記事の内容が古い場合は、公式サイトもご確認ください。
結論
CrowdStrike は、EDRや脅威インテリジェンスを提供するセキュリティベンダーです。
エンドポイント向けに監視を強化してサイバー攻撃や、ランサムウェアなどを検出できます。
Sumo Logic では、CrowdStrike と統合しており、ログデータを分析して脅威ハンティングできるダッシュボードを構築できます。
今回は、以下のようなダッシュボードを作成してみました。
AppCatalog
Sumo Logic には、クラウドや SaaS 製品などで必要なデータを簡単にダッシュボード化できる App Catalog という機能が存在します。
今回ご紹介する CrowdStrike の App Catalog は、Threat Intel for AWS を使用します。
- Threat Intel for AWS -
こちらのダッシュボードでは、AWS CloudTrail、AWS ELB、AWS VPC FlowLogs の経時的な傾向を表示して、ログをスキャンし、脅威を検出します。
こちらのダッシュボードでは、AWS CloudTrail、AWS ELB、AWS VPC FlowLogs の経時的な傾向を表示して、ログをスキャンし、脅威を検出します。
Threat Intel for AWS のインストール
前提
こちらのダッシュボードでは、以下の AWS ログを検出して分析します。
- AWS CloudTrail
- AWS ELB
- AWS VPC FlowLogs
AWS CloudTrail ログ収集方法 : Collecting Logs for the AWS CloudTrail App | SumoLogic
AWS ELB ログ収集方法 : Sumo Logic App for AWS Classic Load Balancer | Sumo Logic
※ 現時点では、デフォルトで CLB 用のログ検索文を作成します。ALB、NLB は排出されるログ形式が異なる、もしくは増えているので、クエリ文を書き換える必要があります。
AWS VPC フローログ収集方法 : Collecting Amazon VPC Flow Logs using an AWS S3 Source | SumoLogic
流すログデータの中にもこれらのデータが含まれている必要があります。
なくても作成は出来ますが、データのあるダッシュボードしか可視化できません。
ダッシュボード作成
App Catalog > Threat Intel for AWS で検索 > Add Integration で、ダッシュボードを作成していきます。
ここで、CloudTrail、ELB、VPC のログが入っている Source Category を指定します。
あとは、フォルダ名とどのフォルダに格納するか指定すれば、Next を押下して完了です。
作成出来たら、以下のようにダッシュボードとログ検索のアイテムが表示されているか確認してください。(表示されない場合は、リロードしてください。)
ここまでで CrowdStrike の脅威検出ダッシュボードの作成が完了しました。
ダッシュボードの OverView は、各ログ要素をまとめて網羅的に確認できるダッシュボードです。
それぞれのパネルについてのご説明は、以下をご覧ください。
Viewing Threat Intel Dashboards | Sumo Logic
ちょっとアルゴリズムなお話
ダッシュボードを作成したのはいいが、CrowdStrike はどのように関与しているのか?について触れます。
Sumo Logic では、クエリ文を書いてログ検索したり、ダッシュボードに表示させたりしているのですが、その検索文に CrowdStrike を呼び出す演算子が入っています。その演算子を使用して検索した結果を CrowdStrike 独自の脅威フィールドと比較して、脅威を検出した結果をクエリ処理に返します。その結果を Sumo Logic で再集計などして、ダッシュボードに表示させています。
少し具体的にクエリ文で解説します。
| lookup type, actor, raw, threatlevel as malicious_confidence, threat from sumo://threat/cs on threat = src_ip
この、look up という演算子で、CrowdStrike の脅威情報(sumo://threat/cs)と一致するか否か判定して呼び出しています。
これにより、指定されたエイリアスの情報と比較しています。
- threatip 演算子 -
threatip 演算子を付けても、CrowdStrike の脅威 DB に保存されている IP アドレスと比較できます。 threatip Search Operator | Sumo Logic
threatip 演算子を付けても、CrowdStrike の脅威 DB に保存されている IP アドレスと比較できます。 threatip Search Operator | Sumo Logic
まとめ
いかがでしたでしょうか。Sumo Logic の AppCatalog には、AWS 以外にも、悪意のある IP、ハッシュ 256、ドメイン、URL、電子メールの脅威を分析するものや、CrowdStrike Falcon Endpoint Protection により分析された EDR 向けのカタログも存在します。
今回ご紹介したような AppCatalog は 150 製品以上の種類が存在し、SIEM 運用とセキュリティ対策を支援してくれます。
また、非常に簡単に導入できるのも Sumo Logic の強みだと思いまとめてみた次第です。誰かの助けになれる記事であれば幸いです。
13
