この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
セキュリティ運用者・管理者のみなさん。ログ分析大事ですよね。
今回も前回に引き続き、Sumo LogicのセキュリティAppのダッシュボードを徹底紹介したいと思います。今回はAWSのVPCログから爆速でセキュリティインサイトを得ることができるApp「Amazon VPC Flow - Cloud Security Monitoring and Analytics」です。
vol.1(GuardDutyの回)はこちらからどうぞ
利用可能なプラン
まずはじめに、このAppが利用可能なSumo Logicの契約プランとなります。全プランにて利用可能なAppとなっています。
| Free | Trial | Essential | Enterprise Operation | Enterprise Security | Enterprise Suite |
|---|---|---|---|---|---|
| ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Appインストールまでの設定
Sumo Logicのコンソール画面からApp Catalogを選択し、Amazon VPC Flow - Cloud Security Monitoring and Analyticsをインストールします。
※Appインストール前にAWS側でのVPCフローログの有効化と、VPCフローログをSumo Logicへ取り込むための設定が必要です。AWS側でのVPCフローログの有効化の際には、S3へのログ連携とCloudWatch Logsへのログ連携の2通りの方法があります。AWSからSumoへのログ取り込みについてもS3とCloudWatch Logsどちらからでも取り込みが可能となっています。
AWS側でのVPCフローログの連携先の違いについてはこちらのブログを参考にしてください。
S3から取得するためのSumo Logicの設定についてはこちらから
CloudWatch Logsから取得するためのSumo Logicの設定についてはこちらをご確認ください。
Appをインストールをすると、ダッシュボードが三つ表示されます。それでは早速各ダッシュボードについて見ていきましょう。
まずはじめにAmazon VPC Flow - Security Monitoring - Overviewのダッシュボードを見ていきます。
※尚、データや環境については、Sumo Logicのトレーニング環境を利用しています。
Amazon VPC Flow - Security Monitoring - Overview
最初にこちらでダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。
Boundary Crossing (North - South) Threat Sources
Boundary Crossing (North - South) Threat SourcesではインターネットとAWS間のアウトバウンド/インバウンド通信でCrowdStrikeのThreat Intelligenceに引っかかったログがなかったかを表示してくれます。
Total Hits from Threat Intel Source
直近15分間の通信ログの送信元IPがCrowdStrikeのThreat Intelligenceの脅威IPに合致するインバウンド通信の件数を表示(下のグラフは1時間幅で15分ごとの脅威IP合致したインバウンド通信件数のスパークライン)
Threat Intel Sources Over Time by Action
直近1時間以内の通信ログの送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する5分ごとの許可および拒否それぞれの通信フローの件数の推移をステップ折れ線チャートで表示
Geo Location of Threat Intel Sources with Accepted Flow Logs
直近1時間以内の通信ログの送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたインバウンド通信をGeo Locationで表示
Total Hits to Threat Intel Destinations
直近15分間の通信ログの宛先IPがCrowdStrikeのThreat Intelligenceの脅威IPに合致するアウトバウンド通信の件数を表示(下のグラフは1時間幅で15分ごとの脅威IP合致したアウトバウンド通信件数のスパークライン)。ここから先の3つの宛先IPに関するパネルではデモデータでは合致した件数があなかったのでチャートは空っぽです。
Threat Intel Destinations Over Time by Action
直近1時間以内の通信ログの宛先IPがCrowdStrikeのIntelligenceの脅威IPと合致する5分間隔の許可および拒否それぞれの通信フローの件数の推移をステップ折れ線チャートで表示
Geo Location of Threat Intel Destinations with Accepted Flow Logs
直近1時間以内の通信ログの宛先IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたアウトバウンド通信をGeo Locationで表示
Accepted Flows
Accepted FlowsではVPCフローログの許可された通信について表示されています。
Total Accepted Flow Records
