CrowdStrike Falcon プラットフォーム アプリケーションのインストールとダッシュボードの表示
Sumo Logic アプリケーションのインストール
コレクションの設定が完了したら、CrowdStrike Falcon プラットフォーム対応 Sumo Logic アプリケーションをインストールできます。このアプリケーションでは、CrowdStrike セキュリティ イベントをタイプ、ステータス、検出方法別に分析できます。このアプリケーションを使用すると、CrowdStrike コンソールにログインしなくても、CrowdStrike 固有のイベントを調査し、事前設定の検索とダッシュボードでチーム メンバーに表示する内容を指定できます。
アプリケーションをインストールするには、次の手順を実行します。
ダッシュボード
CrowdStrike - 概要
[CrowdStrike - Overview (CrowdStrike - 概要)] ダッシュボードをライブ モードで実行すると、CrowdStrike システムを視認することができます。
Events Outlier (イベント外れ値)。過去数時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間についてイベント件数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Authentication Services (認証サービス)。過去 1 時間について成功した認証/失敗した認証、オペレーションを必要とした認証タイプを縦棒グラフで表示します。
Detection Summary by Severity (重大度別の検出サマリ)。過去 1 時間について重大度レベル 1、2、3、4 の割合を円グラフで表示します。
Detection Summary by Type (タイプ別の検出サマリ)。過去 1 時間についてイベントの割合をタイプ別に円グラフで表示します。タイプの例は、AV、ネットワーク アクセスなどです。
Top 50 Severity with Falcon Links (上位 50 件の重大度と Falcon リンク)。過去 1 時間について上位 50 件のイベントについて、Falcon リンクと重大度を含めてテーブル グラフで表示します。詳細情報について CrowdStrike コンソールにドリルダウンするには、リンクをクリックします。
Severity Definition (重大度の定義)。このテキスト パネルには、CrowdStrike の重大度の定義が表示されます。
- 1—Informational (情報)。悪意によるものであるかは不明な興味深い行動または怪しい行動。
- 2—Low (低)。アドウェアのような、好ましくないと思われるアクティビティの存在。
- 3—Medium (中)。標的型であるかは不明な悪意のあるアクティビティ。
- 4—High (高)。広範囲に影響を及ぼすおそれがある標的型と思われる攻撃。
- 5—Critical (重大)。基幹アセットに重大な損害をもたらす危険性が高い標的型の攻撃。
Detection Type by Severity (重大度別の検出タイプ)。過去 1 時間についてイベントを重大度別に積み上げ縦棒グラフで表示します。
Severity by Detection Type (検出タイプ別の重大度)。過去 1 時間について重大度を検出タイプ別に積み上げ縦棒グラフで表示します。
CrowdStrike - AV Scan Result (AV スキャン結果)
[CrowdStrike - AV Scan Result (CrowdStrike - AV スキャン結果)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間についてイベント分布傾向を 5 分刻みの積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別にタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。イベント数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Engine by Severity (重大度別のエンジン)。過去 1 時間についてエンジンごとの重大度の詳細を積み上げ縦棒グラフで表示します。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間について各重大度に寄与したドメインを積み上げ縦棒グラフで表示します。
Engine by Severity (重大度別のエンジン)。過去 1 時間に検出されたイベント件数を各 AV エンジン別に縦棒グラフで表示します。エンジンごとの合計数が重大度別に内訳表示されます。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。過去 1 時間について重大なイベント件数が特に多いホストを縦棒グラフで表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。過去 1 時間についてイベントの重大度が特に高く、重大イベントの件数が特に多いユーザ名を縦棒グラフで表示します。重大度とユーザ名でソートされています。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。
CrowdStrike - Authentication Service (認証サービス)
[CrowdStrike - Authentication Service (CrowdStrike - 認証サービス)] ダッシュボードは、ライブ モードで CrowdStrike システムを視認するために設計されています。
Authentication Over Time (経時的な認証)。過去 3 時間について認証イベント分布傾向を 5 分刻みの縦棒グラフでタイムライン上に表示します。
Authentication Outlier (認証外れ値)。過去 3 時間について標準偏差の外れ値を、経時的な認証イベント分布別にタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Failed Authentications (認証の失敗)。過去 3 時間について認証の失敗について、日時、ユーザ名、ソース IP を含めたテーブル グラフで表示します。
Authentication Forecast (認証の予測)。過去 3 時間について認証イベント件数を時系列で表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
CrowdStrike - Detection Summary (検出サマリ)
[ CrowdStrike - Detection Summary (CrowdStrike - 検出サマリ)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間についてイベント分布傾向を積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間について経時的なイベント件数を表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間について各重大度へのドメインの寄与レベルを積み上げ縦棒グラフで表示します。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。過去 1 時間についてイベントの重大度が特に高く、重大イベントの件数が特に多いユーザ名を縦棒グラフで表示します。重大度とユーザ名でソートされています。
