Sumo Logic セキュリティApp紹介 vol.2

セキュリティ運用者・管理者のみなさん。ログ分析大事ですよね。

今回も前回に引き続き、Sumo LogicのセキュリティAppのダッシュボードを徹底紹介したいと思います。今回はAWSのVPCログから爆速でセキュリティインサイトを得ることができるApp「Amazon VPC Flow - Cloud Security Monitoring and Analytics」です。

vol.1（GuardDutyの回）はこちらからどうぞ

利用可能なプラン

まずはじめに、このAppが利用可能なSumo Logicの契約プランとなります。全プランにて利用可能なAppとなっています。

Free	Trial	Essential	Enterprise Operation	Enterprise Security	Enterprise Suite
✔	✔	✔	✔	✔	✔

Appインストールまでの設定

Sumo Logicのコンソール画面からApp Catalogを選択し、Amazon VPC Flow - Cloud Security Monitoring and Analyticsをインストールします。

※Appインストール前にAWS側でのVPCフローログの有効化と、VPCフローログをSumo Logicへ取り込むための設定が必要です。AWS側でのVPCフローログの有効化の際には、S3へのログ連携とCloudWatch Logsへのログ連携の２通りの方法があります。AWSからSumoへのログ取り込みについてもS3とCloudWatch Logsどちらからでも取り込みが可能となっています。

AWS側でのVPCフローログの連携先の違いについてはこちらのブログを参考にしてください。

S3から取得するためのSumo Logicの設定についてはこちらから
CloudWatch Logsから取得するためのSumo Logicの設定についてはこちらをご確認ください。

Appをインストールをすると、ダッシュボードが三つ表示されます。それでは早速各ダッシュボードについて見ていきましょう。 まずはじめにAmazon VPC Flow - Security Monitoring - Overviewのダッシュボードを見ていきます。
※尚、データや環境については、Sumo Logicのトレーニング環境を利用しています。

Amazon VPC Flow - Security Monitoring - Overview

最初にこちらでダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。

Boundary Crossing (North - South) Threat Sources

Boundary Crossing (North - South) Threat SourcesではインターネットとAWS間のアウトバウンド／インバウンド通信でCrowdStrikeのThreat Intelligenceに引っかかったログがなかったかを表示してくれます。

Total Hits from Threat Intel Source

直近15分間の通信ログの送信元IPがCrowdStrikeのThreat Intelligenceの脅威IPに合致するインバウンド通信の件数を表示（下のグラフは1時間幅で15分ごとの脅威IP合致したインバウンド通信件数のスパークライン）

Threat Intel Sources Over Time by Action

直近1時間以内の通信ログの送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する5分ごとの許可および拒否それぞれの通信フローの件数の推移をステップ折れ線チャートで表示

Geo Location of Threat Intel Sources with Accepted Flow Logs

直近1時間以内の通信ログの送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたインバウンド通信をGeo Locationで表示

Total Hits to Threat Intel Destinations

直近15分間の通信ログの宛先IPがCrowdStrikeのThreat Intelligenceの脅威IPに合致するアウトバウンド通信の件数を表示（下のグラフは1時間幅で15分ごとの脅威IP合致したアウトバウンド通信件数のスパークライン）。ここから先の３つの宛先IPに関するパネルではデモデータでは合致した件数があなかったのでチャートは空っぽです。

Threat Intel Destinations Over Time by Action

直近1時間以内の通信ログの宛先IPがCrowdStrikeのIntelligenceの脅威IPと合致する5分間隔の許可および拒否それぞれの通信フローの件数の推移をステップ折れ線チャートで表示

Geo Location of Threat Intel Destinations with Accepted Flow Logs

直近1時間以内の通信ログの宛先IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたアウトバウンド通信をGeo Locationで表示

