約・相関分析
導入後に効く点
ログを集約し脅威を検知
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
- 対応カテゴリ
- 1領域
- 主な領域
- ログ集約・相関分析
判断チェックリスト
- 自社の用途が「SOC / セキュリティ監視 / インシデント検知・調査」に近いか確認する。
- 強みである「ログを集約し脅威を検知」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。