Sumo Logic – CrowdStrike の脅威検出ダッシュボードを作成してみた
記事の内容が古い場合は、公式サイトもご確認ください。
結論
CrowdStrike は、EDRや脅威インテリジェンスを提供するセキュリティベンダーです。
エンドポイント向けに監視を強化してサイバー攻撃や、ランサムウェアなどを検出できます。
Sumo Logic では、CrowdStrike と統合しており、ログデータを分析して脅威ハンティングできるダッシュボードを構築できます。
今回は、以下のようなダッシュボードを作成してみました。
AppCatalog
Sumo Logic には、クラウドや SaaS 製品などで必要なデータを簡単にダッシュボード化できる App Catalog という機能が存在します。
今回ご紹介する CrowdStrike の App Catalog は、Threat Intel for AWS を使用します。
こちらのダッシュボードでは、AWS CloudTrail、AWS ELB、AWS VPC FlowLogs の経時的な傾向を表示して、ログをスキャンし、脅威を検出します。
Threat Intel for AWS のインストール
前提
こちらのダッシュボードでは、以下の AWS ログを検出して分析します。
- AWS CloudTrail
- AWS ELB
- AWS VPC FlowLogs
AWS CloudTrail ログ収集方法 : Collecting Logs for the AWS CloudTrail App | SumoLogic
AWS ELB ログ収集方法 : Sumo Logic App for AWS Classic Load Balancer | Sumo Logic
※ 現時点では、デフォルトで CLB 用のログ検索文を作成します。ALB、NLB は排出されるログ形式が異なる、もしくは増えているので、クエリ文を書き換える必要があります。
AWS VPC フローログ収集方法 : Collecting Amazon VPC Flow Logs using an AWS S3 Source | SumoLogic
流すログデータの中にもこれらのデータが含まれている必要があります。
なくても作成は出来ますが、データのあるダッシュボードしか可視化できません。
ダッシュボード作成
App Catalog > Threat Intel for AWS で検索 > Add Integration で、ダッシュボードを作成していきます。
ここで、CloudTrail、ELB、VPC のログが入っている Source Category を指定します。
あとは、フォルダ名とどのフォルダに格納するか指定すれば、Next を押下して完了です。
作成出来たら、以下のようにダッシュボードとログ検索のアイテムが表示されているか確認してください。(表示されない場合は、リロードしてください。)
ここまでで CrowdStrike の脅威検出ダッシュボードの作成が完了しました。
ダッシュボードの OverView は、各ログ要素をまとめて網羅的に確認できるダッシュボードです。
それぞれのパネルについてのご説明は、以下をご覧ください。
Viewing Threat Intel Dashboards | Sumo Logic
CroudStrike の検索クエリについては以下でブログを公開しております。 Sumo Logic – CrowdStrike の脅威情報と突合させるクエリについて | DevelopersIO
まとめ
いかがでしたでしょうか。Sumo Logic の AppCatalog には、AWS 以外にも、悪意のある IP、ハッシュ 256、ドメイン、URL、電子メールの脅威を分析するものや、CrowdStrike Falcon Endpoint Protection により分析された EDR 向けのカタログも存在します。
今回ご紹介したような AppCatalog は 150 製品以上の種類が存在し、SIEM 運用とセキュリティ対策を支援してくれます。
また、非常に簡単に導入できるのも Sumo Logic の強みだと思いまとめてみた次第です。誰かの助けになれる記事であれば幸いです。