メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 17 - 新しいセキュリティ攻撃に対するアラートの作成

LogCompare についてのこのラボでは、2 つの異なる期間のログ アクティビティを比較し、結果に基づいてアラートを送信する方法について説明します。
2 つの異なる期間から抽出したログ アクティビティを比較する LogCompare を使用して、過去 60 分間に存在していて、24 時間前の同じ 60 分間には存在していなかったログ メッセージに対してアラートを生成するためのクエリを作成します。

 

  1. 過去 60 分間の Snort データを検索します。[LogCompare] をクリックして、現在のシグネチャを 24 時間前のシグネチャと比較します。

_sourceCategory=labs/snort

| logcompare timeshift -24h

  1. 現在の期間に新しいシグネチャが存在し、24 時間前には存在しなかった結果を表示するため、_isNew に where 句を追加します。

_sourceCategory=labs/snort

| logcompare timeshift -24h

| where (_isNew)

  1. 自分のメール アドレスを使用して、このクエリに結果が返された時点でアラートを生成する Scheduled Search を作成します。

  • この記事は役に立ちましたか?