狠狠撸

? 2017 SPLUNK INC.? 2017 SPLUNK INC.? 2017 SPLUNK INC.? 2017 SPLUNK INC.
Akamai x Splunkで実現するAnalytics Drivenな
インターネットのセキュリティ対策 2 / 2
池山邦彦 | シニア?セールス?エンジニア
Splunk Services Japan
Nov 2017 | Version 1.0

? 2017 SPLUNK INC.? 2017 SPLUNK INC.
During the course of this presentation, we may make forward-looking statements regarding future events or
the expected performance of the company. We caution you that such statements reflect our current
expectations and estimates based on factors currently known to us and that actual events or results could
differ materially. For important factors that may cause actual results to differ from those contained in our
forward-looking statements, please review our filings with the SEC.
The forward-looking statements made in this presentation are being made as of the time and date of its live
presentation. If reviewed after its live presentation, this presentation may not contain current or accurate
information. We do not assume any obligation to update any forward looking statements we may make. In
addition, any information about our roadmap outlines our general product direction and is subject to change
at any time without notice. It is for informational purposes only and shall not be incorporated into any contract
or other commitment. Splunk undertakes no obligation either to develop the features or functionality
described or to include any such feature or functionality in a future release.
Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in
the United States and other countries. All other brand names, product names, or trademarks belong to their respective owners. ? 2017 Splunk Inc. All rights reserved.
Forward-Looking Statements

自己紹介
Who am I?
池山邦彦（いけやまくにひこ）
e-mail: kikeyama@splunk.com
シニア?セールス?エンジニア
2016年8月 Splunk入社
? 仕事: Splunkで夢を売る仕事
? 趣味: 写真撮影、ドラム、ベース演奏

Agenda
本日お伝えしたい内容
? Splunkについて
? Data FeedとSplunkの連携
? デモ

Splunk概要
? 本社:
? サンフランシスコ（AMER）
? ロンドン（EMEA）
? 香港（APAC）
? 社員数: 3,000+
? 売上高:
$950M (YoY +42%)
? NASDAQ: SPLK
会社
? 無料トライアル
? Splunk Products
? Splunk Enterprise
? Splunk Cloud
? Splunk Light
? プレミアム?ソリューション
製品
? お客様数: 13,000以上
? 110カ国以上
? 小さい組織から大企業まで
? Fortune 100社のうち85社
? 最大ライセンス:
? 1PB/日以上
お客様

? 2017 SPLUNK INC.
? 2017 SPLUNK INC.
? 2017 SPLUNK INC.
マシンデータを
アクセス可能に、
便利なものに、
そして、あらゆる人にとって価値あるものに変革する

マシンデータプラットフォームとして業界を牽引
カスタム
ダッシュボード
レポートと
分析
モニターと
アラート
開発者
プラットフォーム
アドホック
検索
オンプレミス
プライベート
クラウド
パブリック
クラウド
ストレージ
オンライン
ショッピング
コールセンター
デスクトップ
セキュリティ
Web
サービス
ネットワーク
コンテナ
Webユーザー
RFID
スマートフォン
サーバー
メッセージ
GPS
位置情報
パッケージ
アプリケーション
カスタム
オンライン
サービス
データベース通話記録
電力計ファイアウォール
侵入検知
プラットフォーム (Apps / API / SDKs)
エンタープライズの拡張性
ユニバーサル?インデックス
あらゆる場所、種類、ボリュームのマシンデータ様々な課題に応えるデータプラットフォーム

ORDER, 2016-05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100
MAY 21 14:04:12.996 wl-01.acme.com Order 569281734 failed for customer 10098213.
Exception follows: weblogic.jdbc.extensions.ConnectionDeadSQLException:
weblogic.common.resourcepool.ResourceDeadException: Could not create pool connection. The
DBMS driver exception was: [BEA][Oracle JDBC Driver] Error establishing socket to host and port:
ACMEDB-01:1521. Reason: Connection refused
05/21 16:33:11.238 [CONNEVENT] Ext 1207130 (0192033): Event 20111, CTI Num:ServID:Type
0:19:9, App 0, ANI T7998#1, DNIS 5555685981, SerID 40489a07-7f6e-4251-801a-
13ae51a6d092, Trunk T451.16
05/21 16:33:11:242 [SCREENPOPEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092
CUSTID 10098213
05/21 16:37:49.732 [DISCEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092
{actor:{displayName: “Go Boys!!”,followersCount:1366,friendsCount:789,link:
http://dallascowboys.com/,location:{displayName:“Dallas, TX”,objectType:“place”},
objectType:“person”,preferredUsername:“B0ysF@n80”,statusesCount:6072},body: “Can’t buy
this device from @ACME. Site doesn’t work! Called, gave up on waiting for them to answer! RT if
you hate @ACME!!”,objectType:“activity”,postedTime:“2016-05-21T16:39:40.647-0600”}
マシンデータはどのように見える？
ソース
注文履歴
Twitter
ミドルウェアエラー

