Sumo Logic – CrowdStrike の脅威検出ダッシュボードを作成してみた

Sumo Logic – CrowdStrike の脅威検出ダッシュボードを作成してみた

Clock Icon2023.01.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

記事の内容が古い場合は、公式サイトもご確認ください。

結論

CrowdStrike は、EDRや脅威インテリジェンスを提供するセキュリティベンダーです。
エンドポイント向けに監視を強化してサイバー攻撃や、ランサムウェアなどを検出できます。

Sumo Logic では、CrowdStrike と統合しており、ログデータを分析して脅威ハンティングできるダッシュボードを構築できます。
今回は、以下のようなダッシュボードを作成してみました。

AppCatalog

Sumo Logic には、クラウドや SaaS 製品などで必要なデータを簡単にダッシュボード化できる App Catalog という機能が存在します。
今回ご紹介する CrowdStrike の App Catalog は、Threat Intel for AWS を使用します。

- Threat Intel for AWS -
こちらのダッシュボードでは、AWS CloudTrail、AWS ELB、AWS VPC FlowLogs の経時的な傾向を表示して、ログをスキャンし、脅威を検出します。

Threat Intel for AWS のインストール

前提

こちらのダッシュボードでは、以下の AWS ログを検出して分析します。

流すログデータの中にもこれらのデータが含まれている必要があります。
なくても作成は出来ますが、データのあるダッシュボードしか可視化できません。

ダッシュボード作成

App Catalog > Threat Intel for AWS で検索 > Add Integration で、ダッシュボードを作成していきます。

ここで、CloudTrail、ELB、VPC のログが入っている Source Category を指定します。

あとは、フォルダ名とどのフォルダに格納するか指定すれば、Next を押下して完了です。

作成出来たら、以下のようにダッシュボードとログ検索のアイテムが表示されているか確認してください。(表示されない場合は、リロードしてください。)

ここまでで CrowdStrike の脅威検出ダッシュボードの作成が完了しました。
ダッシュボードの OverView は、各ログ要素をまとめて網羅的に確認できるダッシュボードです。

それぞれのパネルについてのご説明は、以下をご覧ください。
Viewing Threat Intel Dashboards | Sumo Logic

CroudStrike の検索クエリについては以下でブログを公開しております。 Sumo Logic – CrowdStrike の脅威情報と突合させるクエリについて | DevelopersIO

まとめ

いかがでしたでしょうか。Sumo Logic の AppCatalog には、AWS 以外にも、悪意のある IP、ハッシュ 256、ドメイン、URL、電子メールの脅威を分析するものや、CrowdStrike Falcon Endpoint Protection により分析された EDR 向けのカタログも存在します。
今回ご紹介したような AppCatalog は 150 製品以上の種類が存在し、SIEM 運用とセキュリティ対策を支援してくれます。
また、非常に簡単に導入できるのも Sumo Logic の強みだと思いまとめてみた次第です。誰かの助けになれる記事であれば幸いです。

参考元

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.