Illumio、Splunkと統合してセキュリティ業務の対応時間を短縮
イルミオの適応型マイクロセグメンテーションテクノロジーは、急速にセキュリティスタックの基盤となり、データセンターやクラウド環境で実行されるアプリケーションを保護するための不可欠なツールになりつつあります。お客様がアプリケーション環境のより多くの部分を保護するためにIllumio Adaptive Security Platform(ASP)を展開しているのを見ると、セキュリティ情報およびイベント管理(SIEM)などのツールを使用してアラートや異常がないか環境を監視するセキュリティオペレーションセンター(SOC)チームなど、組織内のより多くのチームにIllumioを拡張していることもわかります。
イルミオとの統合 スプランク これにより、SOCチームは侵害された可能性のあるワークロードを迅速に特定できるようになり、Illumioの管理者はIllumioソリューションの状態を監視できるようになります。
当社は以下の方法でSplunkと統合しています。
イルミオとスプランクのサーバー
Illumio ASPは、監査イベント、ポリシーイベント、およびIllumioソリューションの正常性をSplunk Enterprise Serverに直接転送し、そこでデータを既存のものと統合できます セキュリティオペレーション Splunkエンタープライズセキュリティ、Splunk用Illumioアプリ、SOCチームワークフローなどのツール。
Splunk向けイルミオテクノロジーアドオン (TA)
Splunk向けイルミオテクノロジーアドオンがイルミオをさらに豊かにします ポリシーコンピュートエンジン (PCE) 共通情報モデル (CIM) フィールド名、イベントタイプ、およびタグを含むデータ。TA により、Illumio のデータを Splunk エンタープライズセキュリティ、Illumio アプリ for Splunk、および Splunk エコシステムの他のアプリケーションで簡単に使用できるようになります。
イルミオ TA は Splunkbase から無料でダウンロードできます。 ここに。
イルミオとSplunkのエンタープライズセキュリティ
Splunk Enterprise Security (ES) は、内部および外部の攻撃を迅速に検出して対応する機能をお客様に提供するプレミアムソリューションです。Illumio と Splunk ES の統合は、脅威管理を簡素化し、リスクを最小限に抑えるのに役立ちます。Splunk ES はセキュリティ運用のあらゆる側面を合理化し、あらゆる規模と専門知識の組織に適しています。Illumio 向けテクノロジーアドオンは、受信する Illumio データに CIM タグを付けることで、Illumio データを Splunk ES 内で効果的に使用できるようにします。
Splunk向けイルミオアプリ
Illumio App for Splunkは、Illumioのセキュリティで保護された環境に関するセキュリティと運用上の洞察を提供することで、IllumioとSplunkの統合を強化する事前構築済みのダッシュボードセットです。Splunk 用 Illumio アプリには以下のダッシュボードが付属しています。
- セキュリティ運用ダッシュボード — 潜在的な攻撃を迅速に特定し、侵害されたワークロードを特定するための洞察をSOCスタッフに提供します。
- PCE 運用ダッシュボード — これにより、Illumioの管理者は、導入および管理されているすべてのPCEの状態を「一元管理」して監視できます。
- ワークロード操作ダッシュボード — Illumioの管理者に以下を可視化します VENには、オフラインになったり中断されたりして、手動による介入が必要になる可能性のあるワークロードの詳細が含まれます。
Splunk用イルミオアプリは、Splunkbaseから無料でダウンロードできます。 ここに。
アダプティブレスポンスイニシアチブ
Illumioは、Splunk ES内で使用できるアダプティブレスポンスアクションを提供しています。これにより、侵害された可能性のあるワークロードを隔離できます。これにより、SOCチームは、Splunk AR、Illumio REST API、Illumioのポリシーを活用して、侵害されたワークロードを他の本番ワークロードから隔離しながら、フォレンジックチームによるアクセスを許可することで、潜在的に危険なアクティビティを示すワークロードに対してアクションを起こすことができます。Illumio REST API を呼び出すことで、マイクロセグメンテーションポリシーが即座に適用され、侵害されたワークロードの影響を数秒以内に抑えることができます。
アダプティブレスポンス機能はSplunkエンタープライズセキュリティソリューションの一部として利用できます。詳細はこちらをご覧ください。 Splunk アダプティブレスポンスイニシアチブ。
IllumioをSplunkなどのSIEMプラットフォームと統合することで、SOCチームはデータセンターのアクティビティに関する独自の重要な洞察を得て、侵害の兆候となる可能性のある不正な通信を迅速に特定できるようになり、他のアラートやフィードを強化できます。