直近15分間の許可された通信フローの件数を表示(下のグラフは1時間幅で15分ごとの許可された通信フロー件数のスパークライン)
Bytes Accepted Comparison for Last 3 Days
直近1時間以内の5分ごとの許可された通信量と過去3日間の同時刻のそれぞれの通信量を折れ線チャートで表示
Source Address Locations
直近1時間以内の許可されたインバウンド通信をGeo Locationで表示
Destination Address Locations
直近1時間以内の許可されたアウトバウンド通信をGeo Locationで表示
Rejected Flows
Rejected FlowsではVPCフローログの拒否された通信について表示されています。
Total Rejected Flow Records
直近15分間の拒否された通信フローの件数を表示(下のグラフは1時間幅で拒否された15分ごとの通信フロー件数のスパークライン)
Top 10 Rejected TCP Destination Ports
直近1時間以内の拒否されたTCPアウトバウンド通信の宛先ポートごとの件数を多いものから順に横棒チャートで表示
Flows Rejected Comparison for Last 3 Days
直近1時間以内の5分ごとの拒否されたパケット数と過去3日間の同時刻のそれぞれのパケット数を折れ線チャートで表示
Rejects by InterfaceID, dstDevice_ip
直近1時間以内の拒否された通信フローのインターフェイスIDと宛先IPアドレス毎の件数をテーブル表示
Boundary Crossing (North - South) Data Access
Boundary Crossing (North - South) Data AccessではインターネットとAWS間のTCP通信や宛先ポート別の集計結果を表示してくれます。
Top10 TCP Destination Ports
直近1時間以内の許可されたTCPアウトバウンド通信の宛先ポート毎の件数を横棒チャートで表示
Top10 AccountIDs by Bytes
直近1時間以内の許可されたTCPインバウンド/アウトバウンドの通信量をアカウントID毎でドーナツチャートで表示
Destination ASN Bytes by Destination Port
直近1時間以内の許可されたアウトバウンド通信の宛先IPが所属するAS番号と宛先ポート毎の通信量をバブルチャートで表示
Top TCP Destination Ports by ASN Organization
直近1時間以内の許可されたTCPアウトバウンド通信の宛先IPが所属するAS番号とそのISPベンダーおよび宛先ポート毎の件数を多いものから順にテーブル表示
Destination Port by InterfaceID
直近1時間以内の許可されたアウトバウンド通信のインターフェイスIDと宛先ポート毎の件数を多いものから順にテーブル表示
Internal (East - West) Data Access
AWS ー AWS間の内部通信の集計結果を表示してくれています。
Top10 TCP Destination Ports
直近1時間以内の許可されたTCPインターナル通信の宛先ポート毎の件数を横棒チャートで表示
Top20 InterfaceID by Bytes
直近1時間以内の許可されたインターナル通信のインターフェイスID毎の通信量を多いものから順にテーブル表示
Destination IP Bytes by InterfaceID
直近1時間以内の許可されたインターナル通信のインターフェイスIDと宛先IP毎の通信量を多いものから順にテーブル表示
Destination Port by InterfaceID
直近1時間以内の許可されたインターナル通信のインターフェイスIDと宛先ポート毎の件数を多いものから順にテーブル表示
続いて、フォルダに戻って次のダッシュボード「Amazon VPC Flow - Security Analytics - Accepts & Rejects」を見ていきます。
Amazon VPC Flow - Security Analytics - Accepts & Rejects
こちらもダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。
Rejected VPC flows
拒否された通信に関するインサイトを表示してくれます。
Flows Rejected by InterfaceID
直近1時間以内の拒否された通信フローのインターフェイスID毎の件数を横棒チャートで表示
Flows Rejected by AccountID
直近1時間以内の拒否された通信フローのアカウントID毎の件数をドーナツチャートで表示
Geo Location of Threats with Rejected Flow Logs
直近1時間以内の送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する拒否されたインバウンド通信をGeo Locationで表示
Threats Associated with Rejected Flow Logs
直近1時間以内の送信元IPがCrowdStrikeのIntelligenceのシビリティがHighの脅威IPと合致する拒否された通信フローの件数をテーブル表示
Flows Rejected by Destination Port
直近1時間以内の5分ごと、宛先ポートごとの拒否されたパケット数を棒グラフチャートで表示
Top20 Rejected by srcDevice_ip
