SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

はじめてのSplunk その5:Splunk Appsとは

データマネジメント
2020.01.16

こんにちは。SB C&Sの岩田です。

「はじめてのSplunk」と題して、これからSplunkの導入や提案をご検討いただく方向けのSplunkの基本的な使い方について複数のブログ記事にまたがってご紹介しています。

--------------------------------

❏ はじめてのSplunk その1:サーチ言語(SPL)とは
❏ はじめてのSplunk その2:データを検索してみる 
❏ はじめてのSplunk その3:フィールドを抽出する
❏ はじめてのSplunk その4:ダッシュボードを作ってみる
❏ はじめてのSplunk その5:Splunk Appsとは ★本記事です!

--------------------------------

本記事では"その5:Splunk Appsとは"ということで、Splunk Appsの概要や多数あるAppsの中でOffice365ユーザー様向けのAppsの活用例についてご紹介します。

Splunk Appsとは?

Splunk AppsはSplunkの機能拡張が可能なアプリケーションの公開テンプレートです。
Appsを活用することで、特定の用途に応じたデータの取り込みやダッシュボード表示が可能になり、Splunkによるデータ活用の幅が広がります。
Splunk社ではSplunkBaseというサイトにてAppsを公開しておりその多くが無償で利用することができます。
また、Splunk社だけでなく他ベンダーもAppsを提供しています。

※SplunkBaseのサイトはこちらからご参照ください。

AppsとAdd-onの違い

Splunk Appsは"Add-on"と呼ばれるものと"Apps"と呼ばれるものに分かれます。

Apps1.png


Add-onは特定データの取り込みやフィールド定義などを提供してくれます。
Appsは取り込んだデータを用途に応じたダッシュボードなどの提供をしてくれます。

SplunkBaseのサイトから様々なAppsの検索を行え、各AppsのページにてAppsの概要情報などが確認できます。またApps概要以外にも、
・誰が作成したAppsなのか
・どんなサポートが受けられるのか
・どれくらいダウンロードされているのか
などの情報も閲覧することができるのでこういった情報も是非参考にしていただくとよいと思います。

Apps9.png

Office365のAppsとAdd-onのご紹介

SplunkBaseでは様々なAppsが提供されているのですが、その中でも本記事ではOffice365関連のAppsとAdd-onについてご紹介したいと思います。

Add-on: Splunk Add-on for Microsoft Office 365

Office 365ユーザー向けのSplunk用Add-on Appsで、Office 365とAPI連携することによりOffice365のログデータをSplunk側に収集することができます。

Apps2.png

上記Add-onで収集できるOffice365のログは下記の通りです。

Apps3.png

❏ Add-onの適用方法

Add-onを適用するにはSplunkBaseもしくはSplunkの管理画面よりパッケージファイルをインストールしSplunkに適用します。

EV_Apps.png

パッケージファイルをインストールした後はOffice365側/Splunk Add-on側の双方に設定を行います。
詳細な設定方法は今回は割愛しますが、主な設定項目は下記をご参照ください。

Apps8.png

設定が完了するとOffice 365のログがSplunkで取り込めるようになります。

Apps: Microsoft Office 365 App for Splunk

こちらのAppsは、上述した「Splunk Add-on for Microsoft Office 365」のAdd-onで取得したデータのダッシュボードAppsで、取得したOffice 365のログデータをグラフィカルに表示することができます。
このダッシュボードAppsにはAdd-onで定義されているOffice365ログのフィールド名をダッシュボードのサーチ文としても定義しているため、取り込んだログデータを簡単に可視化することができるようになります。
Apps13.png

活用シーン

例えば、このAppsで定義されている「AzureAD」のログインイベントのダッシュボードは、ログイン失敗しているユーザーを上位順に表示できるようにサーチ文が定義されています。
さらにそのユーザーが何回ログインに失敗していて、どの国からログインしているのかという情報も併せて表示されるようになっています。
スクリーンショット 2020-01-16 11.00.58.png
仮に何回もログイン失敗しているユーザーがログインするはずのない国からアクセスしていたとすれば、それは不正ログインの可能性も考えられます。
もし詳細な調査をする場合は、ダッシュボードからイベントサーチにジャンプできるので、素早い調査も可能です。
こういったデータを可視化することでセキュリティ運用などに役立てることができます。
その他にもSharePointやOneDriveの利用状況のダッシュボードも定義されているので、セキュリティ面だけでなくOfficec 365の利用状況の管理にも活用できます。

まとめ

Splunkは様々なデータをインデックス化して取り込み簡単に検索できるところが強みの1つでもあるので、Splunk Appsは取り込んだデータを活用するのに非常に便利です。
本記事ではOffice 365に関連したAppsをご紹介しましたが、その他にも様々なAppsが提供されています。
取り込んでいるデータに応じたAppsを利用することで、よりデータ分析を加速させることができるので、是非ご活用ください。

最後までお読みいただきありがとうございました!

案件相談_splunk.png

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
岩田 潤子