Sumo Logic – CrowdStrike の脅威検出ダッシュボードを作成してみた

2023.01.30

記事の内容が古い場合は、公式サイトもご確認ください。

結論

CrowdStrike は、EDRや脅威インテリジェンスを提供するセキュリティベンダーです。
エンドポイント向けに監視を強化してサイバー攻撃や、ランサムウェアなどを検出できます。

Sumo Logic では、CrowdStrike と統合しており、ログデータを分析して脅威ハンティングできるダッシュボードを構築できます。
今回は、以下のようなダッシュボードを作成してみました。

AppCatalog

Sumo Logic には、クラウドや SaaS 製品などで必要なデータを簡単にダッシュボード化できる App Catalog という機能が存在します。
今回ご紹介する CrowdStrike の App Catalog は、Threat Intel for AWS を使用します。

- Threat Intel for AWS -
こちらのダッシュボードでは、AWS CloudTrail、AWS ELB、AWS VPC FlowLogs の経時的な傾向を表示して、ログをスキャンし、脅威を検出します。

Threat Intel for AWS のインストール

前提

こちらのダッシュボードでは、以下の AWS ログを検出して分析します。

流すログデータの中にもこれらのデータが含まれている必要があります。
なくても作成は出来ますが、データのあるダッシュボードしか可視化できません。

ダッシュボード作成

App Catalog > Threat Intel for AWS で検索 > Add Integration で、ダッシュボードを作成していきます。

ここで、CloudTrail、ELB、VPC のログが入っている Source Category を指定します。

あとは、フォルダ名とどのフォルダに格納するか指定すれば、Next を押下して完了です。

作成出来たら、以下のようにダッシュボードとログ検索のアイテムが表示されているか確認してください。(表示されない場合は、リロードしてください。)

ここまでで CrowdStrike の脅威検出ダッシュボードの作成が完了しました。
ダッシュボードの OverView は、各ログ要素をまとめて網羅的に確認できるダッシュボードです。

それぞれのパネルについてのご説明は、以下をご覧ください。
Viewing Threat Intel Dashboards | Sumo Logic

ちょっとアルゴリズムなお話

ダッシュボードを作成したのはいいが、CrowdStrike はどのように関与しているのか?について触れます。
Sumo Logic では、クエリ文を書いてログ検索したり、ダッシュボードに表示させたりしているのですが、その検索文に CrowdStrike を呼び出す演算子が入っています。その演算子を使用して検索した結果を CrowdStrike 独自の脅威フィールドと比較して、脅威を検出した結果をクエリ処理に返します。その結果を Sumo Logic で再集計などして、ダッシュボードに表示させています。

少し具体的にクエリ文で解説します。


| lookup type, actor, raw, threatlevel as malicious_confidence, threat from sumo://threat/cs on threat = src_ip

この、look up という演算子で、CrowdStrike の脅威情報(sumo://threat/cs)と一致するか否か判定して呼び出しています。
これにより、指定されたエイリアスの情報と比較しています。

- threatip 演算子 -
threatip 演算子を付けても、CrowdStrike の脅威 DB に保存されている IP アドレスと比較できます。 threatip Search Operator | Sumo Logic

まとめ

いかがでしたでしょうか。Sumo Logic の AppCatalog には、AWS 以外にも、悪意のある IP、ハッシュ 256、ドメイン、URL、電子メールの脅威を分析するものや、CrowdStrike Falcon Endpoint Protection により分析された EDR 向けのカタログも存在します。
今回ご紹介したような AppCatalog は 150 製品以上の種類が存在し、SIEM 運用とセキュリティ対策を支援してくれます。
また、非常に簡単に導入できるのも Sumo Logic の強みだと思いまとめてみた次第です。誰かの助けになれる記事であれば幸いです。

参考元