Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ソリューションガイド
クラウドにおけるリモートワーク環境の管理と運用、セキュリティデータの リアルタイム分析
Remote Work Insights
1Remote Work Insights
ソリューションガイド
リモートワーク環境の従業員の サポート在宅勤務を導入する組織が増えるにつれ、リモートワークシステムはますますミッションクリティカルになりつつあります。これに伴い、パフォーマンスの最適化とセキュリティリスクの軽減は、これまで以上に重要になっています。
Splunkでは、従業員のリモートワーク状況を監視し、セキュリティを確保したいと考えているお客様に、無料のプログラムであるRemote Work Insightsを提供しています。このプログラムは、リモートワーク環境の可視化として迅速かつ拡張性の高い方法で、組織全体に有意義なインサイトを提供するための基盤となります。
Remote Work Insightsプログラムに参加されるお客様は、Splunk Cloudを一定期間(通常は90日)無料でご利用いただけます。これにより、Splunkの支援を受けながらデータを取り込み、選択したユースケースのベストプラクティスを実装できます。また、Splunkを利用すれば、主要な業績評価指標の監視、新たな問題の特定、環境全体だけでなく小さな集団でよく見られる事象を対象とした根本原因の詳細な分析を、単一のプラットフォームで実行できます。
Remote Work Insightsプログラムでは、以下の内容を行います。
• ビジネス上の課題の把握と数値化
• お客様のビジネスに関連する主なユースケースの 特定
• 選択したユースケースを実行するために必要なSplunk Appとアドオンの提供
Remote Work InsightsでサポートされるユースケースリモートアクセスのVPNの監視リモートワークを実施する組織の増加に伴い、パフォーマンスへの要求も高まっています。リモートアクセスのVPNを監視すれば、パフォーマンスの問題からアプリケーションの使用状況まで、幅広いインサイトを活用して、作業環境の監視、保護、トラブルシューティングをより効果的に行えるようになります。
リモートアクセス:Microsoft 365によるコラボレーションの監視従業員の在宅勤務への移行に伴い、企業ではリモートアクセスツールやコラボレーションツールの負荷が増加し、機能が停止することさえあります。また、Microsoft 365などのコミュニケーションソリューションやコラボレーションソリューションへの依存が高まるにつれ、機能の停止はかつてないほど深刻な課題となっています。従業員の生産性を維持し、SLAに準拠するために一貫したサービス提供を行いたいと考える企業は、サービスのパフォーマンスを監視し、インシデントを調査し、そのデータとクラウドサービスデータの相関付けができなければなりません。Remote Work Insights for Microsoft 365を使用すれば、これを簡単に実現できます。
VPNのアクティビティをリアルタイムで表示するダッシュボードの例
2Remote Work Insights
ソリューションガイド
Microsoft365のアクティビティをリアルタイムで表示するダッシュボードの例。
Zoomビデオ会議活動へのリアルタイムの可視性を示すサンプル・ダッシュボード。
ダッシュボードのサンプルは、認証アクティビティのリアルタイムな可視性を表示します。
Splunkでは、契約期間中に実証できる主な運用ユースケースのリストを作成しています。お客様の組織で特に興味がある領域にチェックマークを入れてください。複数のユースケースをお選びいただき、アカウントチームと、今後に向けた最適な方法を決定していただくこともできます。
ビデオ会議リモートワークへの移行に伴い、ビデオ会議ソリューションの使用が劇的に増加しており、すでに多忙なIT運用チームに負担がかかる可能性があります。その結果、ITチームは、サードパーティが提供するビデオ会議ソリューションに関連する問題のトラブルシューティングを行う必要性が高まっています。リモートワークインサイトは、Zoom会議、ウェビナー、および会議室のオーディオおよびビデオのパフォーマンスと品質に影響を与える問題を可視化します。
認証リモートアクセスVPN監視と同様に、認証データを表示することで、同時接続数やユーザー数、システム内のアクティブユーザー、帯域幅の使用率、失敗したログインやセッションに反映されるサービスの問題など、IT運用上の重要な問題を可視化することができます。Remote Work Insightsがサポートする認証サービスには、Okta、Duo、Sailpoint、Windowsなどがあります。
3Remote Work Insights
