SIEMの代表製品としてよく知られているSplunkですが、いじりはじめてだんだんわかってきました。
・多くの企業で導入されているものの、使いこなせていない
と言われるが意図的にわかりにくくしているせいもある
・使い方、環境の整え方に関するマニュアルは日本語版は
ろくなものがなく、英文でもお粗末なものが多い
・SPLという検索言語の書き方については、ググれば概ね
わかるが、悩みどころはSPL自体ではない
・ログの仕様(特にWindowsイベント)とSplunkではそれを
どこまで対応できているか、何かを追加すればできるのか、
追加はどうすればいいのか などが全くわかりにくい
(Windowsイベントの .evtx は相応に勉強して理解する
必要はあり)
・ググってもわからない というかできず、結局、外人が
Youtubeで解説しているものを画面に目を凝らしてみてやっ
とわかる というかんじ
設定などがようやくわかってきても、ファイヤーウォール、Windowsイベント、proxyなどのログの相関をみて判断するというのは、相当それぞれの世界を知っている人でないとわからない。
MITRE ATT&CK で公開されている過去の攻撃手口を検知するためのSPLもたくさん参考として公開されていて、私自身これを理解して顧客環境へ適用するという業務もしていますが、このためにはログの内容の意味理解ができないといけない。
つまり、よくわかっている人向けのツールなので、一般企業の情シス担当者にはハードルは相当高いと感じます。
Splunkがやっていることというのは、所詮はログデータをいろいろな条件でキーワード検索し、表形式やグラフで描画するなどであり、大した頭脳が搭載されているわけではありません。Pythonで機械学習ライブラリのアルゴリズムやモデルを使って、業務システムを作れと言われても、容易でないのと同じ理屈ですね。