#AKIBA.SaaS – Sumo Logicで「脅威の傾向と将来のリスクを把握」をテーマに発表しました!

#AKIBA.SaaS – Sumo Logicで「脅威の傾向と将来のリスクを把握」をテーマに発表しました!

AKIBA.SaaS で SumoLogic について発表しました!
#AKIBA.SaaS
#SIEM
#Sumo Logic
佐久間昇吾

佐久間昇吾

facebook logohatena logotwitter logo
Clock Icon2023.01.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2023年1月11日に行われた弊社のオンラインイベント AKIBA.SaaS にて、SIEM 製品の Sumo Logic ついてご紹介させていただきました!

資料

Sumo Logic とは

一言で言うと、SIEM の SaaS 製品です。
CI(継続的なインテリジェンス)を得るため、クラウド / オンプレ / コンテナなど、IT 機器のログを収集して一元管理したあと、正規化、相関分析、可視化アラート通知、などの機能を提供します。

また、セキュリティ脅威のハンティングのみならず、CIP(Continuous Intelligence Platform) として、オブザーバビリティの面でも支援してくれます。

Sumo Logic の主なライフサイクル

① ログ収集

ログ収集には、大きく 2 つの方法があります。

  • Installed Collector

    • Java のソフトウェアをホストにインストールして、サーバのローカルログ、またはリモートから収集されるログを Sumo Logic に HTTPS で送信させる方法

  • Hosted Collector

    • AWS、Azure、GCP などのクラウドや SaaS 製品、コンテナに対して、Sumo Logic がデータ収集したり、HTTPS の Sumo Logic エンドポイントにデータ送信させる方法

Sumo Logic は、AWS 状で稼働する SIEM 製品でして、日本リージョンに対応しておりますので、送信されるログは国内に留めることができます。

② ログの検索と分析

では、集められてきたログはどのように検索や分析をするのかですが、
以下のようにクエリ文を書きます。(各 HTTP StatusCode の数)

検索すると、集計結果をテーブルや以下のようなグラフで表示できます。

③ 可視化、モニタリング

クエリ結果を集めたり、ビルトインのダッシュボードを使用して、以下のように可視化できます。

Sumo Logic の嬉しい機能

Sumo Logic には、調査対象のログを絞り込む機能があります。
エンジニアは、ログ分析に割く時間を削減できるため、効率的にインサイトを得られます。

LogReduce

検索したログを文字列パターンでまとめてクラスタ化してくれる機能です。

IT 機器から出力されるログは、ログレベルに応じて粒度やサイズが大きくなり、調査する内容も増えてきます。 LogReduce なら、大量のログの中から必要なログだけに絞り込めます。

LogCompare

LogReduce したうえで、さらに過去のログデータと比較ができます。
指定した過去時間と比較して、どれほどパターンマッチしたログが増えているかを教えてくれます。

比較した結果、新たに増えているログなどもすぐに把握できます。

Sumo Logic の高度な機能

今回は CSE(‎Cloud SIEM Enterprise) という機能をご紹介しました。
こちらは Enterprise Security、Enterprise Suite の契約で利用できる機能になります。

CSE では、ログの相関分析とドリルダウンに長けており、ML で適切な Threat Intelligence を提供してくれます。 具体的には、ログ(Records)に対して組み込み・カスタムのルールで篩にかけて、Signals という形でセキュリティレベル分けをします。 それら Signals を今度は、Insights という形で、まとめて自動相関分析した上で提供してくれます。

Insight では、攻撃対象や、MITRE ATT&CK に基づいた攻撃手法などの情報を提供してくれます。

さらに Insight を深堀(ドリルダウン)していくと、相関分析により得られた Signal を調査できます。

これにより、簡単に攻撃の軌跡を追うことができ、特定までの時間や労力のコストを削減できます。

また、セッションでお伝え出来なかったことですが、CSE の特徴として Global Intelligence というルールが備わっており、世界中で検出された新たな攻撃もルール化する仕組みがあるため、旬なセキュリティ脅威も自動的に検知してくれます。そのため、組み込みルールは随時更新され、現在では 750 を超えるほどに増えております。

まとめ

いかがでしたでしょうか。Sumo Logic には、今回紹介した内容以外にも様々な特色を持った機能が豊富で、分散拠点化されたマイクロサービスなどのサービスマップや、SLO のダッシュボードなども作成可能です。

また、料金的にもエコでして、従量課金ではなく、前もって必要な料金を Sumo Logic のクレジットとして購入して消費していきます。 クレジットは買い足し可能で、ログ量に応じてアラート通知や制限をかけて消費量を節約することも可能です。

そんな Sumo Logic の公式サイトでは、顧客事例として数多くの企業様の活用と課題解決に対するケーススタディを閲覧できます。
顧客事例はこちら | Sumo Logic

また、弊社でも Sumo Logic に関する記事を多数掲載しておりますので、是非こちらもご覧ください。
Sumo Logicの記事一覧 | DevelopersIO

Share this article

facebook logohatena logotwitter logo

関連記事

# AKIBA.SaaS「Google Cloud:組織作成の基礎」というテーマで登壇しました

# AKIBA.SaaS「Google Cloud:組織作成の基礎」というテーマで登壇しました

User avatar
室井靖成
2023.01.19
「PagerDutyで始める インシデント対応の自動化」というテーマで登壇しました#AKIBA.SaaS

「PagerDutyで始める インシデント対応の自動化」というテーマで登壇しました#AKIBA.SaaS

User avatar
さいちゃん
2023.01.18
AKIBA.SaaS Online#3で「THEOplayerで 快適な動画作成を」というタイトルで話しました! #AKIBASaaS

AKIBA.SaaS Online#3で「THEOplayerで 快適な動画作成を」というタイトルで話しました! #AKIBASaaS

User avatar
きだぱん
2023.01.17
StreamYardでオンライン技術イベントやってみた #AKIBASaaS

StreamYardでオンライン技術イベントやってみた #AKIBASaaS

User avatar
渡辺聖剛
2023.01.17
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.