企業のセキュリティ環境で多数のログを分析しているうちに、こんなことを考えたことがあるはずです。
「このIPは正常なのか?」
「誰が自社のネットワークにアクセスしたのか?」
「このアクセスはVPNやTor経由のものなのか?」
Splunk内のCriminal IP Searchアプリを活用することで、これらの質問に対する答えを即座に確認することができます。
Criminal IP Searchアプリは、ログに登場するIPアドレスをCriminal IPの脅威インテリジェンスデータベースとリアルタイムで連動し、IPの特性と危険性を自動的に分析・可視化するアプリです。
Splunk内でリアルタイムの脅威検出機能
Criminal IP Searchアプリは、SplunkのSearchコマンド内で動作するストリーミングカスタムコマンドベースのアプリで、ログに現れるIPアドレスをCriminal IPのインテリジェンスデータベースと連携し、リアルタイムで分析します。
特に、Webファイアウォール(WAF)やFortinetなどのネットワークセキュリティ機器のログをSplunkに連動させておけば、次のような質問に直接答えることができます。
- 外部から自社のサービスにアクセスするIPのうち、悪質なIPはどれくらいあるのだろうか?
- 社内で疑わしい外部IPとの通信が発生していないだろうか?
- どれだけのVPN、Tor、Proxyベースのアクセスが試みられているのか?
Criminal IP Searchは、単純なフィルタリングではなく、アクセス行為に対する定性的なリスク分析が可能な仕組みを提供します。
主な機能
1. リアルタイムのIP検索機能
criminalipコマンドをSearch内で実行することで、IPインテリジェンス情報をリアルタイムで照会することができます。
- インバウンド・アウトバウンドベースのリスクスコア(ip_score)を提供
- 数十種類の脅威要因に基づいて悪質なインフラを判定
2. 悪質なインフラ検出の項目
Criminal IPインテリジェンスは、次のような主要脅威タイプをリアルタイムで識別します。
| 項目 | 説明 |
|---|---|
| Mobile | モバイル環境で使用されるIP |
| Snort | Snortネットワークで悪質と判断されたIP |
| VPN | VPN接続に使用されるバイパスIP |
| Tor | TorネットワークベースのアクセスIP |
| Proxy | プロキシサーバーによる匿名化IP |
| Scanner | ポートスキャンなどに使用される自動化されたIP |
| Hosting | クラウド基盤のサーバー、ホスティング環境のIP |
このような脅威要素は、issue、scanner、proxyなどのフィールドでログ結果に含まれ、視覚的に区別することができます。
インストールと使用方法
- SplunkbaseでCriminal IP Searchアプリをダウンロードし、インストールします。
- Splunkを再起動します。
- Criminal IPに会員登録し、APIキーを生成します。
- アプリ設定ページにAPIキーを入力します。
- Searchでcriminalipコマンドを使用し、リアルタイムのIPインテリジェンスを実行します。
*ご注意:多数のIPに対してクエリを実行する場合、APIがリアルタイムで呼び出されるため、応答時間が長くなる場合があります。クエリあたりのIPは300個以下に制限することをお勧めします。
コマンドの例:
- 単一IP照会:criminalip ip_address=”1.1.1.1″
- 複数IP照会:eval ip_address=dst_ip |criminalip
- 結果から特定のフィールドのみを検索するには:eval ip_address=dst_ip |criminalip |table ip_address,outbound_score,issue,proxy,scanner
GitHubリンク:https://github.com/criminalip/CriminalIP-Splunk-Search-IP
実際の活用シナリオ
1. SIEM検知ルールの強化
Criminal IPのデータを外部インテリジェンスとして活用することで、既存の検知条件を補完し、リスク要因の正確なスクリーニングが可能になります。
2. バイパスアクセスユーザーの検知
VPN、Tor、Proxyを利用する接続者がネットワークにアクセスした場合、リアルタイムで検知され、ポリシーに即した対応が可能です。特にSaaS、内部ネットワーク保護環境で有用に活用できます。
3. セキュリティレポートの自動化
ログ分析結果に基づき、IPリスクスコアと脅威タグを基準に日次・週次レポートの自動生成が可能で、セキュリティ監査対応にも活用できます。
結論
これまでSplunkでのIP分析は、主に内部検知ルールや限られたインテリジェンスに基づいて行われてきました。しかし、Criminal IP Searchアプリは、世界中の脅威データに基づいて判断に必要な情報をリアルタイムで提供し、Splunkの既存のワークフローに簡単に統合できるように設計されています。
設定はシンプルですが、得られる成果は非常に明確です。IPベースの異常行為検知、検知ポリシーの高度化、そしてセキュリティの可視性向上を一度に実現できます。
参考情報
- GitHubドキュメント:https://github.com/criminalip/CIP-FDS(Searchアプリ専用ドキュメントは順次更新予定)
- 技術お問い合わせ:support@aispera.com
データ提供:Criminal IP(https://www.criminalip.io/ja)、Splunk(https://splunkbase.splunk.com/app/7733)
