セキュリティ アナリティクス用 Sumo Logic アプリケーションには、セキュリティ オペレーションの概要、ネットワーク、システムと変更、ユーザの監視、エンドポイントの脆弱性など、システムのステータスを簡単に確認および管理できるダッシュボードが用意されています。このデータは、イベントをすばやく分析するために Collector と Source から収集され、Sumo Logic の異常検出がそのデータに適用されます。
詳細については、「セキュリティ アナリティクス用 Sumo Logic アプリケーション」を参照してください。
セキュリティ インシデントの詳細の取得
セキュリティ アナリティクス アプリケーションでは、[Network Status (ネットワーク ステータス)] ダッシュボードの [Incident Count (インシデント数)] または [Incidents for Review (レビュー対象インシデント)] パネルにすべてのセキュリティ インシデントに関する情報が表示されます。これらのパネルから [Search (検索)] ページにドリルダウンし、[Messages (メッセージ)] タブでそれらのインシデントに関する詳細を確認することもできます。
[Messages (メッセージ)] タブでインシデントの詳細を確認するには、次の手順を実行します。
- [Incidents for Review (レビュー対象インシデント)] パネルをクリックしてクエリを [Search (検索)] ページで開きます。
- [Messages (メッセージ)] タブをクリックします。
- インシデントの詳細は [Message(メッセージ)] フィールド内にあります。
セキュリティ ユース ケース
次の表に、セキュリティ ユース ケース、対象となるインシデント、および関連するデバイスと Source のリストを示します。
セキュリティ アナリティクス ユース ケース | セキュリティ インシデント | 関連するデバイスと Source |
User Monitoring (ユーザの監視) |
|
Windows 2008 サーバ、Active Directory、Linux、Google Apps、Novell Access Manager、RSA |
User Monitoring (ユーザの監視) |
|
Windows、Active Directory、Google Apps |
User Monitoring (ユーザの監視) |
|
Windows、Active Directory、Google Apps、Linux |
Systems and Changes (システムと変更) |
|
Windows、Active Directory、Linux |
Network Overview (ネットワークの概要) |
|
Checkpoint |
Vulnerabilities on Endpoints (エンドポイントの脆弱性) |
|
Qualys |
Vulnerabilities on Endpoints (エンドポイントの脆弱性) |
|
Forefront |
インシデント メッセージと検索
次の表に、インシデント メッセージと、それらのメッセージについて報告される事前設定されたセキュリティ アナリティクス アプリケーション検索を示します。
インシデント メッセージ値 | インシデント検索 |
Brute Force Login (総当たり攻撃) | [SA] - [Incident (インシデント)] - [Brute Force Login Attempt (総当たり攻撃試行)] |
Excessive firewall denies (過剰なファイアウォールの拒否) | [SA] - [Incident (インシデント)] - [Excessive Firewall Denies (過剰なファイアウォールの拒否)] |
High number of malware IDS alerts (多数のマルウェア IDS アラート) | [SA] - [Incident (インシデント]) - [High Number of Malware IDS Alerts (多数のマルウェア IDS アラート)] |
Large number of denied connections (多数の拒否された接続) | [SA] - [Incident (インシデント)] - [High Volume of Denied Connections (多数の拒否された接続)] |
Increased failed remote logins (失敗したリモート ログインの増加) | [SA] - [Incident (インシデント)] - [Increase in Failed Remote Login Attempts (失敗したログイン試行回数の増加)] |
Multiple failed logins (複数回のログイン失敗) | [SA] - [Incident (インシデント)] - [Multiple Failed Logins by a User in Last 15mins (過去 15 分間にユーザによる複数回のログイン失敗)] |
Potential DDos attacks (潜在的な DDos 攻撃) | [SA] - [Incident (インシデント)] - [Potential DDos Attack (潜在的な DDos 攻撃)] |
Potential scan or attack through multiple attack vectors (複数の攻撃ベクトルによる潜在的なスキャンまたは攻撃) | [SA] - [Incident (インシデント)] - [Potential Scan or Attack through Multiple Vectors (複数のベクトルによる潜在的なスキャンまたは攻撃)] |
Potential web application scan or attack (潜在的な Web アプリケーションのスキャンまたは攻撃) | [SA] - [Incident (インシデント)] - [Potential Web Application Attack (潜在的な Web アプリケーションの攻撃)] |
Potential successful brute force login (潜在的な総当たり攻撃の成功) | [SA] - [Incident (インシデント)] - [Successful Login after Multiple Failed Logins (複数のログイン失敗後のログインの成功)] |
Suspicious SSL Traffic Hike from ... (疑わしい SSL トラフィックの増加 ...) | [SA] - [Incident (インシデント)] - [Suspicious SSL Traffic (疑わしい SSL トラフィック)] |