Top 50 Messages by Severity (重大度別上位 50 件のメッセージ)。特に件数が多い重大なイベントを、メッセージ詳細、重大度、件数を含めたテーブル グラフで表示します。メッセージ別の重大度でソートされています。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。過去 1 時間について重大なイベント件数が特に多いホストを縦棒グラフで表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。
CrowdStrike - DNS Request (DNS リクエスト)
[CrowdStrike DNS Request (CrowdStrike - DNS リクエスト)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間についてイベント分布傾向を積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間についてイベント件数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間について各重大度に寄与したドメインを積み上げ縦棒グラフで表示します。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。過去 1 時間について重大なイベント件数が特に多いホストを縦棒グラフで表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。過去 1 時間についてイベントの重大度が特に高く、重大イベントの件数が特に多いユーザ名を縦棒グラフで表示します。重大度とユーザ名でソートされています。
CrowdStrike - Document Access (ドキュメント アクセス)
[CrowdStrike - Document Access (CrowdStrike - ドキュメント アクセス)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間について経時的な重大度のイベント分布傾向を積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間についてイベント件数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間の各重大度に寄与したドメインを積み上げ縦棒グラフでタイムライン上に表示します。
Top 50 Documents Accessed by Severity (重大度別上位 50 件のアクセスされたドキュメント)。過去 1 時間について重大なイベント件数が特に多いアクセスされたドキュメントを縦棒グラフで表示します。アクセスされたドキュメント別の重大度でソートされています。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。特に重大イベント件数が多いホストを表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。過去 1 時間についてイベントの重大度が特に高く、重大イベントの件数が特に多いユーザ名を縦棒グラフで表示します。重大度とユーザ名でソートされています。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。
CrowdStrike - Executable Written (書き込み済み実行可能ファイル)
[CrowdStrike - Executable Written (CrowdStrike - 書き込み済み実行可能ファイル)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間について経時的な重大度のイベント分布傾向を積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間についてイベント件数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間について各重大度に寄与したドメインを積み上げ縦棒グラフで表示します。
Top 50 Written Files by Severity (重大度別上位 50 件の書き込み済みファイル)。過去 1 時間について重大なイベント件数が特に多い書き込み済みファイルを縦棒グラフで表示します。書き込み済みファイル別の重大度でソートされています。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。特に重大イベント件数が多いホストを表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。過去 1 時間についてイベントの重大度が特に高く、重大イベントの件数が特に多いユーザ名を縦棒グラフで表示します。重大度とユーザ名でソートされています。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。
CrowdStrike - Network Access (ネットワーク アクセス)
[CrowdStrike - Network Access (CrowdStrike - ネットワーク アクセス)] ダッシュボードには、CrowdStrike システムを視認するためにインタラクティブ モードで使用できるフィルタが含まれます。
Severity Over Time (経時的な重大度)。過去 1 時間について経時的な重大度のイベント分布傾向を積み上げ縦棒グラフでタイムライン上に表示します。
Events Outlier (イベント外れ値)。過去 1 時間について標準偏差の外れ値を、経時的なイベント分布別の外れ値グラフとしてタイムライン上に表示します。イベント数は、3 標準偏差範囲以内にします。
Events Forecast (イベント予測)。過去 1 時間についてイベント件数を経時的に表示し、今後 10 分間の予測を折れ線グラフでタイムライン上に表示します。イベントが予測よりも大きくなりがちな場合、イベントのオーバーフローを是正するアクションが必要です。
Host Domain by Severity (重大度別のホスト ドメイン)。過去 1 時間の各重大度に寄与したドメインを積み上げ縦棒グラフでタイムライン上に表示します。
Top 50 Destination IPs by Severity (重大度別上位 50 件の転送先 IP)。過去 1 時間について重大なイベント件数が特に多い転送先 IP を縦棒グラフで表示します。転送先 IP 別の重大度でソートされています。
Top 50 Hosts by Severity (重大度別上位 50 件のホスト)。過去 1 時間について重大なイベント件数が特に多いホストを縦棒グラフで表示します。重大度とホストでソートされています。イベントの重大度が高いほどリストの上位に表示されます。
Top 50 Usernames by Severity (重大度別上位 50 件のユーザ名)。特に重大度が高く、重大イベント件数が多いユーザ名を表示します。重大度とユーザ名でソートされています。
Top 50 Files by Severity (重大度別上位 50 件のファイル)。過去 1 時間について重大なイベント件数が特に多いファイルを縦棒グラフで表示します。ファイル名ごとの重大度でソートされています。