ソリューションガイド
Splunkは、エンゲージメント中にデモンストレーションできる主要な運用とセキュリティのユースケースのリストを作成しました。あなたとあなたの組織にとって特に関心のある分野にチェックを入れてください。組織は複数のユースケースを選択することができますが、開始するユースケースは3つまでとします。アカウントチームと協力して、最善の道筋を決定してください。
ユースケース1
リモートアクセスのVPNの監視対象デバイス データソース(2つまで選択可)
VPNゲートウェイまたは クライアント
Cisco AnyConnect NVM
Cisco ASA
Palo Alto Networks
Fortinet
チェックポイントZScaler
技術的な監視基準 VPNに接続しているユーザー数は何人か?経過時間はどれぐらいか?ユーザーの総数ユーザーの接続元エラー任意の時点での同時ユーザー数VPNに接続しているデバイスの種類VPNに接続できないユーザー (試行の失敗または試行していない)
接続の切断の有無アクセスされているアプリケーション
ユースケース2
リモートアクセスVPNのセキュリティ画面対象デバイス データソース(2つまで選択可)
VPNゲートウェイまたは クライアント
Cisco AnyConnect
Palo Alto Networks GlobalProtect
Fortinet Forticlient
Check Point SecuRemote, SecuClient, Endpoint Security, SSL VPN
Zscaler ZPA, ZPI
セキュリティ検出と レスポンスのユースケース
稀に見る/意外な国からのログイン成功地理的にあり得ないアクセスパスワードスプレー複数の同時ログインサポートされていないデバイスからのVPN接続TORまたは疑わしいドメインからの認証VPNサブネット上でSMB/UPnP/Bonjourデバイスが表示/利用可能になっている
4Remote Work Insights
ソリューションガイド
ユースケース3
リモートアクセス:Microsoft 365によるコラボレーションの監視Microsoft 365 Appには、すぐに使用できる複数のダッシュボードが用意されています。 興味のあるものを選択してください。
Azure Active Directory
User Auditダッシュボード
Exchange
SharePoint
OneDrive
Microsoft Teams
Power BI
このユースケースのデータソースは、Microsoft 365の各テクノロジーアドオンを導入することで使用できるようになります。これらのアドオンには、データを取り込む際の手順を追った詳細なガイドが付属しています。
ユースケース4
リモートアクセス: Microsoft 365環境のためのセキュリティ監視画面対象となるMicrosoft 365データソース
セキュリティ検出とレスポンスのユースケース
Management Data BCCへの組織追加ルール作成メール転送ルールが追加PSTファイルのエクスポートメールボックスへの権限追加新しい管理者が追加OneDriveファイルの共有OneDriveからのダウンロード
Azure Active Directory 稀に見る/意外な国からのログイン成功地理的にあり得ないアクセスパスワードスプレー複数の同時ログイン外部組織のユーザーログイン有効期限切れ/無効アカウントからのログイン試行
Message Trace Logs パスワードリセットメールの急増パンデミック関連の件名を持つメール既知の悪質ドメインからのメール本物によく似せたドメインからのメール企業ドメインを使用した組織外からの電子メール
5Remote Work Insights
ソリューションガイド
ユースケース5
認証ログのセキュリティ監視と対応対象:認証データソース セキュリティ検出とレスポンスのユースケース
地理的なマッピング(IPアドレスなど)が可能なもの
地理的にありえないアクセスを検出いつもと違う国・地域からのログイン単一の場所/IPからの複数のログイン単一のソースから複数のアカウントへのログイン試行(パスワードスプレー )
任意(一般的なものは、Okta、Duo、Ping、Windowsセキュリティ、 Azure AD、従来のADを含む
サービスアカウントから新しいインタラクティブログオン不正ユーザがインスコープシステムにログインした場合過度なユーザーアカウントのロックアウト数期限切れユーザーからアクティビティ長く休眠していたIDのアクティビティ特権行為を行う新規ユーザー特権グループへのユーザーの作成/変更/追加を監査
デフォルトのアカウントからのアクティビティ検出ユーザー /ロール毎の異常なシステムアクセス過度なログイン失敗同時ログインの試みの検出新しいデバイスからのログイン成功新サーバーへの初回ログイン中継サーバーへの初回ログインホストへのログイン回数の増加
