メインコンテンツまでスキップ
Sumo Logic Japanese

AWS 用の Threat Intel アプリケーションのインストールとダッシュボードの表示

すべてのダッシュボードに、インタラティブ モードで使用できるフィルタが含まれているため、Threat Intel データをさらに分析できます。

Sumo Logic アプリケーションのインストール

これで収集のセットアップが完了したため、AWS 用の Threat Intel 用 Sumo Logic アプリケーションをインストールして、事前設定済みの検索やダッシュボードを使用できます。これらは、データに関するインサイトを提供します。 

アプリケーションをインストールするには、次の手順を実行します。

ダッシュボード

すべてのダッシュボードに、インタラティブ モードで使用できるフィルタが含まれているため、Threat Intel データをさらに分析できます。

Threat Intel - Overview (Threat Intel - 概要)

AWS CloudTrail、VPC フロー ログ、ELB システムの Threat Intel で識別された脅威の概要ビュー。


 

  • Welcome to Threat Intel for AWS (AWS 用の Threat Intel へようこそ)。Threat Intel の使用開始に役立つ情報パネルを表示します。このパネルを、テキストを読んで FAQ にアクセスしたら閉じることができます。

  • Scanned Events Over Time (経時的なスキャンされたイベント)。  脅威の検索中にスキャンされた過去 24 時間のイベントの数を Source タイプ別に分類して表示します。  

  • CloudTrail。過去 24 時間に CloudTrail ログで検出された脅威の数。このパネルをクリックして、Cloud Trail で識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS CloudTrail] ダッシュボードに移動します。

  • VPC。過去 24 時間に VPC フロー ログで検出された脅威の数。このパネルをクリックして、VPC フロー ログで識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS VPC] ダッシュボードに移動します。

  • ELB。過去 24 時間に ELB ログで検出された脅威の数。過去 24 時間に ELB で検出された脅威の数。このパネルをクリックして、VPC で識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS ELB] ダッシュボードに移動します。

  • Threats over Time - CloudTrail (経時的な脅威 - CloudTrail)。過去 24 時間 (1 時間のタイムスライス) の Cloud Trail に対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threats over Time - VPC (経時的な脅威 - VPC)。過去 24 時間 (1 時間のタイムスライス) の VPC フロー ログに対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threats over Time - ELB (経時的な脅威 - ELB)。過去 24 時間 (1 時間のタイムスライス) の ELB に対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threat Outlier - CloudTrail (脅威の外れ値 - CloudTrail)。Cloud Trail に対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

  • Threat Outlier - VPC (脅威の外れ値 - VPC)。VPC フロー ログに対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

  • Threat Outlier - ELB - Classic (脅威の外れ値 - ELB - Classic)。ELB に対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

Threat Intel - AWS CloudTrail

このダッシュボードを使用して、AWS CloudTrail の潜在的な脅威と IOC に関する詳細を確認します。

  • Threats by Geo Location (ジオ ロケーション別の脅威)。過去 24 時間に Crowdstrike によって識別された IP アドレス別の脅威 (悪意の確信度が high) のジオ ロケーションを表示します。

  • Threats Associated with CloudTrail Events (CloudTrail イベントに関連付けられている脅威)。過去 24 時間のイベント時間、Source ユーザ、Source IP アドレス、イベント名、AWS リージョン、結果、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数別の CloudTrail のイベント (悪意の確信度が high) をトラッキングします。

  • Threats by Events and I.P (イベントおよび IP 別の脅威)。過去 24 時間の Source IP アドレス別のイベント (悪意の確信度が high) を比較します。

  • Threats Over Time by Result (結果別の経時的な脅威)。過去 24 時間のアクセスが許可された脅威とアクセスが拒否された脅威 (悪意の確信度が high) を 1 時間のタイムスライスで比較します。

