GigamonによるSplunk Enterpriseの可視化

課題:

現在の企業は、回線やトラフィックを分析するための様々なツールに依存する形で、セキュリティやアプリケーション、そしてネットワーク パフォーマンスに関する監視や管理を行なっています。業界最先端のSIEM(Security, Incident and Event Management)ベンダーの1社であるSplunkなどの専用ソリューションは、運用上のインテリジェンスを得るだけに留まらず、マシンからのデータを分析、可視化して、実践的なインサイトを得るために導入されています。

ネットワークの脅威を検知することは、決して容易ではありません。またネットワーク トラフィックのレベルやスピードが高まるにつれ、セキュリティ アプライアンスでデータのフィルタリングや処理を行う際、以前にも増して過負荷な状態に陥りやすくなっています。その結果、脅威を見逃し、リスクを高め、財務やブランドを危機に晒すことになるのです。

Splunk EnterpriseのようなSIEM ツールが提供するセキュリティ機能を効率的に使い、脅威検知までの時間を短縮するためには、データの絞り込みや集約が必要になります。このため、セキュリティやネットワーク管理チームは、次のような対策を取ることが必須となります:

  • ネットワーク トラフィックから集約したメタデータを、セキュリティツールや監視ツールに提供し、セキュリティ機能の効率を向上させ、データのノイズ比(S/N比)を高める
  • セキュリティ ツールや監視ツールの有線ネットワーク トラフィックに対して最適な可視化を行う
  • 可視化されたトラフィックのヘルス状態やトレンドパターンをビジュアライズする

Gigamonソリューション:

Gigamon®は、セキュリティおよびパフォーマンス監視における重要な役割を担っています。ネットワークの様々なポイントから、物理および仮想TAPを使用してトラフィックを抽出し、トラフィック ストリームをフィルタリングおよびカスタマイズした上で、パケットキャプチャ デバイス、侵入検出システム、ネットワーク アクセスコントロール プラットフォーム、NetFlowコントローラ、SIEMなどに提供します。

GigamonのGigaSECURE®プラットフォームを導入することで、重要なトラフィック ストリームを取集および分離した上で、パケットデータをSplunk App for Streamに送信したり、サンプリングに依存しない信頼性の高いNetFlowまたはIPFIXレコードを、Splunk App for Enterprise Securityに提供することができます。これによって、セキュリティ担当およびネットワーク担当チームは、ネットワークおよびセキュリティ運用インテリジェンスを確保できるだけでなく、ボトルネックや異常を示すネットワーク トラフィックの傾向やパターンを可視化することができます。

セキュリティやネットワーク担当チームは、Gigamon Visibility App for Splunk(Splunk Storeからダウンロードが可能)を使用することで、Visibility Fabricのヘルス状態と分析結果を把握できるようになります。本アプリケーションは、オープンRESTful API経由でGigaVUE-FMファブリック マネージャからデータを取得し、Splunk App内でインフラストラクチャに関する一次レベルの可視化と障害対応を実現します。

また、GigaSECUREが生成しNetFlowによって転送されたメタデータとIPFIXレコードを使用することで、Splunk Appが持つ高いツールの効率性を活かした新たなレベルのネットワーク セキュリティの提供、検知時間の短縮、DNSやURL、HTTPSレスポンスコードへのアクセス、メタデータの承認、誤検知の低減などが可能となります。

図1: GigaSECUREプラットフォームは、Splunk AppおよびGigamon Visibility App for Splunkのトラフィックを可視化することで、運用インテリジェンス提供します。

 

SplunkをマルチベンダーのSIEM環境で使用する場合 (図2)、オペレータは以下の機能を利用することができます:

  • KPIに基づいて、サードベンダー アプライアンスからSplunkにセキュリティ アラートをトリガー
  • Gigamon Visibility App for Splunkのポリシーとアラートの発生原因となったトラフィック ソースを可視化

図2: マルチベンダーSIEM環境での、Gigamon Visibility App for Splunkによるオペレーショナル インテリジェンスの実装

 

また、オペレーターは、Splunk Enterpriseを使用することで、ダッシュボートを作成し、認証情報、DNS、HTTPSレスポンス コードなど主要なメタデータの統計内容における傾向値を把握できるようになります。これは、GigaSECURE Metadata Engineによって可能となる機能拡張です。

図3:Splunk Enterprise向けGigamonメタデータ エレメント ダッシュボード

 

また、オペレーターは、Gigamon Visibility Appダッシュボードを使用して、以下の情報を可視化することができます:

  • Visibility Fabricのヘルス状態や一覧(ノード、クラスタ、ポートタイプおよびステータス)
  • ポートおよびトラフィック ポリシー/マッププロパティと統計情報(上位のポート、パケットレート、廃棄パケットなど)
  • GigaSMART®稼動統計
  • システムおよび監査イベント
  • syslog通知

図4: Visibility Fabricヘルス ダッシュボード

図5: Visibility Fabricトラフィック ポリシー

主なユースケース

  • DNSやHTTP、認証情報などのプロトコルに対するセキュリティ メタデータに容易にアクセスできない状況下で、分析やフォレンジックを必要とする場合
  • Splunk EnterpriseをSIEM分析に使用すると共に、テキスト/ログデータだけでなく、回線およびパケット トラフィック データを必要とする場合
  • セキュリティおよびネットワーク担当チームが、Visibility Fabricからのオペレーショナル インテリジェンスを使用して、セキュリティ アプライアンスからのアラートを増やしたい場合

主な特長

  • 初期投資の削減: Splunk Enterpriseの管理者(アドミニストレータ)は、Gigamonによってヘルス状態を可視化することで、オペレーショナル インテリジェンスを拡大することができます。
  • 平均修復時間 (MTTR) の短縮: Splunk Enterprise内で、インフラストラクチャの一次的な可視化、障害対応、根本原因分析(KPIアラートをトリガーした、ソースやその場所、アプリケーションまたはホストのトラフィック ポリシーなど)を行うことができます。

リソース

Solution Brief

Gigamon Visibility App for Splunkソリューション概要

Solution Brief

Gigamon と Splunkのジョイント ソリューション概要

Deployment Guide

Splunk Deployment GuideによるGigamonの導入

Video

GigamonによるSplunk Enterpriseの可視化