DFIR実務者のためのSplunkによるデータ加工の手筋
Splunkはマシンデータ分析基盤として確固たる地位を築いています。情報セキュリティ分野でも、Splunkを活用している組織は少なくありません。シンプルなインターフェースで、Google感覚で使っても一定のサーチが遂行できるのは、すばらしいことです。
しかしインシデント対応の現場で首尾よく使いこなすためには、クエリ言語であるSPL(Search Processing Language)に親しむ必要があります。SPLを用いたサーチ文はLinuxのシェル芸(grep | sort | uniq -c ...)とは異なる一行野郎(One-liner)の体系で、表面的なコマンドの意味とは異なる用法がある点に難しさがあります。
たとえばstreamstatsコマンドは本来は累積値を与えるもので、SQLにおけるウィンドウ関数に相当します。しかし実際には、サンキーダイアグラムを作成するためのデータ加工にも利用されます。あるいはまた、構文やデータ構造の制約を迂回するためにマルチバリューやサブサーチを持ち出すこともあるでしょう。
今回のCommunity Nightでは、DFIR実務者がインシデント対応現場で遭遇しうるケースを取り上げながら、典型的なデータ加工の手筋を整理してご紹介します。同時に、考え方や参照先を示し、受講者が独力で鍛錬できるようになることを目指します。
登壇者紹介:
渡辺 慎太郎(NRIセキュア認定 SANSトレーニング・アドバンスド・インストラクター)
JCOM株式会社サイバーセキュリティ推進室専任部長として、セキュリティ計画および事案対処業務に従事。外部脅威対策や内部不正対策を立案・推進したのち、現在は外部不正への取り組みに力を入れている。外部団体では、ICT-ISAC、産業横断サイバーセキュリティ検討会、日本ケーブルテレビ連盟においても活動を行っている。
主たる保有資格にCISA、CISSP、GCIA、GDSA、GCIH、GPEN、GWAPT、GCFA、GNFA、GCFR、GREM、ITストラテジスト、ITサービスマネージャ、システム監査技術者。『情報セキュリティ概論』(日本工業出版、2019年、共著)などの執筆のほか、各種講演を実施している。なお、本当に好きな言語はRであってSplunk SPLではない。
