現在の企業は、回線やトラフィックを分析するための様々なツールに依存する形で、セキュリティやアプリケーション、そしてネットワーク パフォーマンスに関する監視や管理を行なっています。業界最先端のSIEM(Security, Incident and Event Management)ベンダーの1社であるSplunkなどの専用ソリューションは、運用上のインテリジェンスを得るだけに留まらず、マシンからのデータを分析、可視化して、実践的なインサイトを得るために導入されています。
ネットワークの脅威を検知することは、決して容易ではありません。またネットワーク トラフィックのレベルやスピードが高まるにつれ、セキュリティ アプライアンスでデータのフィルタリングや処理を行う際、以前にも増して過負荷な状態に陥りやすくなっています。その結果、脅威を見逃し、リスクを高め、財務やブランドを危機に晒すことになるのです。
Splunk EnterpriseのようなSIEM ツールが提供するセキュリティ機能を効率的に使い、脅威検知までの時間を短縮するためには、データの絞り込みや集約が必要になります。このため、セキュリティやネットワーク管理チームは、次のような対策を取ることが必須となります:
Gigamon®は、セキュリティおよびパフォーマンス監視における重要な役割を担っています。ネットワークの様々なポイントから、物理および仮想TAPを使用してトラフィックを抽出し、トラフィック ストリームをフィルタリングおよびカスタマイズした上で、パケットキャプチャ デバイス、侵入検出システム、ネットワーク アクセスコントロール プラットフォーム、NetFlowコントローラ、SIEMなどに提供します。
GigamonのGigaSECURE®プラットフォームを導入することで、重要なトラフィック ストリームを取集および分離した上で、パケットデータをSplunk App for Streamに送信したり、サンプリングに依存しない信頼性の高いNetFlowまたはIPFIXレコードを、Splunk App for Enterprise Securityに提供することができます。これによって、セキュリティ担当およびネットワーク担当チームは、ネットワークおよびセキュリティ運用インテリジェンスを確保できるだけでなく、ボトルネックや異常を示すネットワーク トラフィックの傾向やパターンを可視化することができます。
セキュリティやネットワーク担当チームは、Gigamon Visibility App for Splunk(Splunk Storeからダウンロードが可能)を使用することで、Visibility Fabricのヘルス状態と分析結果を把握できるようになります。本アプリケーションは、オープンRESTful API経由でGigaVUE-FMファブリック マネージャからデータを取得し、Splunk App内でインフラストラクチャに関する一次レベルの可視化と障害対応を実現します。
また、GigaSECUREが生成しNetFlowによって転送されたメタデータとIPFIXレコードを使用することで、Splunk Appが持つ高いツールの効率性を活かした新たなレベルのネットワーク セキュリティの提供、検知時間の短縮、DNSやURL、HTTPSレスポンスコードへのアクセス、メタデータの承認、誤検知の低減などが可能となります。
図1: GigaSECUREプラットフォームは、Splunk AppおよびGigamon Visibility App for Splunkのトラフィックを可視化することで、運用インテリジェンス提供します。
SplunkをマルチベンダーのSIEM環境で使用する場合 (図2)、オペレータは以下の機能を利用することができます:
図2: マルチベンダーSIEM環境での、Gigamon Visibility App for Splunkによるオペレーショナル インテリジェンスの実装
また、オペレーターは、Splunk Enterpriseを使用することで、ダッシュボートを作成し、認証情報、DNS、HTTPSレスポンス コードなど主要なメタデータの統計内容における傾向値を把握できるようになります。これは、GigaSECURE Metadata Engineによって可能となる機能拡張です。
図3:Splunk Enterprise向けGigamonメタデータ エレメント ダッシュボード
また、オペレーターは、Gigamon Visibility Appダッシュボードを使用して、以下の情報を可視化することができます:
図4: Visibility Fabricヘルス ダッシュボード
図5: Visibility Fabricトラフィック ポリシー
Gigamon Visibility App for Splunkソリューション概要
Gigamon と Splunkのジョイント ソリューション概要
Splunk Deployment GuideによるGigamonの導入
GigamonによるSplunk Enterpriseの可視化