#AKIBA.SaaS – SumoLogicで「脅威の傾向と将来のリスクを把握」をテーマに発表しました!

AKIBA.SaaS で SumoLogic について発表しました!
2023.01.20

2023年1月11日に行われた弊社のオンラインイベント AKIBA.SaaS にて、SIEM 製品の SumoLogic ついてご紹介させていただきました!

資料

SumoLogic とは

一言で言うと、SIEM の SaaS 製品です。
CI(継続的なインテリジェンス)を得るため、クラウド / オンプレ / コンテナなど、IT 機器のログを収集して一元管理したあと、正規化、相関分析、可視化アラート通知、などの機能を提供します。

また、セキュリティ脅威のハンティングのみならず、CIP(Continuous Intelligence Platform) として、オブザーバビリティの面でも支援してくれます。

SumoLogic の主なライフサイクル

① ログ収集

ログ収集には、大きく 2 つの方法があります。

  • Installed Collector
  • Java のソフトウェアをホストにインストールして、サーバのローカルログ、またはリモートから収集されるログを SumoLogic に HTTPS で送信させる方法

  • Hosted Collector
  • AWS、Azure、GCP などのクラウドや SaaS 製品、コンテナに対して、SumoLogic がデータ収集したり、HTTPS の SumoLogic エンドポイントにデータ送信させる方法

SumoLogic は、AWS 状で稼働する SIEM 製品でして、日本リージョンに対応しておりますので、送信されるログは国内に留めることができます。

② ログの検索と分析

では、集められてきたログはどのように検索や分析をするのかですが、
以下のようにクエリ文を書きます。(各 HTTP StatusCode の数)

検索すると、集計結果をテーブルや以下のようなグラフで表示できます。

③ 可視化、モニタリング

クエリ結果を集めたり、ビルトインのダッシュボードを使用して、以下のように可視化できます。

SumoLogic の嬉しい機能

SumoLogic には、調査対象のログを絞り込む機能があります。
エンジニアは、ログ分析に割く時間を削減できるため、効率的にインサイトを得られます。

LogReduce

検索したログを文字列パターンでまとめてクラスタ化してくれる機能です。

IT 機器から出力されるログは、ログレベルに応じて粒度やサイズが大きくなり、調査する内容も増えてきます。 LogReduce なら、大量のログの中から必要なログだけに絞り込めます。

LogCompare

LogReduce したうえで、さらに過去のログデータと比較ができます。
指定した過去時間と比較して、どれほどパターンマッチしたログが増えているかを教えてくれます。

比較した結果、新たに増えているログなどもすぐに把握できます。

SumoLogic の高度な機能

今回は CSE(‎Cloud SIEM Enterprise) という機能をご紹介しました。
こちらは Enterprise Security、Enterprise Suite の契約で利用できる機能になります。

CSE では、ログの相関分析とドリルダウンに長けており、ML で適切な Threat Intelligence を提供してくれます。 具体的には、ログ(Records)に対して組み込み・カスタムのルールで篩にかけて、Signals という形でセキュリティレベル分けをします。 それら Signals を今度は、Insights という形で、まとめて自動相関分析した上で提供してくれます。

Insight では、攻撃対象や、MITRE ATT&CK に基づいた攻撃手法などの情報を提供してくれます。

さらに Insight を深堀(ドリルダウン)していくと、相関分析により得られた Signal を調査できます。

これにより、簡単に攻撃の軌跡を追うことができ、特定までの時間や労力のコストを削減できます。

また、セッションでお伝え出来なかったことですが、CSE の特徴として Global Intelligence というルールが備わっており、世界中で検出された新たな攻撃もルール化する仕組みがあるため、旬なセキュリティ脅威も自動的に検知してくれます。そのため、組み込みルールは随時更新され、現在では 750 を超えるほどに増えております。

まとめ

いかがでしたでしょうか。SumoLogic には、今回紹介した内容以外にも様々な特色を持った機能が豊富で、分散拠点化されたマイクロサービスなどのサービスマップや、SLO のダッシュボードなども作成可能です。

また、料金的にもエコでして、従量課金ではなく、前もって必要な料金を SumoLogic のクレジットとして購入して消費していきます。 クレジットは買い足し可能で、ログ量に応じてアラート通知や制限をかけて消費量を節約することも可能です。

そんな SumoLogic の公式サイトでは、顧客事例として数多くの企業様の活用と課題解決に対するケーススタディを閲覧できます。
顧客事例はこちら | SumoLogic

また、弊社でも SumoLogic に関する記事を多数掲載しておりますので、是非こちらもご覧ください。
Sumo Logicの記事一覧 | DevelopersIO