Page 1: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .© 2 0 1 9 S P L U N K I N C .




Splunk Services Japan 合同会社Senior Sales Engineer 横田 聡, CISSP

2019.09.06 Ver1.0

Page 2: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

During the course of this presentation, we may make forward-looking statements regarding future events or the

expected performance of the company. We caution you that such statements reflect our current

expectations and estimates based on factors currently known to us and that actual events or results could differ

materially. For important factors that may cause actual results to differ from those contained in our forward-looking

statements, please review our filings with the SEC.

The forward-looking statements made in this presentation are being made as of the time and date of its live

presentation. If reviewed after its live presentation, this presentation may not contain current or accurate information.

We do not assume any obligation to update any forward-looking statements we may make. In addition, any information

about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for

informational purposes only and shall not be incorporated into any contract or other commitment. Splunk undertakes

no obligation either to develop the features or functionality described or to include any such feature or functionality in

a future release.

Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in the United States

and other countries. All other brand names, product names, or trademarks belong to their respective owners. © 2019 Splunk Inc. All rights reserved.

Forward-Looking Statements


Page 3: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .




無償でセキュリティ運用に使えるSplunkのApps 10選をご紹介


Page 4: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Splunk Appsとは

Page 5: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

豊富なSplunk Apps・他社製品との連携Splunk Appsサイトで約1500種類のアプリケーションが利用可能












Web IntelligenceStream

固定スキーマなし – どんなデータでもそのまま投入

Page 6: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .



Page 7: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► Splunk Apps は、Splunk に適用すれば多くの業務や役割ですぐに効果を得られるように設計されています。Apps によって、ユーザーの操作は簡素化と最適化が行われると同時に、Splunk プラットフォームのデータや機能はフルにアクセスできます。

• ビルトインダッシュボード、レポート、アラート、ワークフロー

• パワーユーザー向けの綿密なデータ分析

• ポイントアンドクリックの分析をビジネスユーザーへ

► Splunk Add onは、あらゆるソースからデータをインポートして拡充し、充実したデータセットを作成。Apps 内で直接分析したり利用したりできる状態となります。また、Add onを使うと、Splunk プラットフォームを特定のニーズに応じて拡張することもできます。

• 何百もの共通ソースによるオンボードデータ

• フィールドを自動選択、特定、タグ付け

• 別の情報ソースを用いてデータを拡充


ダッシュボード フィールド定義&取込モジュール

Page 8: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .






Page 9: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 10: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


データ取り込み データ保存 可視化 分析とレポート アラート

Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用













Page 11: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

無償のセキュリティ神Apps 10選監視設計の各ステップに有効なAppを紹介

データ取り込み データ保存 可視化 分析とレポート アラート

Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用







Page 12: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 13: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• Splunkのstream appを使ってWireデータを可視化

► 推奨利用シーン

• webサーバには直接UFを導入できないがWebリクエストをリアルタイムに取得したい

• dnsサーバに対するクエリログをリアルタイムに取得したい

► 関連App

• Splunk Essentials for Wire Data

► 参考記事

• Splunk Streamを使って http通信のWire Dataを可視化

①Splunk Stream「UF(転送Agent)をインストールできないからネットワーク上でモニターしてデータを収集したい」

Page 14: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

What is stream?Flow Data vs Splunk Stream

Flow-type Data

7. Application

6. Presentation

5. Session

4. Transport

3. Network

2. Data Link

1. Physical

Splunk Stream

7. Application

6. Presentation

5. Session

4. Transport

3. Network

2. Data Link

1. Physical

▶ ホストとホスト間の接続を示すことができますが、これらの会話の内容は記録されていない


▶ Splunk Streamは、 Wireデータをフルレイヤーを対象にすべて解析し、詳細な情報を含むイベントを生成します


ポイント:Splunk Streamは 全レイヤー層から必要なフィールドに限定して抽出することが可能

Page 15: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 7 S P L U N K I N C .

収集方法は?I see data everywhere


End Users

SPAN or TAPFirewall


Search head Linux - Universal Forwarder(Splunk_TA_Stream)


Page 16: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Demo : Splunk Stream

Page 17: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 18: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• CIMに準拠した高速化データモデルを新たに作成

► 推奨利用シーン

• 過去1年分のVPNやActive Directoryなどのあらゆる認証イベントの成功/失敗件数の傾向レポートを高速作成したい。

► 関連App

• -

► 参考記事

• SplunkのData Model Accelerationは何故早いのか

② CIM(Common Information Model)「中長期に渡る傾向を分析するための集計サマリを作成したい」

Page 19: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

What is CIM?各レイヤー、各社で異なる製品を使っていても標準化(CIM化)によって相関検索が可能






国産ベンダProxy 国産ベンダProxy





Threat Intelligence





Monitor Detect Investigate Respond



3rd PartySIEM




グループB グループC



Page 20: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .



