ダッシュボード リンクの追加
tourl operator を使用すると、ダッシュボードの値を、自分が「表示」権限を持つ他のダッシュボードにリンクできます。また、テーブル エントリに基づいて、動的な値をこれらのダッシュボードや検索に渡すこともできます。
これらのクエリ内リンクは、問題を解決するために便利なドリルダウン機能を提供します。たとえば、Web サイトのユーザ アクティビティをダッシュボードで追跡するのであれば、各ユーザのサマリ統計 (ログイン回数など) を表示するパネルと詳細へのリンクを用意し、リンクをクリックすることで、特定の検索とダッシュボードの使用状況の統計情報を提供する検索や他のダッシュボードを開くように設定できます。
クエリ内リンクを並べて表示したダッシュボードの例を示します。
次の動画は、クエリ内リンクを選択することでデータの詳細にドリルダウンする様子を示しています。
ダッシュボードと他のダッシュボードのリンク
クエリ内リンクの利点を確認したので、このセクションでは、クエリ内リンクを使用して、ダッシュボードを他のダッシュボードにリンクする方法を説明します。
あるダッシュボードから別のダッシュボードへのリンクを作成するには、最初に、別のダッシュボードに配置するリンクを取得します。
- 別のダッシュボードにリンクしたいダッシュボードを開いて、共有
アイコンを選択します。 - [Shareable URL (共有可能な URL)] を選択します。フィルタ、時間範囲、およびアクセシビリティと共に共有するオプションのいずれにも切り替えることができます。
- [Copy (コピー)] を選択します。リンクがクリップボードにコピーされると、ボタンのテキストが「Copied (コピー済み)」に変わります。
-
リンクを表示させたいダッシュボードに移動して、[Show In Search (検索に表示)] アイコンをクリックし、目的のパネルのクエリを編集します。この作業で編集するクエリの例を次に示します。
_sourceCategory=mycategory keyword
| json "score", "orgId"
| avg(score) as avg_score by orgId -
toURL operator を使用する行をクエリの最後に追加します。次のクエリでは、ダッシュボード URL が Account Dashboard という名前に割り当てられ、org フィールドに追加されます。
_sourceCategory=mycategory keyword
| json "score", "orgId"
| avg(score) as avg_score by orgId
| tourl("https://service.sumologic.com/ui/dashboard.html?k=example", "Account Dashboard") as org
クエリからのフィルタのカスタマイズ
フィルタと共に設定したダッシュボードには、その URL を通じて、カスタム フィルタ値を提供できます。
ダッシュボード フィルタの形式は、filters=<filtername>*eq*<value> です。たとえば、_source フィールドにフィルタを適用する場合、そのフィルタの値が CrowdStrike であれば、フィルタは次の形式で追加されます。
&filters=_source*eq*CrowdStrike
ダッシュボード URL 全体とこのフィルタは、次のようになります。
https://service.sumologic.com/ui/dashboard.html?k=abcdefghi&f=&t=r&filters=_source*eq*CrowdStrike
フィルタ値をクエリ経由で適用するには、concat operator を使用して、カスタム値を URL 内のフィルタ値が配置される場所に連結します。前のセクションと同じクエリの例を使用して、ダッシュボード URL のフィルタ値として orgId フィールドの値を使用します。
_sourceCategory=mycategory keyword
| json "score", "orgId"
| avg(score) as avg_score by orgId
| tourl(concat("https://service.sumologic.com/ui/dashboard.html?k=abcdefghi&f=&t=r&filters=orgId*eq*", orgId), "Account Dashboard") as org
| fields orgid, avg_score, org
クエリを実行すると、orgId フィールドの値がフィルタ値の場所に連結 (この場合は追加) されます。たとえば、orgId の値が 999 であった場合、URL のフィルタ セクションは &filters=orgId*eq*999 になります。
ダッシュボードと検索のリンク
おそらくは、ダッシュボードとダッシュボードのリンクよりも、ダッシュボードと検索のリンクのほうが一般的でしょう。リンクされたダッシュボードは、実行可能な検索のリストとして使用でき、動的値をリンクとして提供することで、さらなる調査を行えるようにします。
-
concat と urlencode の両方の operator を使用して、検索を作成してリンクの動的値を含めます。
たとえば、ユーザのログイン アクティビティを返すクエリは次のようになります。
urlencode(concat(“_sourceCategory=login_events and ” , user)) as search_query -
URL を作成し、作成した検索クエリを URL 文字列のパラメータとして渡します。
| format ("https://{YourURL}/ui/#/search/@%d,%d@%s",querystarttime(),queryendtime(),search_query) as search_query_link
- toURL operator を使用して、適切な説明を付けたハイパーリンクを作成します。 例:
| tourl(search_query_link , "Click Here") as search_query_link
- ダッシュボードに検索を追加します。search_query_link フィールドは、ダッシュボードで自動的にハイパーリンクに変換されます。この例では、[Click Here (ここをクリック)] というダッシュボードが表示されます。
Amazon GuardDuty ダッシュボードの使用事例
GuardDuty が提供する脅威情報には、直面している脅威に関する多くのデータが含まれています。リンクされたダッシュボードを使用することで、特定の脅威にドリルダウンして詳細を確認できます。
たとえば、GuardDuty のデフォルトの [Amazon GuardDuty - Threat Details Benchmark (Amazon GuardDuty - 脅威詳細ベンチマーク)] ダッシュボードを修正して、threatName 列を threatDetails にリンクさせることができます。
threatDetails リンクをクリックすると、特定の threatType と threatPurpose に関連付けられた未処理の GuardDuty イベントが表示されます。これにより、脅威の影響を受けたリソースなど、特定の脅威の詳細を取得できます。
- Name
- ID
- IP アドレス
- リソースに適用されたセキュリティ権限
これらの情報により、セキュリティ インシデントをすばやく効果的に調査できます。 このリンクを作成するには、既存の GuardDuty パネル クエリに次のスニペットを追加します。 クエリの最後に追加してください。
| urlencode(concat("_sourceCategory={SumoGuardDutysourceCategoryName}
| json field=_raw \"id\", \"type\",\"severity\" ,\"title\",\"description\", \"accountId\", \"resource.resourceType\", \"region\" | toint(severity) as sev | parse field=type \"*:*/*\" as threatPurpose, targetResource, threatName | where threatName = \"", threatName ,"\" and threatPurpose=\"",threatPurpose ,"\"")) as query
|format("https://{yourSumoDashboardURL}/ui/index.html#section/search/@%d,%d@%s",queryStarttime(),queryendtime(),query) as url
| tourl(url, threatName) as threatName
| fields -query,url