メインコンテンツまでスキップ
Sumo Logic Japanese

AWS 用の Threat Intel アプリケーションのインストールとダッシュボードの表示

すべてのダッシュボードに、インタラティブ モードで使用できるフィルタが含まれているため、Threat Intel データをさらに分析できます。

Sumo Logic アプリケーションのインストール

これで収集のセットアップが完了したため、AWS 用の Threat Intel 用 Sumo Logic アプリケーションをインストールして、事前設定済みの検索やダッシュボードを使用できます。これらは、データに関するインサイトを提供します。 

アプリケーションをインストールするには、次の手順を実行します。

Locate and install the app you need from the App Catalog. If you want to see a preview of the dashboards included with the app before installing, click Preview Dashboards.

  1. From the App Catalog, search for and select the app. 
  2. To install the app, click Add to Library and complete the following fields.
    1. App Name. You can retain the existing name, or enter a name of your choice for the app.

    2. Data Source. Select either of these options for the data source.

      • Choose Source Category, and select a source category from the list.

      • Choose Enter a Custom Data Filter, and enter a custom source category beginning with an underscore. Example: (_sourceCategory=MyCategory).

    3. Advanced. Select the Location in Library (the default is the Personal folder in the library), or click New Folder to add a new folder.
    4. Click Add to Library.

Once an app is installed, it will appear in your Personal folder, or other folder that you specified. From here, you can share it with your organization. See Welcome to the New Library for information on working with the library in the new UI.

Panels will start to fill automatically. It's important to note that each panel slowly fills with data matching the time range query and received since the panel was created. Results won't immediately be available, but with a bit of time, you'll see full graphs and maps. 

ダッシュボード

すべてのダッシュボードに、インタラティブ モードで使用できるフィルタが含まれているため、Threat Intel データをさらに分析できます。

Threat Intel - Overview (Threat Intel - 概要)

AWS CloudTrail、VPC フロー ログ、ELB システムの Threat Intel で識別された脅威の概要ビュー。


 

  • Welcome to Threat Intel for AWS (AWS 用の Threat Intel へようこそ)。Threat Intel の使用開始に役立つ情報パネルを表示します。このパネルを、テキストを読んで FAQ にアクセスしたら閉じることができます。

  • Scanned Events Over Time (経時的なスキャンされたイベント)。  脅威の検索中にスキャンされた過去 24 時間のイベントの数をソース タイプ別に分類して表示します。  

  • CloudTrail。過去 24 時間に CloudTrail ログで検出された脅威の数。このパネルをクリックして、Cloud Trail で識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS CloudTrail] ダッシュボードに移動します。

  • VPC。過去 24 時間に VPC フロー ログで検出された脅威の数。このパネルをクリックして、VPC フロー ログで識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS VPC] ダッシュボードに移動します。

  • ELB。過去 24 時間に ELB ログで検出された脅威の数。過去 24 時間に ELB で検出された脅威の数。このパネルをクリックして、VPC で識別された脅威にさらにドリルダウンすると、[Threat Intel - AWS ELB] ダッシュボードに移動します。

  • Threats over Time - CloudTrail (経時的な脅威 - CloudTrail)。過去 24 時間 (1 時間のタイムスライス) の Cloud Trail に対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threats over Time - VPC (経時的な脅威 - VPC)。過去 24 時間 (1 時間のタイムスライス) の VPC フロー ログに対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threats over Time - ELB (経時的な脅威 - ELB)。過去 24 時間 (1 時間のタイムスライス) の ELB に対する脅威の数。これにより、識別された脅威の経時的な傾向がわかります。

  • Threat Outlier - CloudTrail (脅威の外れ値 - CloudTrail)。Cloud Trail に対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

  • Threat Outlier - VPC (脅威の外れ値 - VPC)。VPC フロー ログに対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

  • Threat Outlier - ELB - Classic (脅威の外れ値 - ELB - Classic)。ELB に対する脅威 (悪意の確信度が high) の数が設定されたしきい値を外れるタイミングを表示します。

Threat Intel - AWS CloudTrail

このダッシュボードを使用して、AWS CloudTrail の潜在的な脅威と IOC に関する詳細を確認します。

  • Threats by Geo Location (ジオ ロケーション別の脅威)。過去 24 時間に Crowdstrike によって識別された IP アドレス別の脅威 (悪意の確信度が high) のジオ ロケーションを表示します。

  • Threats Associated with CloudTrail Events (CloudTrail イベントに関連付けられている脅威)。過去 24 時間のイベント時間、ソース ユーザ、ソース IP アドレス、イベント名、AWS リージョン、結果、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数別の CloudTrail のイベント (悪意の確信度が high) をトラッキングします。

