この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2023年1月11日に行われた弊社のオンラインイベント AKIBA.SaaS にて、SIEM 製品の Sumo Logic ついてご紹介させていただきました!
資料
Sumo Logic とは
一言で言うと、SIEM の SaaS 製品です。
CI(継続的なインテリジェンス)を得るため、クラウド / オンプレ / コンテナなど、IT 機器のログを収集して一元管理したあと、正規化、相関分析、可視化アラート通知、などの機能を提供します。
また、セキュリティ脅威のハンティングのみならず、CIP(Continuous Intelligence Platform) として、オブザーバビリティの面でも支援してくれます。
Sumo Logic の主なライフサイクル
① ログ収集
ログ収集には、大きく 2 つの方法があります。
- Installed Collector
- Hosted Collector
Java のソフトウェアをホストにインストールして、サーバのローカルログ、またはリモートから収集されるログを Sumo Logic に HTTPS で送信させる方法
AWS、Azure、GCP などのクラウドや SaaS 製品、コンテナに対して、Sumo Logic がデータ収集したり、HTTPS の Sumo Logic エンドポイントにデータ送信させる方法
Sumo Logic は、AWS 状で稼働する SIEM 製品でして、日本リージョンに対応しておりますので、送信されるログは国内に留めることができます。
② ログの検索と分析
では、集められてきたログはどのように検索や分析をするのかですが、
以下のようにクエリ文を書きます。(各 HTTP StatusCode の数)
検索すると、集計結果をテーブルや以下のようなグラフで表示できます。
③ 可視化、モニタリング
クエリ結果を集めたり、ビルトインのダッシュボードを使用して、以下のように可視化できます。
Sumo Logic の嬉しい機能
Sumo Logic には、調査対象のログを絞り込む機能があります。
エンジニアは、ログ分析に割く時間を削減できるため、効率的にインサイトを得られます。
LogReduce
検索したログを文字列パターンでまとめてクラスタ化してくれる機能です。
IT 機器から出力されるログは、ログレベルに応じて粒度やサイズが大きくなり、調査する内容も増えてきます。
LogReduce なら、大量のログの中から必要なログだけに絞り込めます。
LogCompare
LogReduce したうえで、さらに過去のログデータと比較ができます。
指定した過去時間と比較して、どれほどパターンマッチしたログが増えているかを教えてくれます。
比較した結果、新たに増えているログなどもすぐに把握できます。
Sumo Logic の高度な機能
今回は CSE(Cloud SIEM Enterprise) という機能をご紹介しました。
こちらは Enterprise Security、Enterprise Suite の契約で利用できる機能になります。
CSE では、ログの相関分析とドリルダウンに長けており、ML で適切な Threat Intelligence を提供してくれます。
具体的には、ログ(Records)に対して組み込み・カスタムのルールで篩にかけて、Signals という形でセキュリティレベル分けをします。
それら Signals を今度は、Insights という形で、まとめて自動相関分析した上で提供してくれます。
Insight では、攻撃対象や、MITRE ATT&CK に基づいた攻撃手法などの情報を提供してくれます。
さらに Insight を深堀(ドリルダウン)していくと、相関分析により得られた Signal を調査できます。
これにより、簡単に攻撃の軌跡を追うことができ、特定までの時間や労力のコストを削減できます。
また、セッションでお伝え出来なかったことですが、CSE の特徴として Global Intelligence というルールが備わっており、世界中で検出された新たな攻撃もルール化する仕組みがあるため、旬なセキュリティ脅威も自動的に検知してくれます。そのため、組み込みルールは随時更新され、現在では 750 を超えるほどに増えております。
まとめ
いかがでしたでしょうか。Sumo Logic には、今回紹介した内容以外にも様々な特色を持った機能が豊富で、分散拠点化されたマイクロサービスなどのサービスマップや、SLO のダッシュボードなども作成可能です。
また、料金的にもエコでして、従量課金ではなく、前もって必要な料金を Sumo Logic のクレジットとして購入して消費していきます。 クレジットは買い足し可能で、ログ量に応じてアラート通知や制限をかけて消費量を節約することも可能です。
そんな Sumo Logic の公式サイトでは、顧客事例として数多くの企業様の活用と課題解決に対するケーススタディを閲覧できます。
顧客事例はこちら | Sumo Logic
また、弊社でも Sumo Logic に関する記事を多数掲載しておりますので、是非こちらもご覧ください。
Sumo Logicの記事一覧 | DevelopersIO