メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 9 - サンプル IOC (Indicator of Compromise: 侵入の痕跡) を使用した Threat Intel 検索のテスト

ログ メッセージの IP アドレスを既知の悪意のある IP アドレスのデータベースと比較します。
Threat Intel アプリケーション (後ほどのラボでインストールします) を使用して結果が返されないのは良いことであり、ログに脅威の痕跡がないことを意味します。しかしながら、検索機能をテストするために、Threat Intel FAQ では各種 IOC のサンプルを提供しています。実際の IOC を使用して単純なクエリを実行してみましょう。IP アドレスを FAQ にある他の IOC に置き換えてください。

  1. このクエリは、limit operator を使用して結果を 1 つだけ返します。手動で入力した my_threat という IP のみを CrowdStrike データベースと照合するので、データ範囲は定義していません。lookup operator は、IP アドレス「84.112.91.96」が既知の脅威かどうかを確認します。

| limit 1
| "84.112.91.96" as my_threat
| lookup type, actor, raw, threatlevel as malicious_confidence
from sumo://threat/cs on threat = my_threat
| if (isNull(malicious_confidence),"No","Yes") as DataExist //checks to see if any value is returned for the field "malicious confidence" from CrowdStrike
| fields my_threat,DataExist, malicious_confidence, actor //formats fields

 

  1. IP アドレス「malicious_confidenc」が isNull の場合は、DataExist で No を返します。フィールドは列の表示順序を制御し、出力のフォーマット設定で特に役立ちます。順序を変更してみましょう。

| fields my_threat, malicious_confidence, DataExist, actor //formats fields

  1. また、CrowdStrike に対して確認する IP アドレス ("84.112.92.96") を他のものに変更することもできます。IP アドレスのデータが存在しない場合は、[data exist (データが存在します)] フィールドに「no」と表示されます。
  • この記事は役に立ちましたか?