メインコンテンツまでスキップ
Sumo Logic Japanese

GI CloudTrail アプリケーションのインストールとダッシュボードの表示

このページでは、Global Intelligence for AWS CloudTrail アプリケーションのインストール手順を説明すると共に、各ダッシュボードについて説明し、例を示します。

このページでは、GI CloudTrail アプリケーションのインストール手順を説明すると共に、各ダッシュボードについて説明し、例を示します。

重要な注意事項

  • このアプリケーションは、45 個の Scheduled Search を利用して、2 つの異なるインデックスと 1 つのルックアップ テーブルに保存します。そのため、アカウントの関連クォータが消費されます。
  • Global Intelligence ベースラインは、特定の顧客について、AWS CloudTrail で定義されているすべての Source Category のデータを集計して計算されます。そのため、意味のある比較を可能にするには、Sumo Logic アカウントの AWS CloudTrail に関連付けられているすべての Source Category をアプリケーションに指定する必要があります。[Custom Data Filters (カスタム データ フィルタ)] ページの手順に従って、アプリケーションにカスタム データ フィルタをセットアップし、AWS CloudTrail の複数の Source Category を指定します。 
  • このアプリケーションは、AWS CloudTrail イベントを定期的に更新するために、Scheduled Search を利用してインデックスに保存します。最初にアプリケーションをインストールすると、これらの検索は 24 時間かけて、24 時間の期間について意味のある比較をするために十分なデータを蓄積します。そのため、アプリケーションのインストール後は少なくとも 24 時間待ってからアプリケーション ダッシュボードのインサイトを使用することが重要です。 
  • アプリケーションを最初にインストールすると、Scheduled Search が実行されてインデックスが入力されるまで、ダッシュボードのパネルは空です。
  • このアプリケーションではフィルタはサポートされていません。
  • ダッシュボードの 24 時間の時間範囲を変更しないでください。これは、ベンチマーク データと比較が直近 24 時間の比較のみに基づいているためです。 
  • Scheduled Search のスケジュールと時間範囲を変更しないでください。
  • ダッシュボードの検索クエリのルックアップを変更しないでください。
  • [04 Action Plan (04 アクション プラン)] ダッシュボードの [Summary of Notable Events and Recommended Actions (重要なイベントと推奨アクションの概要)] パネルは、Scheduled Search の [Event Priority computation (イベントの重大度計算)] で必要なルックアップに入力されるまで機能しません。
  • infer operator は、ユーザが直接使用するためのものではありません。クエリを変更すると、予期しない/不正確な結果になります。
  • [Action Plan (アクション プラン)] ダッシュボードのウォッチリストにある CloudTrail イベントへのリンクを機能させるには、必ずダッシュボード フィルタ アイコンをクリックして [Sumo Logic Region Code (Sumo Logic リージョン コード)] を設定してください。
  • infer operator は、Sumo Logic Global Intelligence アプリケーション以外で使用するものではありません。

アプリケーションのインストール

[App Catalog (App カタログ)] でアプリケーションを特定してインストールします。インストール前にアプリケーションに含まれているダッシュボードのプレビューを見たい場合は、[Preview Dashboards (ダッシュボードのプレビュー)] をクリックします。

アプリケーションをインストールするには、次の手順を実行します。

  1. [App Catalog (App カタログ)] でアプリケーションを探して選択します 
  2. アプリケーションをインストールするには、[Add to Library (ライブラリに追加)] をクリックして、以下のフィールドに情報を入力します。
    1. App Name (アプリケーション名)。アプリケーションに既存の名前をそのまま使用することも、任意の名前を入力することもできます。

    2. Data Source (データ ソース)。データ ソースに対して、次のオプションのいずれかを選択します。

      • [Source Category] を選択し、リストから Source Category を選択します。

      • [Enter a Custom Data Filter (カスタム データ フィルタを入力)] を選択して、カスタム Source Category の先頭にアンダースコアを付けて入力します。例: (_sourceCategory=MyCategory)。

    3. Advanced (詳細)[Location in Library (ライブラリの場所)] (デフォルトはライブラリの [Personal (個人用)] フォルダ) を選択するか、[New Folder (新規フォルダ)] をクリックして新しいフォルダを作成します。
  3. [Add to Library (ライブラリに追加)] をクリックします。

アプリケーションをインストールすると、[Personal (個人用)] フォルダ (または他の指定フォルダ) に表示されます。そのフォルダから、アプリケーションを組織で共有できます。 

ダッシュボード

このセクションでは、Global Intelligence for AWS CloudTrail アプリケーションの各ダッシュボードについて説明し、例を示します。

