ラボ 5 - 膨大なデータからの発掘
LogReduce を使用することで、何千ものログ メッセージから一般的なセキュリティ イベントや、まれなセキュリティ イベントを効率的に検出できます。
LogReduce を使用すると、データに含まれる再帰的なシグネチャを特定して、膨大なデータから有意なメッセージを見つけ出すことができます。
-
Snort セキュリティ データに対して LogReduce を実行し、過去 60 分間の通常とは異なるアクティビティ (侵入) を特定します。
_sourceCategory=labs/snort
| logreduce
-
[Count (カウント)] をクリックして結果をソートして、1 回しか発生していないメッセージを特定します。[Count (カウント)] 見出しの下の 1 をクリックして、通常とは異なるメッセージを表示します。
-
前後のメッセージ機能を使用すると、識別されたホスト、名前、カテゴリなどのコンテキストから収集したメッセージについて、その前後で発生したイベントを調査できます。これにより、定義された時間範囲におけるアクティビティを参照できます。その後、ホストをクリックして、その前後のメッセージを表示し、侵入の形跡を特定します。[Host (ホスト)] のドロップダウンから [5 Minutes (5 分)] を選択します。