Sumo Logic – Cloud SOAR のアーキテクチャと導入手順のご紹介

Sumo Logic – Cloud SOAR のアーキテクチャと導入手順のご紹介

Sumo Logic の SOAR 導入方法をまとめてみました。
Clock Icon2023.04.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

最初に

Sumo Logic の機能に Cloud SOAR というインシデント対応のオートメーション化を支援する機能がございます。
今回は、Cloud SOAR 導入のために理解していただきたい簡単なアーキテクチャと、自動化を実現するためのモジュールである Automation Bridge のインストール手順についてまとめました。

Cloud SOAR の繋ぎこみとアーキテクチャ

Cloud SOAR は Sumo Logic 標準の CIP や、自動相関分析に特化した CSE 機能と併用して得られた脅威インテリジェンスを流し込むことで、復旧や封じ込めなどの対応を自動化してくれるプラットフォームです。

Cloud SOAR の環境

まず、前提知識として Sumo Logic は、AWS 環境で稼働しており、CIP や CSE、Cloud SOAR が稼働するホストも AWS 環境内にあり、論理的 / 物理的に隔離されたテナントで管理されています。ユーザは、この隔離された SOAR インスタンスにあるデータを見るためにマスターコンソールが用意されています。

ここまでが前提です。では、実際に Cloud SOAR をどのように繋ぎこむのかについてご説明します。

Cloud SOAR の導入

導入すると以下のような構成になります。

Sumo Logic 環境については、先ほどご説明した通りです。
ユーザ環境については Automation Bridge という表記がございます。こちらは SOAR インスタンスや CIP とやり取りをするためのブリッジとして、ユーザ環境において Linux VM で実行するプロセスです。システムに対してアクションを実行できるようにするためにユーザ環境内に構築する必要があります。

  • 導入に向けた全体的なフロー
    • HW の用意
    • 通信プロトコルの設定
    • Docker のインストール
    • JWT トークンの取得
    • Automation Bridge モジュールのインストール、設定

現行の Automation Bridge のバージョンは、1.2 です。下記に本バージョンにおける要件を記載します。

HW 要件

Hardware 要件
OS Ubuntu (18.04/20.04)、CentOS 7、RedHat 8
RAM 8GB
CPU 4 Core
DISK 160GB
NW Card 1

通信プロトコルの設定

TCP 443 で接続して、DNS 名を解決できる必要があります。

DESTINATION PROTOCOL PORT
SOAR URL TCP 443
CSE URL TCP 443
CIP URL TCP 443

SOAR の URL については、下記のような構成になっております。Cloud SOAR ダッシュボード右上のハテナマーク > API Documentation に記載されています。

http[s]:///<cloudsoarhost>/incmansuite_ng/lib/gui/app.php#support_apidoc|api_documentation_v3

Docker のインストール

Docker-CE をインストールします。(最小で適応しているのは、 Ver 20.10)

  • Docker を起動
  • systemctl start docker
  • Docker を有効化
  • systemctl enable docker
  • ※ プロキシを経由する場合
  • 下記を実行して、ドロップインのディレクトリを作成します。その後、http-proxy.conf ファイルを作成して、HTTP_PROXY 環境変数を追加できます。

    mkdir -p /etc/systemd/system/docker.service.d

    /etc/systemd/system/docker.service.d/http-proxy.conf に記載。

    Environment="HTTP_PROXY= http://proxy // HTTP
    Environment="HTTPS_PROXY= http://proxy // HTTPS
    
  • systemd デーモンをリロード
  • systemctl daemon-reload
  • Docker サービスを再起動
  • systemctl restart docker

JWT トークンの取得

SOAR のコンソールで、右上の歯車マークを選択 > Settings で設定画面に入っていただき、下記の通りにプロファイルを作成した後、JWT トークンを生成、取得してください。


ここで、プロファイル名を入力して、Create を選択してください。

Automation Bridge モジュールのインストール、設定

Cloud SOAR ダッシュボード右上のハテナマーク > Automation Bridge の項目で下記の様に用意されています。必要な OS ごとにダウンロードしてください。

  • Ubuntu でのインストール
  • sudo dpkg -i automation-bridge-X.X.deb
  • CentOS/RedHat でのインストール
  • sudo yum install automation-bridge-X.X.rpm
  • /opt/automation-bridge/etc/user-configuration.conf を編集して、必須のパラメータを設定
  • "SOAR_URL":"hoge"
    "SOAR_TOKEN":"huga"
    
  • Automation bridge ALIAS の設定
  • Cloud SOAR は、クラウドリソースや、多くのセキュリティ SaaS 製品と連携出来ます。(余談:Automation > App Central という項目で確認できます。現在:336種類)Automation bridge ALIAS では、それらのリソースを区別するためにエイリアスを作成します。
    新しい統合リソースの追加方法は、SOAR ドキュメント | Sumo Logic に記載がありましたので、こちらを参考にしてください。

Automation Bridge のチェック

インストール後に ps コマンドを実施して、正常稼働しているかチェックしてください。

ps faux |grep automation-bridge

まとめ

今回は、SOAR の導入についてまとめてみました。Cloud SOAR は、CrowdStrike や、ほかのソリューションと API で連携し、JSON データでやり取りします。
それぞれのソリューションとの統合方法については、App Central に記載があり、何が出来るか載っているので色々見てみると理解が深まると思います。

Akamai - WAF の例

次回は、CIP、CSE との連携やプレイブックという自動化ルール等を設定する機能をご紹介しつつ設定方法もご案内できればと思います。
どなたかの一助になれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.