Sumo Logicの自動相関分析サービス　Cloud SIEM Enterprise (CSE)を使ってみた

今回はSumo Logicのセキュリティイベントにフォーカスしたプロフェッショナルサービス「Cloud SIEM Enterprise (CSE)」をご紹介します。

Cloud SIEM Enterprise (CSE)とは

CSEとはSumo LogicのEnterprise Securityプラン、またはEnterprise Suiteプランでのみ契約できるプロフェッショナルサービスで、通常のSumo Logicとは別の管理コンソールが提供されます。 Sumo Logicに取り込んだログをCSEにデータ連携し、あらゆる環境から生成されるアラートを自動でトリアージと相関分析をしてくれます。さらに以下のような特徴があります。

• 高速な相関分析でアラートを自動的にふるい分け、効率的かつ迅速なセキュリティ分析を手助けします
• オンプレミス、クラウド、マルチクラウド、ハイブリッドクラウドなど多様な環境に対応し脅威を検出することができます
• Built-inのCSEルールによりセキュリティシグナルを生成し、MITRE ATT&CKフレームワークに関連する戦術とテクニックをタグ付けします
• 高度な脅威、ローアンドスロー攻撃、高速な直接脅威を検出します
• 標準で各種製品からのログを取り込めるインテグレーションが用意されています（VMware Carbon Black、Okta、AWS GuardDuty、Office 365などに対応）
• 誤検知を減らし、脅威分析にかかる時間を短縮します

How It Works?

CSEでは、Sumo Logicで取り込んだログデータ（CSEではレコードと呼ぶ）を、約600以上のBuilt-inのCSEルールによって脅威のあるログかどうかを判定します。脅威が検出された場合、アラート（CSEではシグナルと呼ぶ）として登録されます。

大抵のSIEM製品においては、このアラート化の部分で処理は終わってしまい、他のアラートとの相関分析や、そのアラートがどのフェーズでの攻撃だったのか（侵入時なのか、C2Cサーバとのアクセス時なのか、データの持ち出し時なのかなど）を調査するのは、セキュリティ担当者による人力の作業になってしまいます。

大量に吐き出されたアラートをどこから分析すればいいのかも手を付けられず、膨大なアラートは垂れ流しになっているということはよくあることです。

Sumo Logic CSEは、他のアラートとの自動相関分析を行い、独自のインサイトとして抽出します。セキュリティ担当者は、このインサイトを見るだけでよく、そこからアクションが不要なもの、誤検知だったものをふるい分け、対応すべき本来のインシデントに注力することが可能になります。

インサイトを見る準備はできましたか？

それでは、CSEコンソールのホームページ中央のINSIGHT RADARからインサイトを見てみましょう。

一番外の円は時系列を表しており、次の青色部分はCSEに取り込まれたログデータであるレコードの件数を表しています。そして、少し緑っぽい棒グラフは取り込まれたレコードの内、CSEルールに合致したもの（アラートになったもの）がシグナルとして表されております。そして、最後に赤や緑、白の三角形がインサイトになります。

この例では、500万行のレコードが取り込まれ、CSEルールに合致した8千件のシグナルが生成された後、自動相関分析によってたった27件のインサイトまでに絞り込んでくれました。

ドリルダウン

では、インサイトの詳細をみていきましょう。三角形（インサイト）をクリックすると、インサイトが確認できます。

「Exfiltration with Command and Control」という文字が見られますが、こちらはMITRE ATT&CKという、米国連邦政府が資金を提供する非営利組織であるMITREが提供している、攻撃者が行う戦術や具体的な技術を整理・体系化（フレームワーク）したものを基にしてタグづけられています。

このインサイトの場合だと、MITRE ATT&CKの「TA0010 - Exfiltration」と「TA0011 - Command and Control」の戦術が行われたことを意味しています。
インサイトをさらにクリックすると、このインサイトに紐づく各シグナルを見ていくことができます。

それぞれ異なった時間にシグナルは5つ発生していて、これらの関連性が自動相関されています。

さらに画面を下に移動していくと、時系列順にシグナルの概要が確認できます。

Amazon GuarDutyのアラートで盗まれたIAMユーザークレデンシャルを使って不正にログインが行われたことを示すアラートが発生しています。

さらに詳細を確認していくと、rico.dynamiteというユーザーが不正利用されていることが分かります。

さらにその後のシグナルでは、盗まれたユーザーを利用してCloudTrailのログ出力を止めるAPIコールが行われました。

次のシグナルからは、APIコールで使われていたユーザー名は、ADアカウントから削除されたアカウントであることが分かります。つまり、退職した従業員がAWSアカウントを不正利用したことが疑われます。

最後のシグナルでは。AWS Network Firewallで外部のHTTPサーバに向けて通信があったことが分かります。何らかの情報が持ち出された可能性があるようです。

まとめ

このようにSumo Logic CSEを使うと、大量のレコードからCSEが提供しているルールによってシグナルを発生させ、それらを自動相関することでインサイトとして登録してくれます。

セキュリティ担当者はインサイトを起点に、次々と画面を遷移していくことで、サービスやシステムを跨いで一連の攻撃がどのように行われたかを簡単に調査することができます。

SIEMの最大の強みである相関分析をより簡単に自動で行ってくれるCSEを利用すれば、社内に限られた実現的なリソース（セキュリティ担当者）で、セキュリティログ活用の最大化を行うことが期待できそうです。