  • Threats by Events and I.P (イベントおよび IP 別の脅威)。過去 24 時間のソース IP アドレス別のイベント (悪意の確信度が high) を比較します。

  • Threats Over Time by Result (結果別の経時的な脅威)。過去 24 時間のアクセスが許可された脅威とアクセスが拒否された脅威 (悪意の確信度が high) を 1 時間のタイムスライスで比較します。

  • Threats By Actor (アクター別の脅威)。過去 24 時間のアクター別の脅威 (悪意の確信度が high) を比較します。

  • Threats by Events and Result (イベントおよび結果別の脅威)。脅威 (悪意の確信度が high) として識別されたイベントを比較し、過去 24 時間のアクセスが許可された結果とアクセスが拒否された結果の数を表示します。

Threat Intel - Amazon VPC Flow Logs (Threat Intel - Amazon VPC フロー ログ)

このダッシュボードを使用して、AWS VPC フロー ログの潜在的な脅威と IOC に関する詳細を確認します。

  • Geo Location of Threats with Rejected Flow Logs (REJECT フロー ログがある脅威のジオ ロケーション)。悪意の確信度が high、VPC フロー ログが REJECT として識別された過去 24 時間の脅威のソース IP アドレスのロケーションを表示します。

  • Geo Location of Threats with Rejected Flow Logs (ACCEPT フロー ログがある脅威のジオ ロケーション)。悪意の確信度が high、VPC フロー ログが ACCEPT として識別された過去 24 時間の脅威のソース IP アドレスのロケーションを表示します。

  • Threats Associated with Rejected Flow Logs (REJECT フロー ログに関連付けられている脅威)。REJECT フロー ログがある脅威 (悪意の確信度が high) の集計テーブルを表示し、インターフェイス ID、アカウント ID、ソース、転送先、プロトコル、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数を比較します。

  • Threats Associated with Rejected Flow Logs (ACCEPT フロー ログに関連付けられている脅威)。ACCEPT フロー ログがある脅威 (悪意の確信度が high) の集計テーブルを表示し、インターフェイス ID、アカウント ID、ソース、転送先、プロトコル、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新、数を比較します。

  • Top 10 Threat Sources by Action (アクション別の上位 10 件の脅威ソース)。過去 24 時間のソース IP アドレス、アクション、数別の上位 10 件の脅威ソースの横棒グラフを表示します。

  • Threat Breakdown (脅威の内訳)。過去 24 時間の数、アクター、アクション別の脅威の横棒グラフを表示します。

  • Threats Over Time by Action (アクション別の経時的な脅威)。過去 24 時間の受け入れられた脅威と拒否された脅威の傾向を表示します。

Threat Intel - AWS Elastic Load Balancing

このダッシュボードを使用して、Elastic Load Balancing の潜在的な脅威と IOC に関する詳細を確認します。

 

  • Threats by Geo Location (ジオ ロケーション別の脅威)。ジオ ロケーションで識別されたソース IP アドレス別の最新の脅威を表示します。

  • Threats Associated with Client IP (クライアント IP に関連付けられている脅威)。クライアント IP 別の脅威 (悪意の確信度が high) の集計テーブルを表示します (ELB サーバ、ELB ステータス コード、完全なリクエスト、ソース IP、ソース ポート、バック エンド ホスト、転送先ポート、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新を含む)。

  • Client IP threats by ELB Server (ELB サーバ別のクライアント IP の脅威)。ELB サーバ別のクライアント IP の脅威 (悪意の確信度が high) を表示します。

  • Threats By Actor (アクター別の脅威)。過去 24 時間の脅威 (悪意の確信度が high) の合計数をアクター別に表示します。

  • Client IP Threats Over Time by ELB Server (ELB サーバ別の経時的なクライアント IP の脅威)。過去 24 時間のクライアント IP アドレス別の脅威 (悪意の確信度が high) の折れ線グラフを表示します。

  • Threats Associated with Hostname (ホスト名に関連付けられている脅威)。過去 24 時間のホスト名別の脅威 (悪意の確信度が high) の集計テーブルを表示します (ELB サーバ、ELB ステータス コード、完全なリクエスト、ホスト名、ソース ポート、バック エンド ホスト、転送先ポート、悪意の確信度、ラベル名、脅威のマルウェア ファミリ、脅威の最終更新を含む)。

  • Threats Associated with URL (Request) (URL に関連付けられている脅威 (リクエスト))。過去 24 時間の URL 別の脅威 (悪意の確信度が high) を表示します。

  • この記事は役に立ちましたか?