この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
セキュリティ運用者・管理者のみなさん。ログ分析大事ですよね。
Sumo Logicでは、ビルトインのAppを使うことで取り込んだログから何の苦労もなく、セキュリティインサイトを得ることができます。Sumo Logicはセキュリティだけでなくオブザーバビリティも含め約180種類を超えるAppが用意されています。今回はセキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon GuardDuty - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを徹底的に紹介したいと思います。
利用可能なプラン
まずはじめに、このAppが利用可能なSumo Logicの契約プランとなります。全プランにて利用可能なAppとなっています。
| Free | Trial | Essential | Enterprise Operation | Enterprise Security | Enterprise Suite |
|---|---|---|---|---|---|
| ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Appインストールまでの設定
Sumo Logicのコンソール画面からApp Catalogを選択し、Amazon GuardDuty - Cloud Security Monitoring and Analyticsをインストールします。
ログ収集の設定およびAppインストール設定についてはこちらの公式ドキュメントから参照してください。
Appをインストールをすると、ダッシュボードが二つ表示されます。それでは早速各ダッシュボードについて見ていきましょう。
まずはじめにAmazon GuardDuty Overview - Security Monitoringのダッシュボードを見ていきます。
※尚、データや環境については、Sumo Logicのトレーニング環境を利用しています。
Amazon GuardDuty Overview - Security Monitoring
最初にこちらでアカウントID、リージョン、リソースタイプごとでダッシュボード全体の各パネルに対して一括でフィルタリングすることができます。
Findings Summary
Findings Summaryでは全体のGuardDutyの検知状況が確認できます。
Total Findings Last Hour
直近1時間のGuardDutyでのFinding数です。下のグラフは24時間幅で1時間毎のFindings数をプロットしたスパークラインを表示してくれています。
また、ダッシュボード内のどのパネルも同じですが、パネルの右上の三点リーダーからEditを選択することで、クエリの中身や検索対象時間を編集してダッシュボードに反映させることができます。
(クエリ文の1時間毎のFindings数を3時間毎(「1h」を「3h」)に、検索対象(「Last 24 Hours」を「Last 3 Days」)になど、編集してダッシュボードを更新が可能)
Trending All Findings
24時間以内のGuardDutyでのSeverity毎のFinding数をエリアチャートで表します。
Last 20 Findings
直近20件のGuardDutyの検知サマリをテーブル表示します。
High Severity Findings
GuardDutyのHigh検知に関するパネルです。デモ環境だとデータが無かったので、次のMedium Severity Findingsで説明をします。
Medium Severity Findings
GuardDutyのMedium検知に関するパネルです。
Medium Severity Findings Last Hour
直近1時間のGuardDutyでのMedium SeverityのFinding数です。下のグラフは24時間幅で1時間毎のMedium SeverityのFindings数をプロットしたスパークラインを表示してくれています。
Medium Severity Outliers
過去のMedium SeverityのFindingsの変動値からしきい値を算出して、急激なスパイク(しきい値を超える)があれば、三角形の表示がされます。
この閾値を利用して、閾値が超えたらアラートを出すといったこともできます。
Last 20 Severity Findings
直近20件のMedium SeverityのGuardDutyの検知サマリをテーブル表示します。
Low Severity Findings
GuardDutyのLow検知に関するパネルです。各パネルについてはMediumのものと同じになります。
続いて、フォルダに戻ってもう一つのダッシュボード「Amazon GuardDuty Analysis - Security Analytics」を見ていきます。
Amazon GuardDuty Analysis - Security Analytics
こちらもThreatPurpose、ThreatName、severity、region、ResourceType、accountIdで全体の情報をフィルタすることができます。
Details
Latest Findings
直近の検知情報から順に詳細情報のテーブルを表示します。先程のフィルターを使って、注目したい検知情報を確認できます。
Trending
Findings by Threat Purpose
24時間以内の15分間にGuardDutyが検知したFindingsの脅威目的毎の件数を棒グラフで表示します。
Findings by Threat Name
24時間以内の15分間にGuardDutyが検知したFindingsの脅威に関連付けられているマルウェアファミリーの名前または脅威名の件数を棒グラフで表示します。
まとめ
今回は、セキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon GuardDuty - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを紹介しました。他のAppから自分が必要なパネルだけを切り貼りして自分だけのダッシュボードをつくることも非常に簡単にできます。
ぜひ、本記事を参考にしていただき、Sumo Logicを使ったセキュリティインサイトを活用してください。
11