高速化のステータス確認• ステータスが100%になれば、サマリー範囲期間分のデータモルサマリが作成されている。

• データモデルサマリは46.12MBのディスクを消費している事がわかる。

[設定] – [データモデル]に移動しAuthenticationデータモデルを編集

Page 21: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 22: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• 高速化データモデルを事前に作成しておき、InfoSec Appを追加するだけで可視化が可能。

► 推奨利用シーン

• ユーザ名、ホスト名を元にした調査ダッシュボードを手早く用意したい

• ネットワークトラフィックの傾向監視ダッシュボードを手早く用意したい

► 関連App

• Force Directed Visualization

• Punchcard visualization

• Splunk Common Information Model (CIM)

► 参考URL


③ InfoSec App for Splunk「ゼロからダッシュボード作るにもヒントがほしい!」

Page 23: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Demo : InfoSec App for Splunk

Page 24: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• AWSのログ(cloudtrail)をAdd-onを使って収集し、Appを使った可視化

► 推奨利用シーン

• AWSサービス内のコンポーネントの関連をトポロジーマップで可視化したい

• 不正なアクセスキーの利用が無いか可視化したい

► 関連App

• Splunk Add-on for Amazon Web Services

► 参考記事

• SplunkのAWS統合サービス「Splunk App for AWS」を試してみた by ハマコーさん

④ Splunk App for AWS「 AWS環境のセキュリティ監視のためのダッシュボードがほしい!」

Page 25: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


トポロジー機能 Insights機能


Problem:Security groups with rules that allow unrestricted access ( to specific ports.

Solution:Restrict access to only those IP addresses that require it. To restrict access to a specific IP address, set the suffix to /32 (for example, sure to delete overly permissive rules after creating rules that are more restrictive.

Details:Accessing to port 20 - 22 is unrestricted.


Page 26: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 27: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• データソースを元に絞込んで有効なサーチ文を選択。試した後にスケジュールサーチに保存

► 推奨利用シーン

• Active Directoryに対する不正アクセスの兆候を気づくための監視ルールを適用したい

• エンドポイント上での通常と異なる不審なプロセスを検知したい

► 関連App

• -

► 参考記事

• 無償のSplunk Security Essentialの使い方!

⑤ Splunk Security Essential「セキュリティの監視ルールはできる所から始めたい。」

Page 28: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Demo :Splunk Security Essential

Page 29: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• 機械学習(MLTK)と関連Appsをインストールしdns/proxyログからdomain情報を分析

► 推奨利用シーン

• マルウェアが外部通信に利用する際に利用するDGA生成ドメインを検知したい

► 関連App

• Splunk Machine Learning Toolkit 2.4

• URL Toolbox App

• 3D Scatterplot

• Parallel coordinates

► 参考記事

• DGA App for Splunk: Japanese (HowTo解説動画)

⑥ DGA App for Splunk「セキュリティの監視ルールはできる所から始めたい。」


Page 30: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

DGA App for Splunkの使い方日本語解説動画を是非ご視聴ください。

Page 31: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• src、destの関係を含むデータを用意して、サーチ結果のビジュアライゼーションを利用

► 推奨利用シーン

• 不審なURLへの接続状況をトポロジーで可視化。更にトポロジーをクリックしてドリルダウン調査を行いたい

► 関連App

• -

⑦ Network Topology - Custom Visualization「トポロジーを使った関連マップを作りたい。」

Page 33: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


Page 34: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• Alert Manager Add-onとAlert Managerをインストールして、スケジュールサーチ結果のアラートアクション先に指定

► 推奨利用シーン

• スケジュールサーチのアラート発生時の簡易チケッティング機能として利用

► 関連App

• Alert Manager Add-on

⑧ Alert Manager「アラートを一元管理したい」

Page 35: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• 本Appをインストールして、iOSモバイルにSplunk Mobileをインストール。

► 推奨利用シーン

• 外出時のアラートチェックをパソコン開かずにmobileから確認したい

► 関連App

• Splunk Mobile (iOS)

► 参考記事

• Splunk Mobile(Splunk Cloud Gateway)を使って旅先でPC開かずにアラートチェック

⑨ Splunk Cloud Gateway「モバイルからアラートを見たい」

Page 36: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Demo :Splunk Cloud Gateway

Page 37: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► How to use

• csvファイル(UTF-8)をLookup File Editorにアップロードして、GUIからも直接編集。

► 推奨利用シーン

• 社内のアセット情報のレコード修正をGUIから行いたい(IPアドレスレンジと利用グループの紐付け*比較的更新頻度は少ない*)

► 関連App

• -

► 参考記事

• Lookup Editorの使い方 by じゅのぶろさん

⑩ Lookup File Editor「社内アセットリストをGUIで更新したい」

Page 38: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .


データ取り込み データ保存 可視化 分析とレポート アラート

Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用







Page 39: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .



Page 40: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

Next Security Session [A-3] 16:30〜










Enterprise Security

User Behavior Analytics


Premium Solution(有償)

ES Content Update投資(ライセンス、リソース)

Page 41: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

4 Days of Innovation 350 Education Sessions 20 Hours of Networking

“Hands down the most beneficial and attendee focused conference I have attended!”

– Michael Mills, Senior Consultant, Booz Allen Hamilton


.conf19October 21-24, 2019

Splunk UniversityOctober19-21, 2019

Las Vegas, NVThe Venetian Sands Expo

October 21-24

Page 42: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .

► 日付:11/7(木) 10:00-17:30

► 参加人数: 1チームあたり3-5名、全体100名程度

► 参加に必要なスキル

• セキュリティ運用における実務経験(SOC Tier3クラス)

• Splunk Enterpriseの操作(簡単なサーチコマンド)

► 参加費:無料

MEGA BOTS Tokyo (CTF)を開催します!日本一のセキュリティSplunk使いを決めます


Global No1を決めるぜ!

Page 43: Splunk Corporate Presentation Template...6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport

© 2 0 1 9 S P L U N K I N C .© 2 0 1 9 S P L U N K I N C .

Thank You.