  • Threats By Actor (アクター別の脅威)。過去 24 時間のアクター別の脅威 (悪意の確信度が high) を比較します。

  • Threats by Events and Result (イベントおよび結果別の脅威)。脅威 (悪意の確信度が high) として識別されたイベントを比較し、過去 24 時間のアクセスが許可された結果とアクセスが拒否された結果の数を表示します。

Threat Intel - Amazon VPC Flow Logs (Threat Intel - Amazon VPC フロー ログ)

このダッシュボードを使用して、AWS VPC フロー ログの潜在的な脅威と IOC に関する詳細を確認します。

  • Geo Location of Threats with Rejected Flow Logs (REJECT フロー ログがある脅威のジオ ロケーション)。悪意の確信度が high、VPC フロー ログが REJECT として識別された過去 24 時間の脅威の Source IP アドレスのロケーションを表示します。

  • Geo Location of Threats with Rejected Flow Logs (ACCEPT フロー ログがある脅威のジオ ロケーション)。悪意の確信度が high、VPC フロー ログが ACCEPT として識別された過去 24 時間の脅威の Source IP アドレスのロケーションを表示します。

  • Threats Associated with Rejected Flow Logs (REJECT フロー ログに関連付けられている脅威)。REJECT フロー ログがある脅威 (悪意の確信度が high) の集計テーブルを表示し、インターフェイス ID、アカウント ID、Source、転送先、プロトコル、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数を比較します。

  • Threats Associated with Rejected Flow Logs (ACCEPT フロー ログに関連付けられている脅威)。ACCEPT フロー ログがある脅威 (悪意の確信度が high) の集計テーブルを表示し、インターフェイス ID、アカウント ID、Source、転送先、プロトコル、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数を比較します。

  • Top 10 Threat Sources by Action (アクション別の上位 10 件の脅威 Source)。過去 24 時間の Source IP アドレス、アクション、数別の上位 10 件の脅威 Source の横棒グラフを表示します。

  • Threat Breakdown (脅威の内訳)。過去 24 時間の数、アクター、アクション別の脅威の横棒グラフを表示します。

  • Threats Over Time by Action (アクション別の経時的な脅威)。過去 24 時間の受け入れられた脅威と拒否された脅威の傾向を表示します。

Threat Intel - AWS Elastic Load Balancing

このダッシュボードを使用して、Elastic Load Balancing の潜在的な脅威と IOC に関する詳細を確認します。

 

  • Threats by Geo Location (ジオ ロケーション別の脅威)。ジオ ロケーションで識別された Source IP アドレス別の最新の脅威を表示します。

  • Threats Associated with Client IP (クライアント IP に関連付けられている脅威)。クライアント IP 別の脅威 (悪意の確信度が high) の集計テーブルを表示します (ELB サーバ、ELB ステータス コード、完全なリクエスト、Source IP、Source ポート、バック エンド ホスト、転送先ポート、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新を含む)。

  • Client IP threats by ELB Server (ELB サーバ別のクライアント IP の脅威)。ELB サーバ別のクライアント IP の脅威 (悪意の確信度が high) を表示します。

  • Threats By Actor (アクター別の脅威)。過去 24 時間の脅威 (悪意の確信度が high) の合計数をアクター別に表示します。

  • Client IP Threats Over Time by ELB Server (ELB サーバ別の経時的なクライアント IP の脅威)。過去 24 時間のクライアント IP アドレス別の脅威 (悪意の確信度が high) の折れ線グラフを表示します。

  • Threats Associated with Hostname (ホスト名に関連付けられている脅威)。過去 24 時間のホスト名別の脅威 (悪意の確信度が high) の集計テーブルを表示します (ELB サーバ、ELB ステータス コード、完全なリクエスト、ホスト名、Source ポート、バック エンド ホスト、転送先ポート、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新を含む)。

  • Threats Associated with URL (Request) (URL に関連付けられている脅威 (リクエスト))。過去 24 時間の URL 別の脅威 (悪意の確信度が high) を表示します。

  • この記事は役に立ちましたか?