セキュリティ アナリティクス用 Sumo Logic アプリケーションには、セキュリティ オペレーションの概要、ネットワーク、システムと変更、ユーザの監視、エンドポイントの脆弱性など、システムのステータスを簡単に確認および管理できるダッシュボードが用意されています。このデータは、イベントをすばやく分析するためにコレクタとソースから収集され、Sumo Logic の異常検出がそのデータに適用されます。

詳細については、「セキュリティ アナリティクス用 Sumo Logic アプリケーション」を参照してください。 

セキュリティ インシデントの詳細の取得

セキュリティ アナリティクス アプリケーションでは、[Network Status (ネットワーク ステータス)] ダッシュボードの [Incident Count (インシデント数)] または [Incidents for Review (レビュー対象インシデント)] パネルにすべてのセキュリティ インシデントに関する情報が表示されます。これらのパネルから [Search (検索)] ページにドリルダウンし、[Messages (メッセージ)] タブでそれらのインシデントに関する詳細を確認することもできます。  

[Messages (メッセージ)] タブでインシデントの詳細を確認するには、次の手順を実行します。

  1. [Incidents for Review (レビュー対象インシデント)] パネルをクリックしてクエリを [Search (検索)] ページで開きます。
  2. [Messages (メッセージ)] タブをクリックします。
  3. インシデントの詳細は [Message(メッセージ)] フィールド内にあります。

セキュリティ ユース ケース

次の表に、セキュリティ ユース ケース、対象となるインシデント、および関連するデバイスとソースのリストを示します。

セキュリティ アナリティクス ユース ケース セキュリティ インシデント 関連するデバイスとソース
User Monitoring (ユーザの監視)
  • 同じユーザ名からのログイン失敗後の成功
  • 同じユーザ名での大量のログイン失敗
Windows 2008 サーバ、Active Directory、Linux、Google Apps、Novell Access Manager、RSA 
User Monitoring (ユーザの監視)
  • グループが作成された
  • グループが削除された
  • グループ メンバーシップが変更された
Windows、Active Directory、Google Apps 
User Monitoring (ユーザの監視)
  • ドメインまたはアプリケーションでユーザが作成された
  • ローカル サーバでユーザが作成された
  • ユーザが削除された
  • ユーザが変更された
Windows、Active Directory、Google Apps、Linux 
Systems and Changes (システムと変更)
  • 設定の変更
  • OS の更新
Windows、Active Directory、Linux
Network Overview (ネットワークの概要)
  • 過剰なファイアウォールの拒否/受け入れ
  • 既知のデータベース上の複数のターゲットをスキャンする単一のローカル ソース
  • FTP ポート
  • メール ポート
  • SSH および Web サービス ポート
Checkpoint 
Vulnerabilities on Endpoints (エンドポイントの脆弱性)
  • 複数の脆弱性が検出された
  • 複数のホストで同じ脆弱性が検出された
  • 脆弱性が見つかった
Qualys 
Vulnerabilities on Endpoints (エンドポイントの脆弱性)
  • 複数のホストで同じウイルスが検出された
  • ウイルスが見つかった
 Forefront

インシデント メッセージと検索

次の表に、インシデント メッセージと、それらのメッセージについて報告される事前設定されたセキュリティ アナリティクス アプリケーション検索を示します。

インシデント メッセージ値 インシデント検索
Brute Force Login (総当たり攻撃) [SA] - [Incident (インシデント)] - [Brute Force Login Attempt (総当たり攻撃試行)]
Excessive firewall denies (過剰なファイアウォールの拒否) [SA] - [Incident (インシデント)] - [Excessive Firewall Denies (過剰なファイアウォールの拒否)]
High number of malware IDS alerts (多数のマルウェア IDS アラート) [SA] - [Incident (インシデント]) - [High Number of Malware IDS Alerts (多数のマルウェア IDS アラート)]
Large number of denied connections (多数の拒否された接続) [SA] - [Incident (インシデント)] - [High Volume of Denied Connections (多数の拒否された接続)]
Increased failed remote logins (失敗したリモート ログインの増加) [SA] - [Incident (インシデント)] - [Increase in Failed Remote Login Attempts (失敗したログイン試行回数の増加)]
Multiple failed logins (複数回のログイン失敗) [SA] - [Incident (インシデント)] - [Multiple Failed Logins by a User in Last 15mins (過去 15 分間にユーザによる複数回のログイン失敗)]
Potential DDos attacks (潜在的な DDos 攻撃) [SA] - [Incident (インシデント)] - [Potential DDos Attack (潜在的な DDos 攻撃)]
Potential scan or attack through multiple attack vectors (複数の攻撃ベクトルによる潜在的なスキャンまたは攻撃) [SA] - [Incident (インシデント)] - [Potential Scan or Attack through Multiple Vectors (複数のベクトルによる潜在的なスキャンまたは攻撃)]
Potential web application scan or attack (潜在的な Web アプリケーションのスキャンまたは攻撃) [SA] - [Incident (インシデント)] - [Potential Web Application Attack (潜在的な Web アプリケーションの攻撃)]
Potential successful brute force login (潜在的な総当たり攻撃の成功) [SA] - [Incident (インシデント)] - [Successful Login after Multiple Failed Logins (複数のログイン失敗後のログインの成功)]
Suspicious SSL Traffic Hike from ... (疑わしい SSL トラフィックの増加 ...) [SA] - [Incident (インシデント)] - [Suspicious SSL Traffic (疑わしい SSL トラフィック)]