マシンデータから重要な洞察を得られます
ソース
注文履歴
Twitter
ミドルウェアエラー
Customer ID Order ID Product ID
ORDER, 2016-05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100
MAY 21 14:04:12.996 wl-01.acme.com Order 569281734 failed for customer 10098213.
Exception follows: weblogic.jdbc.extensions.ConnectionDeadSQLException:
weblogic.common.resourcepool.ResourceDeadException: Could not create pool connection. The
DBMS driver exception was: [BEA][Oracle JDBC Driver] Error establishing socket to host and port:
ACMEDB-01:1521. Reason: Connection refused
05/21 16:33:11.238 [CONNEVENT] Ext 1207130 (0192033): Event 20111, CTI Num:ServID:Type
0:19:9, App 0, ANI T7998#1, DNIS 5555685981, SerID 40489a07-7f6e-4251-801a-
13ae51a6d092, Trunk T451.16
05/21 16:33:11:242 [SCREENPOPEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092
CUSTID 10098213
05/21 16:37:49.732 [DISCEVENT] SerID 40489a07-7f6e-4251-801a-13ae51a6d092
{actor:{displayName: “Go Boys!!”,followersCount:1366,friendsCount:789,link:
http://dallascowboys.com/,location:{displayName:“Dallas, TX”,objectType:“place”},
objectType:“person”,preferredUsername:“B0ysF@n80”,statusesCount:6072},body: “Can’t buy
this device from @ACME. Site doesn’t work! Called, gave up on waiting for them to answer! RT if
you hate @ACME!!”,objectType:“activity”,postedTime:“2016-05-21T16:39:40.647-0600”}
Order ID
Twitter ID
Customer ID
Customer ID
Time waiting on hold
Customers Tweet
Company’s Twitter ID

統合されたエンタープライズ?プラットフォーム
可溶性管理データセキュリティ Apps SDK / APIスケール
データ
収集
インデック
ス
データ
装飾
検索 &
発見
分析と
予測
レポート
可視化
アラート
アクション

ITとビジネスに跨って価値を提供
開発者プラットフォーム (REST API, SDKs)
IT 運用
デリバリー
ビジネス
分析
IoTと
産業データ
セキュリティ
コンプライアンス
不正検知
Platform for Operational Intelligence

アカマイから得られるデータ
? Log Delivery Service (aka LDS)
? ユーザーのアクセスから数時間後にバッチ処理で(S)FTP送信
? Cloud Monitor
? エッジサーバーから直接ほぼリアルタイムにログをHTTP POST （Push型）
? SIEM Integration API
? WAFアクティビティをAPI経由で取得（Pull型）
https://developer.akamai.com/api/luna/siem/overview.html
? Data Feed
? Client IntelligenceデータをAPI経由で取得

目標?ゴール
ログと脅威情報の
相関検索から
潜在的なセキュリティリスク
と対応策の知見を得る

相関検索
複数のデータソースから相関するキーワードを検索して関連付け
{
"category": "WEBSCRP",
"code": "434577",
"ip": "223.252.160.139",
"ts": 1510198526,
"targets": {
...
}
{
"type": "akamai_siem",
"attackData": {
"configId": "16167",
"policyId": "t20_51596",
"clientIP": "223.252.160.139”
...
}
{
"type": "cloud_monitor",
"start": "1510198528",
"cp": "110244",
"message": {
"cliIP": "223.252.160.139",
...
}
"223.252.160.139”
"223.252.160.139" "223.252.160.139"
Data Feed SIEM Integration Cloud Monitor

? 攻撃の傾向を把握
? 地域情報 / 攻撃手法 / 時間 /
ネットワーク etc.
? 高度な検索と可視化により
素早いインシデント分析を
可能にする
SIEM Integration API
リアルタイムなデータ検索?可視化によるインシデントレスポンス強化

? 攻撃者のIPアドレスとレピュ
テーションスコアの相関性を
分析
? ターゲットの傾向や攻撃手
法を元に自社に対する本当
の脅威を発見
SIEM Integration API x Data Feed
自社にとっての脅威を抽出
SIEM IntegrationData Feed

? 攻撃が観測され、且つ、
レピュテーションスコアが高
いネットワークからのアクセ
ス傾向を探る
? 同一ネットワーク（AS番号）
でレピュテーションに記録さ
れているIPアドレスによるア
クセス傾向をCloud Monitor
で取得したログから探る
? HTTPステータス / User-Agent /
Referer etc.
Data Feed x Cloud Monitor
大量のデータから潜在的な脅威を発見
Data Feed Cloud Monitor
Cloud Monitor

Contact us
splunkjp@splunk.com

? 2017 SPLUNK INC.? 2017 SPLUNK INC.? 2017 SPLUNK INC.? 2017 SPLUNK INC.
Thank You

狠狠撸

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策

More Related Content

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策

狠狠撸

Akamai x Splunkで実現するAnalytics Drivenな インターネットのセキュリティ対策

More Related Content

Akamai x Splunkで実現するAnalytics Drivenな インターネットのセキュリティ対策

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策

Akamai x Splunkで実現するAnalytics Drivenなインターネットのセキュリティ対策