Cisco Japan Blog

ログフラッドから脅威の兆候へ:シスコと Splunk が最新の防御にコンテキストを提供

1 min read



この記事は、Security Business Group , Director of Product Management である Vignesh Sathiamoorthy によるブログ「 From Log Flood to Threat Signal: Cisco and Splunk Bring Context to Modern Defense 」( 2026年 6月 1日 )の抄訳です。

 

ログ、ランタイムイベント、ファイアウォールのアラート、ワークロードシグナルがいつの間にか壁のように積み重なり、答えはおそらくそのどこかにあることは知っていても、詳しく調べる時間がない。セキュリティチームでは、このようなことがよくあるのではないでしょうか。

アプリケーションは今や Kubernetes クラスター、クラウドワークロード、データセンター、ブランチにまたがり、チームはワークロード、ユーザー、エージェント、ログ、ファイアウォールからのシグナルを結び付けようとしています。それぞれのシグナルがストーリーの一部を伝えますが、脆弱性がかつてなく速くエクスプロイトされるようになっているため、脅威の発見よりもノイズを追うことに時間をかけてしまいがちです。

そこでシスコは、豊富な製品テレメトリを Splunk に取り入れるとともに、そのテレメトリを有用にするうえで必要な検出と相関を提供しています。組織がハイブリッド メッシュ ファイアウォール アーキテクチャに向けて構築を進める際に、シスコがランタイムワークロードと高度なファイアウォールロギングから優れた可視性を提供する一方、Splunk がその可視性を検出、調査、アクションに変える手助けをします。

 

孤立したアラートから、ワークロードのリスクの全体像に移行

最新のアプリケーションはコンテナ、Kubernetes ワークロード、サービスにわたってダイナミックであるため、何かが起こったというアラートを受け取るだけでは不十分です。チームは、どのワークロードによってそれが行われたか、どのプロセスがその原因になったか、その動作は想定されたものかどうかを知る必要があります。

Cisco Isovalent Enterprise Platform は、プロセスの実行、ネットワーク接続、Kubernetes および Linux ワークロード全体のランタイムの可視性を提供します。Splunk が専用の検出および関連付け機能によってそのテレメトリを SOC に取り込むことで、アナリストは不審な動作についてコンテキストを踏まえて理解できます。チームは直接のランタイムイベントを手動で解釈することをやめて、すでに使用している Splunk ワークフロー内で、関連付けられた信頼性の高い検出結果に基づいて行動できるようになります。

 

ネイティブのファイアウォール機能として詳細なログとともに検出結果を取得

テレメトリソースが大量にあるため、セキュリティチームには、アラートから先に進み、小さな変化、予期せぬパターン、攻撃者の動作の微妙な兆候を探す時間がほとんどありません。最新のソフトウェアリリースで、Cisco Firewall にネイティブの高度なロギング機能が導入され、お客様は構造化された詳細なログによって、より豊富なプロトコルレベルの詳細が得られるようになりました。

Splunk はその詳細を有用な検出と相関へと変え、DNS、HTTP、FTP、接続動作、異常、検査イベント内の重要なパターンを手動でのソートなしで表面化できるようにチームを支援します。Splunk のカスタムの検出と相関により、アナリストは、コマンド&コントロール動作、DNS トンネリング、不審なダウンロード、ビーコン、異常なプロトコルアクティビティなど、基本的なログでは見落とされる可能性があるパターンを特定できます。

 

インシデントがエスカレートする前に脅威を迅速に検出

多くの攻撃は、侵入の時点では明らかではありません。そのため、予防策で何かが見落とされた場合、検出スピードが重要になります。そこで大いに役立つのが、シスコのテレメトリと Splunk の分析の組み合わせです。

たとえば、Kubernetes の出力トラフィックが Cisco Secure Firewall によって検査される環境では、侵害されたウェブサービスの Pod が突然シェルを生成し、DNS を通じて通信を開始します。Isovalent テレメトリを使用する Splunk の検出が、Pod、プロセス、タイミング、宛先を表示できる一方、Cisco Secure Firewall の高度なロギングが、異常なクエリパターンや正常でない応答サイズなどのコンテキストを追加します。これらのシグナルを組み合わせることで、アナリストはワークロード動作をネットワーク動作と結び付け、自信を持って調査し、より迅速に対応できるようになります。

時間の経過とともに、お客様は以下を行うための高度な能力が得られるようになります。

  • 検出:手動でのイベントのつなぎ合わせを減らし、より迅速な脅威検出を実現する
  • 調査:より適切なコンテキストを得て、行動する自信を高める
  • 行動:ハイブリッド環境全体で、より迅速に対応する

シスコと Splunk は、より詳細な製品テレメトリと専用の検出機能を 1 つのセキュリティワークフローに取り入れることでこれを可能にしています。この利点を増幅させるために、Cisco Firewall Promotional Splunk Capacity(FTD)による高度な脅威検出、調査、対応をご覧ください。

 

ぜひお客様のご意見をお聞かせください。質問を投稿し、ソーシャルネットワークで Cisco Security の最新情報を入手してください。

Cisco Security ソーシャルメディア

LinkedIn
Facebook
Instagram

Authors

中村 光宏

セキュリティ事業

SE本部長

コメントを書く