ArcSight Data Platform (以下、ADP) を利用すると、ArcSightでエンリッチ化したイベントをSplunkなどのサードパーティ製システムと共有することができます。これまでは、未加工のイベントデータをSplunkで直接収集しており、Splunkで収集した後のデータの解析が常に課題になっていました。SmartConnectorからCEF Syslogとして送信されたイベントも、多くの場合は単一イベントにまとめられてしまうため、クエリを行うのが非常に難しくなります。
しかし、これが問題ではなくなるとしたらどうでしょうか? Splunk内でCEFを正しく利用できるとしたらどうでしょうか? Splunkの処理言語とArcSightの対話型検索には類似点が多いため、Logger/ACCとSplunkの間でクエリをコピーして貼り付けることができるとしたらどうでしょうか? DNS、ファイアウォール、またはWindowsイベントに基づいて集約や対象を絞ったフィルタリングを行った場合、Splunkライセンス要件にはどのような影響があるのでしょうか?
今回紹介する方法とアプリを利用すると、簡単にADPインフラストラクチャーを利用して、ArcSightでエンリッチ化したイベントをSplunkと共有することができます。詳細については、当社でまとめた 「Micro Focus ArcSight Data Platform (ADP)」(日本語版フライヤー; ここからダウンロード)を参照してください。
結果はイベントソースによって異なります(たとえば、プロキシイベントはDNSと異なるレベルで集約されます)が、Splunkのライセンスコストが軒並み50~90%削減されることは大きな魅力になります。さらに、Splunkは変更不可能なデータストレージ機構ではないため、イベントのフィルタリングや集約を利用して、取り込みライセンスコストの削減を図ることがはるかに容易になります。
Splunkは、さまざまな機能を備えた非常に強力なツールですが、ADPを活用することで、運用面および技術面の双方でSplunkのパフォーマンスをさらに向上させることができます。
具体的な統合手順と統合によるストレージやライセンスの削減例については、以下を参照ください。
- 「ArcSightおよびSplunkのCEF統合」(日本語版ホワイトペーパー & テクニカルガイド)
- ここからダウンロード(専用フォームから必要な情報を記入の上、ダウンロードください)
ArcSightとの統合を是非ご検討ください。
お問い合わせは、jp-info-enterprise@microfocus.comまでお願いします。
※本記事は、ブログ記事「ArcSight and Splunk Integration: Powerful Together」を翻訳・意訳したものです。