著者:クリスフォレスト
ページ数:80
¥499 → ¥0
なお、本書をご理解いただくと、CIM化を前提としているApp、例えば、InfoSec App, Enterprise Security等が飛躍的に理解できるようになります。
本書で扱う、InfoSec Appでの可視化は、単にCIM化したデータの可視化の検証だけに利用しています。
InfoSec Appの本来の使い方とは違っていますので、ご注意ください。
はじめにより)
本書のタイトルをみてビビッときた方は、Splunkの経験がある程度豊富な方に違いない。そんなあなたには、超絶スバラシイ本になるはずだ。
一方、とりあえず、Splunkの本だから・・・と手に取った方にとっては、敷居が高いかもしれない。でも、セキュリティのSplunk Enterprise SecurityにとってCIMは必要不可欠な概念であるということ、Splunk Security EssentialsのようなAppのサーチ文を見てビビってしまいつつも、いつかはマスターしなきゃ、という方であれば、超絶スバラシイ本になるに違いない。
Splunkのサーチ文を書いて、様々な機器のログを検索したり、ダッシュボード化して経験を積んでくると、いつのまにか同じようなサーチ文をコピー&ペーストしたり、巨大なサーチ文を平気で使いまわしたりする作業になっていることに気づく。そして、「このサーチ文をメンテする人、かわいそう・・・」などと半ば他人事のように片付けてしまう。
CIMとは、正式名「Common Information Model」といい、多種多様なログやマシンデータに対して、メーカーや種別を意識せずに検索できることを目指した、Splunk社のデータスキーマ規格である。この規格の良いところは、よくある巨大なスキーマではなく、なるべく項目を減らした、短時間で内容把握&頭に入る程度の分量になっているところだ。
このCIMにログやマシンデータを対応させ、そして、CIMの項目「だけ」を使ってサーチをかけるようにするのがゴールであるが、この「CIMに対応させる」という作業が、複雑極まりない。いや、IQ 1000ぐらいの人であれば、簡単なのだろうけれど、残念ながら筆者の頭脳では、とても「簡単」とはいえない。
最近、Splunk社の人と会話をして、とても便利な方法があるということについて聞いた。それがまさに、本書で扱う「Splunk Add-On Builder」なのであるが、おそらく、大多数の方にとって思い描く「アドオンビルダー」の使い方ではない。
まさに、目からウロコというのはこのことを言うのか。
本書を読み、そして実際に手を動かしてみた暁に、読者のみなさんも同じ思いを抱くことになるだろう。
目次より)
1. はじめに
2. 本書で確認が取れている各種ソフトウェア・バージョン
3. 初心者SPLUNKERの使い方ゴールとは
4. 中心者SPLUNKERの使い方とゴールとは
5. 中級者が上級者になるために超えるべきハードルとは
6. CIM(COMMON INFORMATION MODEL)とは
6.1. CIMとは
6.2. モデル
6.3. モデルをつかって検索するとは
7. SPLUNK ADD-ON BUILDERとは
7.1. 機能概要
7.2. インストールのための環境 – 開発者用ライセンスキー
7.3. インストール後の設定
8. INFOSEC APPを可視化用として使う
9. データをCIMに準拠させる
9.1. 使うデータ
9.2. INFOSEC APPのどこを見せるか
9.3. データの投入
9.4. MYWEBADDONの作成開始
9.5. SPLでの検証
9.6. INFOSEC APPで表示してみる
9.7. APPのエクスポート
10. APPENDIX1. 超重要-データモデルのルート部分のマクロについて
11. APPENDIX2. NETWORK TRAFFICダッシュボードを埋める
11.1. TRAFFIC SOURCES
11.2. TRAFFIC DESTINATIONS
11.3. LOGGED TRAFFIC VOLUME
11.4. TRAFFIC BY PROTOCOL
11.5. TRAFFIC BY APP/PROTOCOL
11.6. TOP COMMUNICATION BY VOLUME
11.7. TOP SOURCES
11.8. TOP DESTINATIONS
11.9. TOP DESTINATION PORTS
11.10. APPLICATIONS/PROTOCOLS (WITH FILTERS APPLIED)
11.11. # OF DESTINATIONS CONNECTED TO BY SOURCE (WITH FILTERS APPLIED)
11.12. SOURCE AND DESTINATION (WITH FILTERS APPLIED)
11.13. COMMUNICATIONS MAP (MAP SHOWS UP TO 250 CONNECTIONS)
11.14. マッピングが必要なフィールド一覧
11.15. MYWEBADDONでの定義例
12. 終わりに
13. 著者プロフィール
シリーズ一覧
- 同シリーズの電子書籍はありませんでした。
この期間中は料金が980円→0円となるため、この記事で紹介している電子書籍は、すべてこのKindle Unlimited無料体験で読むことが可能です。
こちらの電子書籍も読まれています
【無料で読める】Splunk CloudでSecurity/IT監視基盤を「構築」しよう: WordPress + Apache HTTP + MySQL on Linux編
【無料で読める】+DESIGNING VOLUME 40
【無料で読める】+DESIGNING VOLUME 35 2014年2月号 [雑誌]
【無料で読める】+DESIGNING VOLUME 50
【無料で読める】+DESIGNING VOLUME 52
【無料で読める】+DESIGNING VOLUME 41
【無料で読める】+DESIGNING VOLUME 37 2014年8月号 [雑誌]
【無料で読める】+DESIGNING VOLUME 36 2014年5月号 [雑誌]
【無料で読める】+DESIGNING VOLUME 38 2014年11月号 [雑誌]
+DESIGNING VOLUME 51
