メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 19 - AWS ELB データ用 Threat Intel アプリケーションのインストール

このラボでは AWS ELB データ用 Threat Intel アプリケーションをインストールする方法について説明します。
Threat Intel アプリケーションを使用すると、CrowdStrike の脅威インテリジェンス データを自身のログ データに関連付けて、リアルタイムのセキュリティ アナリティクスによって脅威を検出することができます。特に、ファイル名、URL、ドメイン、ハッシュ 256、およびメールに基づいて脅威をスキャンします。

Threat Intel アプリケーションはデータ セット全体に対してインストールすることもできますが、パフォーマンスの関係上、推奨されません。最良の方法は、特定の Source に対してのみアプリケーションをインストールすることです。必要であれば、相関させたい Source ごとにアプリケーションを何度でもインストールできます。このラボでは、ELB データ (AWS の負荷分散サービス) に対して Threat Intel アプリケーションをインストールします。

 

  1. [App Catalog (App カタログ)] で [Threat Intel Quick Analysis (Threat Intel クイック分析)] アプリケーションを探します。

  2. アプリケーションを選択して [Add to Library (ライブラリに追加)] をクリックします。

  3. [App Name (App 名)] に、「Threat Intel - AWS ELB」と入力します。

  4. _sourceCategory に、「Labs/AWS/ELB」と入力します。

  5. [Advanced (詳細設定)] で [Personal (個人用)] > [Apps (アプリケーション)] の順に選択し、最後に [Add to Library (ライブラリに追加)] をクリックします。

  6. これにより、新しいフォルダの Personal/Apps/Threat Intel - AWS ELB とクエリが作成され、さらにそのソース用のダッシュボードが作成されます。

  7. [Threat Intel Quick Analysis - Overview (Threat Intel クイック分析 - 概要)] ダッシュボードを開きます。ほとんどのパネルにはデータが表示されていません。

  8. いずれかの [Dashboard (ダッシュボード)] パネルをクリックすると、その背景にあるクエリが表示されます。クエリを変更したときは、[Update Dashboard (ダッシュボードの更新)] をクリックすることで、元のダッシュボードに変更内容を保存できます。

  9. このコンテンツを他のユーザを共有したい場合は、ライブラリから Threat Intel フォルダを選択します。右側にある 3 点アイコンをクリックすると、[Share (共有)] などの操作メニューが開きます。

  • この記事は役に立ちましたか?