任意(一般的なものはOkta、Duo、Ping、Windowsセキュリティ、Azure AD、ク従来のADなど)+エンドポイント/ マルウェアデータ
感染したシステムにログインした要注意人物/優先度高ユーザ
ユースケース6
Zoomのセキュリティ監視と対応対象: Zoomデータソース セキュリティ検出とレスポンスのユースケース
TCP Webhookを介した Zoomイベント
個人ID・会議IDの再利用クライアントのバージョンの監査パスワードと会議IDに関連するプロファイル設定の監査新規ユーザーアカウントやその他の変更を監査異常なZoom会議時間
Zoom Events via TCP Webhook + REST API calls
いつもと違う国・地域からのZoomログインZoom爆弾の防止2
2.リモートワークインサイトの提供に含まれていないPhantomライセンスが必要ですが、お客様自身で行うことができます。Phantomの詳細と、Phantomの無料コミュニティ版の利用開始に関する情報はこちらをご覧ください。
6Remote Work Insights
ソリューションガイド
ユースケース7
Zoomサービスのパフォーマンスと品質のモニタリング対象: Zoomデータソース セキュリティ検出とレスポンスのユースケース
Zoom ‘Meeting Alerts’ via TCP Webhook
音声や映像が不安定な場合(会議)画面共有の質が悪い(会議)CPUの使用率が高い(会議)
通話再接続の多発(会議)
Zoom ‘Webinar Alert’ via TCP Webhook
不安定な音声またはビデオ(ウェビナー)画面共有の品質が悪い(ウェビナー) CPUの使用率が高い(ウェビナー)通話再接続の多発(ウェビナー)
ユースケース8
Zoom利用測定対象: Zoomデータソース サービス利用状況
TCP Webhook経由での 「会議作成」「会議開始」 「参加者」通知データ
会議作成会議開始会議参加
TCP Webhook経由での 「ウェビナー作成」「ウェビナー開始」「ウェビナー参加者」 通知データ
ウェビナー作成ウェビナー開始ウェビナー参加
ユースケース9
Zoomクラウド録画監視対象: Zoomデータソース サービス利用状況
TCP Webhook経由での 「録画完了」通知データ
録画完了
ユースケース10
Zoomルームアラート監視対象: Zoomデータソース サービス利用状況
TCP Webhook経由での「Zoomルームアラート」 通知データ
高いCPU使用率Zoom Room機器の低バッテリー、充電、接続問題Roomコントローラーの接続/再接続カメラの切断/再接続カメラ/マイクの接続不良スピーカーの切断/再接続
© 2020 Splunk Inc. 無断複写・転載を禁じます。 Splunk, Splunk>, Data-to-Everything, D2EおよびTurn Data Into Doing は、米国およびその他の国におけるSplunk Inc.の商標または登録商標です。他のすべてのブランド名、製品名、もしくは商標は、それぞれの所有者に帰属します。 2020-Splunk-RET-Remote Work Insights-A4-WP-JA-202004
www.splunk.com/[email protected]
お問い合わせはこちら:https://www.splunk.com/ja_jp/talk-to-sales.html
〒100-0004 千代田区大手町1-1-1 大手町パークビルディング 8階
ソリューションガイド
成功のためのインサイト: お客様へのサポートSplunkはこのプログラムを通してお客様のリモートワーク 環境整備を支援します。Remote Work Insights導入にあたり、以下のセクションに記載されている情報をご用意いただき、Splunk営業までご連絡ください。お客様が希望する成果と、データを取り込むために何が必要かを確認するための別途、電話会議の日時を設定いたします。また、監視に必要なデータの種類に関する情報を提供いただき、基本的な導入を開始するためのベストプラクティスについてご相談ください。
お問い合わせSplunkチームから連絡させていただく窓口:
スポンサー (主な連絡先):
テクニカルリード:
エンドユーザー 1:
エンドユーザー 2:
エンドユーザー 3:
エンドユーザー 4:
エンドユーザー 5:
推奨トレーニングおよびトライアルSplunkをまだご利用でないお客様は、splunk.comアカウントに登録していただくと共に、splunk.com/trainingで無料のSplunk Eラーニングにもお申し込みいただき、Fundamentalsの内容を理解しておくことをお勧めします。