直近1時間以内の拒否された通信フローの送信元IP件数トップ20をテーブル表示
Top20 Rejected by dstDevice_ip
直近1時間以内の拒否された通信フローの宛先IP件数トップ20をテーブル表示
Accepted VPC flows
許可された通信に関するインサイトを表示してくれます。
Bytes Accepted by Transport Protocol
直近1時間以内の許可された通信フローのプロトコル別通信量をドーナツチャートで表示
Geo Location of Threats with Accepted Flow Logs
直近1時間以内の送信元IPがCrowdStrikeのIntelligenceの脅威IPと合致する許可されたインバウンド通信をGeo Locationで表示
Threats Associated with Accepted Flow Logs
直近1時間以内の許可されたCrowdStrikeのIntelligenceの脅威IPと合致し、かつシビリティがHighの通信フロー(アクセス元)をテーブル形式で表示
Bytes Accepted by Destination Port
直近1時間以内の5分ごと、宛先ポートごとの許可された通信量を100%積み上げ棒グラフで表示
Top20 Accepted by srcDevice_ip
直近1時間以内の許可された通信フローの送信元IP件数トップ20をテーブル表示
Top20 Rejected by dstDevice_ip
直近1時間以内の許可された通信フロー宛先IP件数トップ20をテーブル表示
Destination ASN by TCP Destination Port
直近1時間以内の許可されたTCPアウトバウンド通信の宛先IPが所属するAS番号と宛先ポートごとの件数をバブルチャートで表示
続いて、フォルダに戻って次のダッシュボード「Amazon VPC Flow - Security Analytics - Traffic Direction Monitoring」を見ていきます。
Amazon VPC Flow - Security Analytics - Traffic Direction Monitoring
こちらもダッシュボード全体をアカウントID、インターフェイスID、アクセス元IP、アクセス先IP、アクセス先ポート、アクセス元ポートでフィルタリングすることができます。
Inbound Traffic
インターネット ー AWS間のインバウンド通信に関するダッシュボードになります。
Inbound Accepted Flows
直近5分間の許可されたインバウンド通信件数を表示(下のグラフは1時間幅で5分間隔の許可されたインバウンド通信件数のスパークライン)
Inbound Rejected Flows
直近5分間の拒否されたインバウンド通信件数を表示(下のグラフは1時間幅で5分間隔の拒否されたインバウンド通信件数のスパークライン)
Inbound Top 10 srcDevice_ip by MB
直近1時間以内のインバウンド通信の送信元IPごとの通信量トップ10を横棒チャートで表示
Inbound Top 10 dstDevice_ip by MB
直近1時間以内のインバウンド通信の宛先IPごとの通信量トップ10を横棒チャートで表示
Geo Location of Threats with Inbound Accepted Flows
直近1時間以内の送信元IPがCrowdStrikeの脅威インテリジェンスに合致する許可されたインバウンド通信件数をGeo Locationで表示
Top 10 Inbound Destination Ports by Flow Records
直近1時間以内の宛先ポートごとのインバウンド通信トップ10の散布図を表示
Outbound Traffic
インターネット ー AWS間のアウトバウンド通信に関するダッシュボードになります。
Outbound Accepted Flows
直近5分間の許可されたアウトバウンド通信件数を表示(下のグラフは1時間幅で5分間隔の許可されたアウトバウンド通信件数のスパークライン)
Outbound Rejected Flows
直近5分間の拒否されたアウトバウンド通信件数を表示(下のグラフは1時間幅で5分間隔の拒否されたアウトバウンド通信件数のスパークライン)
Outbound Top 10 srcDevice_ip by MB
直近1時間以内のアウトバウンド通信の送信元IPごとの通信量トップ10を横棒チャートで表示
Outbound Top 10 dstDevice_ip by MB
直近1時間以内のアウトバウンド通信の宛先IPごとの通信量トップ10を横棒チャートで表示
Geo Location of Threats with Outbound Accepted Flows
直近1時間以内の送信元IPがCrowdStrikeの脅威インテリジェンスに合致する許可されたアウトバウンド通信件数をGeo Locationで表示
Top 10 Outbound Destination Ports by Flow Records
直近1時間以内の宛先ポートごとのアウトバウンド通信トップ10の散布図を表示
まとめ
今回は、セキュリティに特化したCloud Security Monitoring and Analyticsシリーズの「Amazon VPC Flow - Cloud Security Monitoring and Analytics」Appが提供するダッシュボードを紹介しました。GuardDutyの検知情報と併せて確認してみると攻撃の痕跡やRoot Causeへの調査もはかどりそうです。
ぜひ、本記事を参考にしていただき、Sumo Logicを使ったセキュリティインサイトを活用してください。
7
