SIEM製品の代表格であるSplunkで、無償Enterpriseをダウンロードしあれこれ試行錯誤をしています。
SPLというSplunk専用の言語があって、採取されるログの中の要素を使って選別、抽出などを行い解析に役立てることができます。
しかし、一般的にはあまり解析を導入ユーザが自ら行うことは少ないと言われています。
これまでのところ、MITER ATT&CK などが公開している過去に発生したマルウェア感染とか、サイバー攻撃の特徴とそれに基づくSPLでの抽出テンプレートのようなものがあるので、これを採取されるログに適用するのが有益と考えています。
一方、Splunkにはログデータを機械学習で学習、異常判別させるためのツール(Splunk Machine Learning Toolkit MLTK)というものがあり、無償で使えます。
そこで早速ダウンロードしてみました。中身はTensorFlow だということで、機械学習の一般的な手法、アルゴリズムがインストールされていて、サンプルデータもそこそこバンドルされています。
一方、ツール自体がどうこうというよりも、大量のログデータに対して、「何をもって異常と判断するか」という根本的な観点は考えなくてはなりません。データはふんだんにあるので、どうするか悩み中です。