GI CloudTrail - 01 Attack Surface Benchmark (GI CloudTrail - 01 攻撃対象領域ベンチマーク)

[GI CloudTrail - 01 Attack Surface Benchmark (GI CloudTrail - 01 攻撃対象領域ベンチマーク)] ダッシュボードは、より大きい漏洩リスクに相関付けられている、AWS インフラストラクチャのボリューム、多様性、速度に関するインサイトを提供します。使用中の個別 AWS サービス数によって多様性、個別 AWS リソース数によってボリューム、CloudTrail イベントによって速度が測定されます。ボリューム ディメンションでは、上記の 7 サービスからのリソースのみがカウントされるのに対し、多様性ディメンションには、AWS CloudTrail データで参照されるすべてのサービスが含まれます。これらのファクターは、顧客をピア グループにまとめるためにも使用されます。会社の設定変更と関連する漏洩リスクを比較するために、設定変更のベースラインはピア グループ別に設定されます。

このダッシュボードを使用して、以下の点に関して会社がピアとどのように比較されるかを把握します。

  • Variety (多様性): EC2、S3、KMS、IAM、Lambda、Redshift、RDS の中から使用している個別サービスの数
  • Volume (ボリューム): 各サービス内の一意の AWS リソースの数
  • Velocity (速度): 会社内のすべてのリソースにおけるイベントの作成、更新、または削除の数。 

GICT_Attack_Surface_Benchmark.png

GI CloudTrail - 02 Tactics and Techniques: My Company v. Peers (GI CloudTrail - 02 戦術と手法: 会社とピア)

[GI CloudTrail - 02 Tactics and Techniques: My Company v. Peers (GI CloudTrail - 02 戦術と手法: 会社とピア)] ダッシュボードは、ATT&CK を使用して、インフラストラクチャで発生した AWS CloudTrail イベントで示唆された戦術を整理し、ピア グループの他の AWS 顧客との比較を表示します。MITRE ATT&CK は、世界中からアクセス可能な、実世界の観察に基づいた攻撃戦術および手法のナレッジ ベースです。  

このダッシュボードでは以下の操作を行うことができます。

  • 自分の会社の攻撃戦術および手法がピアとどう違うかを理解する。 
  • 次の ATT&CK 手法別に整理された知見を分析する。 
    • 資格情報アクセス
    • 防衛回避
    • Discovery (探索)
    • 実行
    • 持ち出し
    • 初期アクセス
    • Lateral Movement (横移動)
    • Persistence (永続化)
    • 権限昇格

GICT_Tactics_and_Techniques.png 

GI CloudTrail - 03 Tactics by Resource Type: My Company v. Peers (GI CloudTrail - 03 リソース タイプ別戦術: 会社とピア)

[GI CloudTrail - 03 Tactics by Resource Type: My Company v. Peers (GI CloudTrail - 03 リソース タイプ別戦術: 会社とピア)] ダッシュボードは、AWS CloudTrail イベントで示唆された ATT&CK 戦術を使用して、影響を受けるリソースにマップします。会社の影響を受けるリソースをピアと比較するためのデータも提示します。

このダッシュボードでは以下の操作を行うことができます。

  • 自分の会社の戦術と手法とピアを比較して違いを把握する。 
  • 結果を次の AWS サービス別に整理して分析する。
    • Amazon EC2: 計算インスタンス数、セキュリティ グループ、ルート テーブル、Amazon マシン イメージ
    • Amazon S3: バケット数
    • Amazon RDS: データベース インスタンス数、DB セキュリティ グループ
    • Amazon Redshift: データベース クラスタ数、パラメータ グループ 
    • AWS Lambda: 関数名の数
    • AWS IAM: IAM ユーザ、ロール、グループの数
    • AWS CloudTrail: トレイル インスタンス数
    • S3 戦術

GICT_Tactics_by_Resource_Type.png

GI CloudTrail - 04 Action Plan (GI CloudTrail - 04 アクション プラン)

[GI CloudTrail - 04 Action Plan (GI CloudTrail - 04 アクション プラン)] ダッシュボードは、重要なイベントごとに影響を受けるリソースを特定します。このデータを使用して、環境に合った先行型アクション プランを作成できます。

このダッシュボードでは以下の操作を行うことができます。

  • Global Intelligence for AWS CloudTrail の知見からアクション プランを作成する。
  • アクション プランを実装し、進行状況を確認する。 

GICT_Action_Plan.png

  • この記事は役に立ちましたか?