こんにちは。やるやると言ってなかなか実行しないumeです。
技術部ではSumo Logicの活用方法や動作仕様に関する記事を複数投稿しております。
今回もその1つとして「エンティティのタイムライン機能」についてご紹介いたします。
サイバーセキュリティの脅威が高度化する中で、企業のセキュリティ運用はより迅速かつ的確な対応が求められています。
Sumo LogicのCloud SIEM Enterprise(CSE)には、セキュリティ分析を強化するさまざまな機能が備わっています。
その中でも「Entity Timeline」は、特定のエンティティ(ユーザーやホスト、IPアドレスなど)に関連するセキュリティイベントを時系列で可視化し、脅威の特定や調査を容易にする強力なツールです。
本記事では、Sumo Logic CSEのEntity Timelineの特徴、メリット、そして具体的なユースケースについて詳しく解説します。
Entity Timelineの特徴
Entity Timelineは、Sumo Logic CSEの一機能として、特定のエンティティに関連するセキュリティイベントやアラートを時系列順に表示する機能です。主な特徴は以下のとおりです。
- 時系列での可視化
- ユーザー、ホスト、IPアドレスなどのエンティティに関連するイベントを、発生順に整理して表示
- インシデントの前後関係を直感的に把握可能
- 異常スコアリングとリスク評価
- Sumo Logic CSEの脅威検知エンジンと連携し、異常なアクティビティをスコアで表示
- リスクの高いエンティティを優先的に調査することが可能
- インタラクティブな調査機能
- ユーザーが特定の期間を選択し、特定のエンティティの詳細を掘り下げ可能
- イベントをフィルタリングして、より効率的な分析が可能
Entity Timelineのメリット
Entity Timelineを活用することで、セキュリティ運用において以下のようなメリットが得られます。
- 迅速なインシデント調査
- 1つの画面で関連するすべてのイベントを時系列で確認できるため、攻撃の流れや影響範囲を短時間で特定可能
- セキュリティオペレーションの効率化
- 分散されたログを統合的に分析することで、単発の異常値ではなく、一貫した脅威の兆候を把握可能
- SOCアナリストやセキュリティ担当者が、イベントの関連性を直感的に理解できるため、分析時間を短縮
- インシデントの根本原因の特定
- 過去のイベントとの関連性を確認することで、インシデントの起点や攻撃者の行動パターンを明確化
Entity Timelineのユースケース
Entity Timelineのユースケースとしては以下のようなものが考えられます。
- 内部脅威の検知
企業内で不審な動きをするユーザーを特定するために、Entity Timelineを活用できます。
- 例: ある従業員が通常アクセスしないシステムに突然ログインし、大量のデータをダウンロードしていた場合、関連するすべてのアクティビティを時系列で分析
- 高度な標的型攻撃の分析
APT(Advanced Persistent Threat)攻撃は、長期間にわたってステルス性を維持しながら企業ネットワークに潜むケースが多いです。
- 例: あるホストが特定のマルウェアに感染し、その後コマンド&コントロール(C2)通信を開始するなどの一連の動きを可視化。
- インシデント対応の迅速化
セキュリティチームがアラートを受信した際に、影響を受けたエンティティのすべてのイベントを時系列で確認し、迅速な判断が可能になります。
- 例: 侵害されたユーザーアカウントが異常な場所からログインした後、機密データへアクセスしていた場合、関連イベントを追跡。
- ゼロトラストセキュリティの強化
ゼロトラストモデルでは、すべてのアクティビティを継続的に監視し、信頼性を評価する必要があります。
- 例: 新しいIPアドレスからのアクセスや、新規デバイスによる接続が不審な場合、過去の関連イベントと突き合わせてリスク評価。
実際の画面でどのように見えるか
Sumo Logicにログインし、CSEの画面に移動します。
検知したInsightのEntityのユーザー名をクリックし、表示されたEntityの詳細画面で、「Timeline」のタブをクリックします。
すると、下記のような画面になります。
まずは UI の説明をします。
① こちらは、選択したユーザー名が表示されています。このユーザーがエンティティとなっているレコードが右側のタイムラインに表示されます。
② 「Record Type」で、このタイムラインに表示させるレコードにフィルターをかけることができます。どのスキーマ属性かを選択します。
③ 「Event Time」で、降順と昇順を切り替えられます。デフォルトは降順です。最新状況が上から表示されているため、すぐに状況がつかめます。
④ 「Last xx Days」は、対象とする期間の絞り込みに使用します。デフォルトは3日です。
それではライムラインの中身を見ていきます。
赤枠部分:
左から順に「レコードの作成時間」、「関連するレコードの総数」、「レコードの種類」、「関連する異常の項目」が表示されています。
青枠部分:
各レコードの下には、関連するインサイトとシグナルが表示されています。
①検知されたレコードの種類とサービス名が表示されています。赤い三角がインサイト、黄色い四角がシグナルを示しています。
②シグナルとして検知されたものとSeverityが表示されています。
③シグナルがインサイトに紐づいた場合、インサイトの情報が表示されます。
インサイトやシグナルのタイトルを選択すると、画面右に概要が表示され、その中のタイトルをクリックすると新しいタブでその詳細ビューが表示されます。
まとめ
Sumo Logic CSEのEntity Timelineは、エンティティに関連するセキュリティイベントを時系列で可視化し、インシデント調査を迅速化する強力なツールです。
時系列の可視化、異常スコアリング、インタラクティブな分析機能を活用することで、SOCチームやセキュリティ担当者は効率的に脅威を特定し、適切な対応を行うことができます。
サイバーセキュリティの脅威が日々進化する中で、Entity Timelineのような可視化ツールを活用し、より強固なセキュリティ体制を構築していきましょう。
