Sumo Logic セキュリティApp紹介 vol.1

2022.05.26

セキュリティ運用者・管理者のみなさん。ログ分析大事ですよね。

Sumo Logicでは、ビルトインのAppを使うことで取り込んだログから何の苦労もなく、セキュリティインサイトを得ることができます。Sumo Logicはセキュリティだけでなくオブザーバビリティも含め約180種類を超えるAppが用意されています。今回はセキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon GuardDuty - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを徹底的に紹介したいと思います。

利用可能なプラン

まずはじめに、このAppが利用可能なSumo Logicの契約プランとなります。

Free Trial Essential Enterprise Operation Enterprise Security Enterprise Suite
- - -

Appインストールまでの設定

Sumo Logicのコンソール画面からApp Catalogを選択し、Amazon GuardDuty - Cloud Security Monitoring and Analyticsをインストールします。

ログ収集の設定およびAppインストール設定についてはこちらの公式ドキュメントから参照してください。

Appをインストールをすると、ダッシュボードが二つ表示されます。それでは早速各ダッシュボードについて見ていきましょう。 まずはじめにAmazon GuardDuty Overview - Security Monitoringのダッシュボードを見ていきます。
※尚、データや環境については、Sumo Logicのトレーニング環境を利用しています。

Amazon GuardDuty Overview - Security Monitoring

最初にこちらでアカウントID、リージョン、リソースタイプごとでダッシュボード全体の各パネルに対して一括でフィルタリングすることができます。

Findings Summary

Findings Summaryでは全体のGuardDutyの検知状況が確認できます。

Total Findings Last Hour

直近1時間のGuardDutyでのFinding数です。下のグラフは24時間幅で1時間毎のFindings数をプロットしたスパークラインを表示してくれています。

また、ダッシュボード内のどのパネルも同じですが、パネルの右上の三点リーダーからEditを選択することで、クエリの中身や検索対象時間を編集してダッシュボードに反映させることができます。


(クエリ文の1時間毎のFindings数を3時間毎(「1h」を「3h」)に、検索対象(「Last 24 Hours」を「Last 3 Days」)になど、編集してダッシュボードを更新が可能)

Trending All Findings

24時間以内のGuardDutyでのSeverity毎のFinding数をエリアチャートで表します。

Last 20 Findings

直近20件のGuardDutyの検知サマリをテーブル表示します。

High Severity Findings

GuardDutyのHigh検知に関するパネルです。デモ環境だとデータが無かったので、次のMedium Severity Findingsで説明をします。

Medium Severity Findings

GuardDutyのMedium検知に関するパネルです。

Medium Severity Findings Last Hour

直近1時間のGuardDutyでのMedium SeverityのFinding数です。下のグラフは24時間幅で1時間毎のMedium SeverityのFindings数をプロットしたスパークラインを表示してくれています。

Medium Severity Outliers

過去のMedium SeverityのFindingsの変動値からしきい値を算出して、急激なスパイク(しきい値を超える)があれば、三角形の表示がされます。
この閾値を利用して、閾値が超えたらアラートを出すといったこともできます。

Last 20 Severity Findings

直近20件のMedium SeverityのGuardDutyの検知サマリをテーブル表示します。

Low Severity Findings

GuardDutyのLow検知に関するパネルです。各パネルについてはMediumのものと同じになります。

続いて、フォルダに戻ってもう一つのダッシュボード「Amazon GuardDuty Analysis - Security Analytics」を見ていきます。

Amazon GuardDuty Analysis - Security Analytics

こちらもThreatPurpose、ThreatName、severity、region、ResourceType、accountIdで全体の情報をフィルタすることができます。

Details

Latest Findings

直近の検知情報から順に詳細情報のテーブルを表示します。先程のフィルターを使って、注目したい検知情報を確認できます。

Trending

Findings by Threat Purpose

24時間以内の15分間にGuardDutyが検知したFindingsの脅威目的毎の件数を棒グラフで表示します。

Findings by Threat Name

24時間以内の15分間にGuardDutyが検知したFindingsの脅威に関連付けられているマルウェアファミリーの名前または脅威名の件数を棒グラフで表示します。

まとめ

今回は、セキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon GuardDuty - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを紹介しました。他のAppから自分が必要なパネルだけを切り貼りして自分だけのダッシュボードをつくることも非常に簡単にできます。
ぜひ、本記事を参考にしていただき、Sumo Logicを使ったセキュリティインサイトを活用してください。