Sumo Logic 2024年1月のアップデート: 新着情報と変更内容
はじめに
アライアンス事業部のヘマントです. 今回は、2024年1月のSumo Logicの変更とアップデートについて共有します.
Sumo Logic
Sumo Logicというクラウドベースのログ管理および分析ソフトウェアは、企業が機械データを活用して有益な情報を得ることを可能にします。 Sumo Logicの柔軟な機能により、ログデータの分析が簡単になり、運用およびセキュリティの洞察にリアルタイムでアクセスできます。
基本的には以下の情報を参考にしておりますので、全ての最新情報を確認したい場合は下記のURLからご確認ください。すべてのSumo Logicドキュメントリンクは元々英語です。日本語で表示する場合は、右上の「Select Your Language」で「Japanese」を選択してください。
Release Notes Service - 2024年1月2日
インデックスフィールドは、他のメタデータとともに、各メッセージ行の下にメタデータとして表示されるようになりました。これにより、インデックス名をクリックして検索クエリを変更したり、ドロップメニューを選択して周囲のメッセージを表示したりできるようになります。
[Index Field (Search) | Sumo Logic Docs]
Release Notes Service - 2024年1月11日
更新されたアカウント概要ページでは、子組織の消費データを1つの便利なビューで簡単に把握できます。また、すべての子組織でのクレジットの使用と消費パターンについても学ぶことができます。詳細な検査のために特定のアカウントに簡単に移動できます。これにより、企業の使用管理が簡素化されます。
[Sumo Orgs - New View for Child Org Usages (Manage) | Sumo Logic Docs]
Release Notes CSE(SEIM) (Content Release) - 2024年1月12日
最新の変更には、Cloud SIEMルールに加えて、新しいログマッパー、パーサー、および正規化スキーマメタデータが含まれます。さらに、いくつかのルールが改善され、より正確なMITRE ATT&CK®メソッドと戦略タグが含まれるようになりました。
ルール
イベントマッチングにおけるより正確な検出と偽陽性の削減のための改善された式があります。このアップデートでは、AWSおよびAzureのアクティビティ、DLLロード、不審なLambda関数、RATアクティビティ、スクリプトの実行、プロセスの生成、Windows Update Agent DLLおよびXSLスクリプト処理の変更など、いくつかの脅威シナリオがカバーされています。
ログマッパー
新しい1Password監査および使用アクション、新しいZeek DNSおよびHTTPアクティビティ、および新しいZeek connアクティビティがあります。
パーサー
新しい/Parsers/System/1Password/1Password、新しい/Parsers/System/1PasswordC2C/1PasswordC2C、および新しい/Parsers/System/Zeek/Zeekがあります。
スキーマ
新しいmetadata_sourceBlockId: 元のログメッセージの_blockId(Sumo Logicから)
Release Notes Service - 2024年1月15日
Active Directory JSON - OpenTelemetryプログラムの効率とデータ収集の向上のためのアップデートが行われました。sumo.datasourceの値がActive DirectoryからWindowsに変更され、両方のアプリをインストールしたユーザーの重複データ取り込みが解消されます。注意: Active Directoryアプリは、アップグレード前のデータを表示しません。Active Directoryアプリのみをアップグレードする場合は、以下の手順に従って収集構成を更新してください。
1.C:\ProgramData\Sumo Logic\OpenTelemetry Collector\config\conf.dにある構成ファイルを開きます。
2.次の属性を更新します。
キー: sumo.datasource
値: windows
アクション: 挿入
3.以下のPowerShellコマンド Restart-Service -Name OtelcolSumo を使用してコレクタを再起動します。
両方のアプリがインストールされている場合は、データを2重に消費しないようにするために、Active Directory OTEL YAML構成を削除してください。Windows - OpenTelemetryの
[Active Directory App Update (Apps) | Sumo Logic Docs]
Release Notes Service - 2024年1月18日
個別に調整可能なチャート設定で更新されたログ検索クエリの可視化がリリースされました。また、すべてのSumo Logicプラットフォームで均一なグラフ描画を体験できます。
[New Visualizations (Search) | Sumo Logic Docs]
Release Notes Service - 2024年1月19日
AWS向けのクラウドインフラストラクチャーセキュリティが一般提供され、AWS環境全体でのアクティブな脅威、セキュリティコントロールの失敗、および不審なアクティビティに対する統一された可視化が提供されます。主な機能には、リスクの概要、アクティブな脅威の検出、構成ミスの警告、および不審なアクティビティの評価が含まれます。開始するには、AWS Security HubとAmazon GuardDutyを登録して有効にしてください。開始方法についての詳細は、技術文書を参照してください。
[Cloud Infrastructure Security for AWS (Apps) | Sumo Logic Docs]
Release Notes Collector (Version 19.478-2) - 2024年1月25日
Security Fixes
コレクタJREをAmazon Correttoバージョン8.402.06.1にアップグレードし、Linux aarch向けにInstall4jをバージョン10.0.6に更新し、org.json:json、org.apache.avro:avro、およびbcprov-jdk15onを更新することで既知の脆弱性に対処しました。
Bug Fix
特定のシナリオでメトリクスが欠落するDocker Statsソースの問題を解決しました。
Release Notes Service - 2024年1月30日
前日の集計(avg、min、max、total、またはcount)を使用するメトリクスクエリの最適化が行われ、パフォーマンスが向上しました。これらの検索では、より多くの時系列からデータを集約し、より高速になります。
[Cloud Infrastructure Security for AWS (Apps) | Sumo Logic Docs]
Release Notes Service - January 31, 2024
POVトライアルプランを利用する顧客に対して、45日間のトライアル期間の有効期限の通知が、UIの2つの場所、つまり子組織テーブルと選択した組織の詳細ビューでSumo Logicから行われるようになりました。これにより、45日間のトライアル期間の終了時に以前は自動的にフリープランにダウングレードされていましたが、この変更に置き換えられました。
[Indicators for POV Trial Period Expiry (Manage) | Sumo Logic Docs]