メインコンテンツまでスキップ
Sumo Logic Japanese

Cylance のログの収集

この手順では、ログを Cylance から Sumo Logic に収集する方法について説明します。Cylance は人工知能、アルゴリズム サイエンス、機械学習をサイバー セキュリティに適用し、Sumo Logic などの一元的なセキュリティ アナリティクス プラットフォームとの統合を通じてサービスを視覚化しています。Cylance をはじめとするデータ ソースからの脅威イベント データを組み合わせることで、セキュリティ リスクを低減し、セキュリティ体制を強化することができます。

Cylance 用 Sumo Logic アプリケーションにより、Cylance セキュリティ イベントをタイプ、ステータス、検出方法別に分析できます。このアプリケーションを使用して、Cylance 固有のイベントを調査し、Cylance にログインすることなく運用情報をチーム メンバーに表示することができます。

ログ タイプ

Sumo Logic は 2 つの Cylance ログ タイプをサポートしています。

  • 脅威イベント
  • 脅威分類

どちらのタイプも syslog 形式です。これらのログ タイプの形式および定義の詳細については、Cylance ドキュメントを参照してください。

コレクタの設定

ホスト型コレクタを設定します。

ソースの設定

  1. クラウド Syslog ソース (ベータ) を設定します。
  2. 以下のソース フィールドを設定します。
    1. Name (名前)。(必須) 名前は必須です。必要に応じて説明を入力します。 
    2. Source Category (ソース カテゴリ)。(必須) [このデータ タイプの現実的なソース カテゴリの例を提供します。][Source Category (ソース カテゴリ)] メタデータ フィールドは、ソースを整理してラベル付けするための基本的な構成要素です。例: prod/web/apache/access。詳細については、「ベスト プラクティス」を参照してください。
  3. [Advanced (詳細)] セクションを設定します。
    1. Enable Timestamp Parsing (タイムスタンプ パースの有効化)。true
    2. Time Zone (タイムゾーン)。デフォルトではログは UTC で記録されます。
    3. Timestamp Format (タイムスタンプ フォーマット)。自動検出。
  4. [Save (保存)] をクリックします。 

トークンを安全な場所にコピー & ペーストします。これは、Cylance Syslog 設定を行うときに必要です。

Cylance でのログの設定

ログを取り込むように Sumo Logic を設定する前に、Cylance でリモート ログ ストリーミングをセットアップする必要があります。手順については、次のドキュメントを参照してください。

  1. Cylance で、[Settings (設定)] > [Application (アプリケーション)] に移動します。
  2. [Integrations (統合)] セクションで、[Syslog/SIEM] チェック ボックスをアクティブ化します。  
  3. [Event Types (イベント タイプ)] で、すべてのイベントのチェックボックスをアクティブ化します。  
  4. SIEM。ターゲットとして [Sumo Logic] を選択します。 
  5. Protocol (プロトコル): [TCP] を選択します。
  6. [TLS/SSL] チェック ボックスをアクティブ化します。
  7. IP/ドメインを入力します。
  8. ポートを入力します。
  9. Severity (重大度)[Alert (1) (アラート (1))] を選択します。
  10. Facility (ファシリティ)[Internal (5) (内部 (5))] を選択します。
  11. Custom Token (カスタム トークン)。Sumo Logic クラウド Syslog ソースからトークンを入力します。トークンの末尾は @41123 である必要があります。この番号は、Sumo Logic Private Enterprise Number (PEN) です。
  12. [Save (保存)] をクリックします。

フィールド抽出ルール

次に、異なる手法を使用する 2 つの抽出ルールを紹介します。各ケースの名前は「Events」です。パース式は次のようになります。

パース

parse "Event Type: *, Event Name: *, Device Name: *, IP Address: (*, *),
File Name: *, Path: *, Drive Type: *, SHA256: *, MD5: *, Status: *,
Cylance Score: *, Found Date: *, File Type: *, Is Running: *,
Auto Run: *, Detected By: *" as event_type,event_name,device_name,src_ip,dest_ip,file_name,path,
drive_type,sha,md5,status,score,found,file_type,isRunning,autoRun,
detected

Keyvalue 正規表現

keyvalue regex ": ([^,;]*)" keys "Event Type", "Event Name","Device Name","Path","Interpreter","Interpreter Version","Threat Class",
"Threat Subclass","Agent Version","File Name","SHA256","MD5",
"MAC Addresses","Drive Type","OS","Status","Cylance Score","Found Date",
"File Type","Is Running","Auto Run","Detected By","Reason","Added To" as EventType,EventName,DeviceName,FilePath,Interpreter,InterpreterVer,
ThreatClass,ThreatSubclass,AgentVer,FileName,SHA256,MD5,src_mac,
DriveType,OS,Status,CylanceScore,DateFound,FileType,IsRunning,AutoRun,
Detection,Action_Reason,Action nodrop

ログ メッセージのサンプル

636 <41>1 2017-01-12T18:19:29.7781755Z sysloghost CylancePROTECT - - - Event Type: Threat, Event Name: corrupt_found, Device Name: Test, IP Address: (10.0.1.8), File Name: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}-1.0.2743.1_chrome_installer.exe, Path: C:\Windows\Temp\, Drive Type: None, SHA256: XXX, MD5: , Status: Corrupt, Cylance Score: 0, Found Date: 1/12/2017 6:19:30 PM, File Type: Executable, Is Running: False, Auto Run: False, Detected By: BackgroundThreatDetection, Zone Names: (Test)

クエリのサンプル

ローカル ユーザのログイン

| parse "), Logged On Users: (*), OS:" as local_user
| where !(local_user matches "AGDOMAIN\\*" OR local_user="" OR isNULL(local_user))
| timeslice 5m
| count _messageTime,hostname,src_ip,local_user
| count by _messageTime,local_user,hostname,src_ip
| formatDate(_messagetime)
| "Cylance has detected a local user authentication" as Message

経時的な一意の脅威の数

| parse "Event Type: *, Event Name: *, Device Name: *, IP Address: (*, *), File Name: *, Path: *, Drive Type: *, SHA256: *, MD5: *, Status: *, Cylance Score: *, Found Date: *, File Type: *, Is Running: *, Auto Run: *, Detected By: *" as event_type,event_name,device_name,src_ip,dest_ip,file_name,path,drive_type,sha,md5,status,score,found,file_type,isRunning,autoRun,detected
| where !(sha256="" or isNull(sha256))
| where event_name = "threat_quarantined"
| timeslice 1h
| count_distinct(sha) by _timeslice

  • この記事は役に立ちましたか?