SIEM製品の代表格であるSplunkで、無償Enterpriseをダウンロードしあれこれ試行錯誤をしています。

 

SPLというSplunk専用の言語があって、採取されるログの中の要素を使って選別、抽出などを行い解析に役立てることができます。

しかし、一般的にはあまり解析を導入ユーザが自ら行うことは少ないと言われています。

 

これまでのところ、MITER　ATT&CK　などが公開している過去に発生したマルウェア感染とか、サイバー攻撃の特徴とそれに基づくSPLでの抽出テンプレートのようなものがあるので、これを採取されるログに適用するのが有益と考えています。

 

一方、Splunkにはログデータを機械学習で学習、異常判別させるためのツール（Splunk Machine Learning Toolkit MLTK）というものがあり、無償で使えます。

 

そこで早速ダウンロードしてみました。中身はTensorFlow だということで、機械学習の一般的な手法、アルゴリズムがインストールされていて、サンプルデータもそこそこバンドルされています。

 

一方、ツール自体がどうこうというよりも、大量のログデータに対して、「何をもって異常と判断するか」という根本的な観点は考えなくてはなりません。データはふんだんにあるので、どうするか悩み中です。