【Splunkの「誤検知(オオカミ少年アラート)」に疲れていませんか?】
・導入したものの、毎日大量のアラートメールが届き、誰も見なくなっている
・「回数」だけの単純な検知ルールしか設定できていない
・本当に危険なインシデントを見逃していないか不安
・やりたい分析があるが、SPL(Search Processing Language)が難しくて書けない
現役のセキュリティエンジニアが、実務で培ったノウハウを元に、貴社環境に合わせたSplunkクエリ(SPL)を作成・チューニングします。
【提供できるソリューション例】
1. 誤検知(False Positive)の大幅削減
「特定IPを除外」「深夜帯のみ検知」といった単純な除外だけでなく、コンテキスト(文脈)を考慮したロジックを組み込み、運用担当者の負荷を減らします。
2. 統計関数を用いた「異常検知」ルールの作成
「10回失敗したらアラート」という静的な閾値ではなく、標準偏差(stdev)や移動平均を用いて「普段と明らかに違う挙動(動的な閾値)」を検知する高度なクエリを作成します。
3. 調査用ダッシュボードのクエリ作成
FWログ、ADログ、プロキシログ等を紐付け、インシデント発生時にIPアドレス一つで追跡調査ができる検索クエリを提供します。
【納品物】
・SPL(検索クエリ)のテキストファイル
・設定・解説ドキュメント
※コピペでそのまま使える形式で納品します。
【料金について】
・基本料金:10,000円〜(クエリ1本〜)
※「既存のアラートを直したい」等のご相談も歓迎です。まずは「見積り・カスタマイズの相談」から現状をお聞かせください。
【私の強み】
カタログスペックの知識ではなく、日々Splunkを運用し、泥臭いチューニングを行っている「現場の実体験」に基づいた、実用的なクエリを提供します。
トラブル防止のため、ご購入前に必ず「見積り・カスタマイズの相談」ボタンよりご連絡をお願いいたします。
【1. Splunkの環境】
・Splunk Enterprise / Splunk Cloud の別
・取り込んでいるログの種類(例:Windowsイベントログ、FortiGate、Squidなど)
【2. 実現したいこと・課題】
(例:総当たり攻撃(ブルートフォース)を検知したいが、社員のパスワード間違いまで検知してしまうので精度を上げたい)
【3. データのフィールド情報(もし分かれば)】
(例:送信元IPは src_ip 、ユーザー名は user フィールドに入っています、など)
【ご注意事項】
・本業の関係上、平日の日中は返信が遅れる場合がございます(夜間の対応がメインとなります)。
・実際のログデータ(生データ)をいただく必要はありません。フィールド名などの「構造」だけ教えていただければクエリ作成は可能です。
・ビデオ通話での打ち合わせは行っておりません。
ご協力をお願いいたします。