Accepted Flows

Accepted FlowsではVPCフローログの許可された通信について表示されています。

Total Accepted Flow Records

直近15分間の許可された通信フローの件数を表示（下のグラフは1時間幅で15分ごとの許可された通信フロー件数のスパークライン）

Bytes Accepted Comparison for Last 3 Days

直近1時間以内の5分ごとの許可された通信量と過去3日間の同時刻のそれぞれの通信量を折れ線チャートで表示

Source Address Locations

直近1時間以内の許可されたインバウンド通信をGeo Locationで表示

Destination Address Locations

直近1時間以内の許可されたアウトバウンド通信をGeo Locationで表示

Rejected Flows

Rejected FlowsではVPCフローログの拒否された通信について表示されています。

Total Rejected Flow Records

直近15分間の拒否された通信フローの件数を表示（下のグラフは1時間幅で拒否された15分ごとの通信フロー件数のスパークライン）

Top 10 Rejected TCP Destination Ports

直近1時間以内の拒否されたTCPアウトバウンド通信の宛先ポートごとの件数を多いものから順に横棒チャートで表示

Flows Rejected Comparison for Last 3 Days

直近1時間以内の5分ごとの拒否されたパケット数と過去3日間の同時刻のそれぞれのパケット数を折れ線チャートで表示

Rejects by InterfaceID, dstDevice_ip

直近1時間以内の拒否された通信フローのインターフェイスIDと宛先IPアドレス毎の件数をテーブル表示

Boundary Crossing (North - South) Data Access

Boundary Crossing (North - South) Data AccessではインターネットとAWS間のTCP通信や宛先ポート別の集計結果を表示してくれます。

Top10 TCP Destination Ports

直近1時間以内の許可されたTCPアウトバウンド通信の宛先ポート毎の件数を横棒チャートで表示

Top10 AccountIDs by Bytes

直近1時間以内の許可されたTCPインバウンド／アウトバウンドの通信量をアカウントID毎でドーナツチャートで表示

Destination ASN Bytes by Destination Port

直近1時間以内の許可されたアウトバウンド通信の宛先IPが所属するAS番号と宛先ポート毎の通信量をバブルチャートで表示

Top TCP Destination Ports by ASN Organization

直近1時間以内の許可されたTCPアウトバウンド通信の宛先IPが所属するAS番号とそのISPベンダーおよび宛先ポート毎の件数を多いものから順にテーブル表示

Destination Port by InterfaceID

直近1時間以内の許可されたアウトバウンド通信のインターフェイスIDと宛先ポート毎の件数を多いものから順にテーブル表示

Internal (East - West) Data Access

AWS ー AWS間の内部通信の集計結果を表示してくれています。

Top10 TCP Destination Ports

直近1時間以内の許可されたTCPインターナル通信の宛先ポート毎の件数を横棒チャートで表示

Top20 InterfaceID by Bytes

直近1時間以内の許可されたインターナル通信のインターフェイスID毎の通信量を多いものから順にテーブル表示

Destination IP Bytes by InterfaceID

直近1時間以内の許可されたインターナル通信のインターフェイスIDと宛先IP毎の通信量を多いものから順にテーブル表示

Destination Port by InterfaceID

直近1時間以内の許可されたインターナル通信のインターフェイスIDと宛先ポート毎の件数を多いものから順にテーブル表示

続いて、フォルダに戻って次のダッシュボード「Amazon VPC Flow - Security Analytics - Accepts & Rejects」を見ていきます。

Amazon VPC Flow - Security Analytics - Accepts & Rejects

こちらもダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。

Rejected VPC flows

拒否された通信に関するインサイトを表示してくれます。

Flows Rejected by InterfaceID

直近1時間以内の拒否された通信フローのインターフェイスID毎の件数を横棒チャートで表示

Flows Rejected by AccountID

直近1時間以内の拒否された通信フローのアカウントID毎の件数をドーナツチャートで表示

Geo Location of Threats with Rejected Flow Logs

直近1時間以内の送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する拒否されたインバウンド通信をGeo Locationで表示

Threats Associated with Rejected Flow Logs

直近1時間以内の送信元IPがCrowdStrikeのIntelligenceのシビリティがHighの脅威IPと合致する拒否された通信フローの件数をテーブル表示

Flows Rejected by Destination Port

直近1時間以内の5分ごと、宛先ポートごとの拒否されたパケット数を棒グラフチャートで表示

Top20 Rejected by srcDevice_ip

直近1時間以内の拒否された通信フローの送信元IP件数トップ20をテーブル表示

Top20 Rejected by dstDevice_ip

直近1時間以内の拒否された通信フローの宛先IP件数トップ20をテーブル表示

Accepted VPC flows

許可された通信に関するインサイトを表示してくれます。

Bytes Accepted by Transport Protocol

直近1時間以内の許可された通信フローのプロトコル別通信量をドーナツチャートで表示

Geo Location of Threats with Accepted Flow Logs

直近1時間以内の送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたインバウンド通信をGeo Locationで表示

