Sumo Logic – Cloud SOAR のアーキテクチャと導入手順のご紹介
最初に
Sumo Logic の機能に Cloud SOAR というインシデント対応のオートメーション化を支援する機能がございます。
今回は、Cloud SOAR 導入のために理解していただきたい簡単なアーキテクチャと、自動化を実現するためのモジュールである Automation Bridge のインストール手順についてまとめました。
Cloud SOAR の繋ぎこみとアーキテクチャ
Cloud SOAR は Sumo Logic 標準の CIP や、自動相関分析に特化した CSE 機能と併用して得られた脅威インテリジェンスを流し込むことで、復旧や封じ込めなどの対応を自動化してくれるプラットフォームです。
Cloud SOAR の環境
まず、前提知識として Sumo Logic は、AWS 環境で稼働しており、CIP や CSE、Cloud SOAR が稼働するホストも AWS 環境内にあり、論理的 / 物理的に隔離されたテナントで管理されています。ユーザは、この隔離された SOAR インスタンスにあるデータを見るためにマスターコンソールが用意されています。
ここまでが前提です。では、実際に Cloud SOAR をどのように繋ぎこむのかについてご説明します。
Cloud SOAR の導入
導入すると以下のような構成になります。
Sumo Logic 環境については、先ほどご説明した通りです。
ユーザ環境については Automation Bridge という表記がございます。こちらは SOAR インスタンスや CIP とやり取りをするためのブリッジとして、ユーザ環境において Linux VM で実行するプロセスです。システムに対してアクションを実行できるようにするためにユーザ環境内に構築する必要があります。
- 導入に向けた全体的なフロー
- HW の用意
- 通信プロトコルの設定
- Docker のインストール
- JWT トークンの取得
- Automation Bridge モジュールのインストール、設定
現行の Automation Bridge のバージョンは、1.2 です。下記に本バージョンにおける要件を記載します。
HW 要件
| Hardware | 要件 |
|---|---|
| OS | Ubuntu (18.04/20.04)、CentOS 7、RedHat 8 |
| RAM | 8GB |
| CPU | 4 Core |
| DISK | 160GB |
| NW Card | 1 |
通信プロトコルの設定
TCP 443 で接続して、DNS 名を解決できる必要があります。
| DESTINATION | PROTOCOL | PORT |
|---|---|---|
| SOAR URL | TCP | 443 |
| CSE URL | TCP | 443 |
| CIP URL | TCP | 443 |
SOAR の URL については、下記のような構成になっております。Cloud SOAR ダッシュボード右上のハテナマーク > API Documentation に記載されています。
http[s]:///<cloudsoarhost>/incmansuite_ng/lib/gui/app.php#support_apidoc|api_documentation_v3
Docker のインストール
Docker-CE をインストールします。(最小で適応しているのは、 Ver 20.10)
- Docker を起動
systemctl start docker
systemctl enable docker
下記を実行して、ドロップインのディレクトリを作成します。その後、http-proxy.conf ファイルを作成して、HTTP_PROXY 環境変数を追加できます。
mkdir -p /etc/systemd/system/docker.service.d
/etc/systemd/system/docker.service.d/http-proxy.conf に記載。
Environment="HTTP_PROXY= http://proxy // HTTP Environment="HTTPS_PROXY= http://proxy // HTTPS
systemctl daemon-reload
systemctl restart docker
JWT トークンの取得
SOAR のコンソールで、右上の歯車マークを選択 > Settings で設定画面に入っていただき、下記の通りにプロファイルを作成した後、JWT トークンを生成、取得してください。
ここで、プロファイル名を入力して、Create を選択してください。
Automation Bridge モジュールのインストール、設定
Cloud SOAR ダッシュボード右上のハテナマーク > Automation Bridge の項目で下記の様に用意されています。必要な OS ごとにダウンロードしてください。
- Ubuntu でのインストール
sudo dpkg -i automation-bridge-X.X.deb
sudo yum install automation-bridge-X.X.rpm
"SOAR_URL":"hoge" "SOAR_TOKEN":"huga"
- Automation bridge ALIAS の設定
Cloud SOAR は、クラウドリソースや、多くのセキュリティ SaaS 製品と連携出来ます。(余談:Automation > App Central という項目で確認できます。現在:336種類)Automation bridge ALIAS では、それらのリソースを区別するためにエイリアスを作成します。
新しい統合リソースの追加方法は、SOAR ドキュメント | Sumo Logic に記載がありましたので、こちらを参考にしてください。
Automation Bridge のチェック
インストール後に ps コマンドを実施して、正常稼働しているかチェックしてください。
ps faux |grep automation-bridge
まとめ
今回は、SOAR の導入についてまとめてみました。Cloud SOAR は、CrowdStrike や、ほかのソリューションと API で連携し、JSON データでやり取りします。
それぞれのソリューションとの統合方法については、App Central に記載があり、何が出来るか載っているので色々見てみると理解が深まると思います。
Akamai - WAF の例
次回は、CIP、CSE との連携やプレイブックという自動化ルール等を設定する機能をご紹介しつつ設定方法もご案内できればと思います。
どなたかの一助になれば幸いです。