Threats Associated with Accepted Flow Logs

直近1時間以内の許可されたCrowdStrikeのIntelligenceの脅威IPと合致し、かつシビリティがHighの通信フロー（アクセス元）をテーブル形式で表示

Bytes Accepted by Destination Port

直近1時間以内の5分ごと、宛先ポートごとの許可された通信量を100％積み上げ棒グラフで表示

Top20 Accepted by srcDevice_ip

直近1時間以内の許可された通信フローの送信元IP件数トップ20をテーブル表示

Top20 Rejected by dstDevice_ip

直近1時間以内の許可された通信フロー宛先IP件数トップ20をテーブル表示

Destination ASN by TCP Destination Port

直近1時間以内の許可されたTCPアウトバウンド通信の宛先IPが所属するAS番号と宛先ポートごとの件数をバブルチャートで表示

続いて、フォルダに戻って次のダッシュボード「Amazon VPC Flow - Security Analytics - Traffic Direction Monitoring」を見ていきます。

Amazon VPC Flow - Security Analytics - Traffic Direction Monitoring

こちらもダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。

Inbound Traffic

インターネット ー AWS間のインバウンド通信に関するダッシュボードになります。

Inbound Accepted Flows

直近5分間の許可されたインバウンド通信件数を表示（下のグラフは1時間幅で5分間隔の許可されたインバウンド通信件数のスパークライン）

Inbound Rejected Flows

直近5分間の拒否されたインバウンド通信件数を表示（下のグラフは1時間幅で5分間隔の拒否されたインバウンド通信件数のスパークライン）

Inbound Top 10 srcDevice_ip by MB

直近1時間以内のインバウンド通信の送信元IPごとの通信量トップ10を横棒チャートで表示

Inbound Top 10 dstDevice_ip by MB

直近1時間以内のインバウンド通信の宛先IPごとの通信量トップ10を横棒チャートで表示

Geo Location of Threats with Inbound Accepted Flows

直近1時間以内の送信元IPがCrowdStrikeの脅威インテリジェンスに合致する許可されたインバウンド通信件数をGeo Locationで表示

Top 10 Inbound Destination Ports by Flow Records

直近1時間以内の宛先ポートごとのインバウンド通信トップ10の散布図を表示

Outbound Traffic

インターネット ー AWS間のアウトバウンド通信に関するダッシュボードになります。

Outbound Accepted Flows

直近5分間の許可されたアウトバウンド通信件数を表示（下のグラフは1時間幅で5分間隔の許可されたアウトバウンド通信件数のスパークライン）

Outbound Rejected Flows

直近5分間の拒否されたアウトバウンド通信件数を表示（下のグラフは1時間幅で5分間隔の拒否されたアウトバウンド通信件数のスパークライン）

Outbound Top 10 srcDevice_ip by MB

直近1時間以内のアウトバウンド通信の送信元IPごとの通信量トップ10を横棒チャートで表示

Outbound Top 10 dstDevice_ip by MB

直近1時間以内のアウトバウンド通信の宛先IPごとの通信量トップ10を横棒チャートで表示

Geo Location of Threats with Outbound Accepted Flows

直近1時間以内の送信元IPがCrowdStrikeの脅威インテリジェンスに合致する許可されたアウトバウンド通信件数をGeo Locationで表示

Top 10 Outbound Destination Ports by Flow Records

直近1時間以内の宛先ポートごとのアウトバウンド通信トップ10の散布図を表示

まとめ

今回は、セキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon VPC Flow - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを紹介しました。GuardDutyの検知情報と併せて確認してみると攻撃の痕跡やRoot Causeへの調査もはかどりそうです。
ぜひ、本記事を参考にしていただき、Sumo Logicを使ったセキュリティインサイトを活用してください。