こんにちは。なかなかスピードが出せないumeです。
技術部ではSumo Logicの活用方法や動作仕様に関する記事を複数投稿しております。
今回もその1つとして「エンティティのGraph View(グラフビュー)機能」についてご紹介いたします。
Sumo LogicのCloud SIEM Enterprise(CSE)は、セキュリティ運用を効率化し、脅威の検出と調査を迅速に行うための強力なプラットフォームです。その中でもGraph Viewは、関連するセキュリティイベントやエンティティ(IPアドレス、ホスト、ユーザーアカウントなど)を可視化し、攻撃の流れを直感的に理解できる機能です。本記事では、Graph Viewの特徴、メリット、そして具体的なユースケースについて解説します。
Graph Viewの特徴
Graph Viewは、アラートや検知された異常なアクティビティをグラフ形式で表示する機能です。主な特徴は以下の通りです。
1.関係性の可視化
- 検知された脅威に関連するエンティティ(IP、ホスト、ユーザーなど)の関係を視覚的に表示します。
- 異常なイベントがどのように繋がっているかを把握しやすくなります。
2.インタラクティブな操作
- ユーザーはノード(エンティティ)をクリックして詳細情報を確認したり、グラフを動かして関係性を探ることができます。
- 必要に応じてフィルタリングを行い、特定の期間やエンティティにフォーカスすることが可能です。
3.相関分析の強化
- CSEのルールエンジンによって、関連するイベントが自動的にクラスタ化され、攻撃の全体像を素早く把握できます。
- MITRE ATT&CKフレームワークとも連携し、攻撃者の戦術・技術との対応を確認できます。
4.過去データとの比較
- 既存の脅威インテリジェンスデータと照らし合わせ、同様の攻撃パターンが過去に発生しているかをチェックできます。
Graph Viewのメリット
Graph Viewを活用することで、SOC(セキュリティオペレーションセンター)やセキュリティアナリストは以下のようなメリットを享受できます。
1.調査時間の短縮
従来のテキストベースのログ分析と比べ、グラフ形式で表示されることで異常なパターンや関連イベントの関係性が一目で理解できます。その結果、脅威の特定と調査にかかる時間を大幅に短縮できます。
2.インシデント対応の迅速化
異常なユーザーの行動や感染したホストの広がりを即座に確認できるため、インシデント対応チームは迅速に適切なアクションを実行できます。例えば、攻撃がどこまで広がっているかを即座に特定し、適切な封じ込め戦略を立てることが可能になります。
3.セキュリティ運用の高度化
Graph Viewは、SOCチームが攻撃者の行動パターンを学習しやすくするため、将来的な脅威に対するプロアクティブな対策を強化できます。また、組織のセキュリティ意識を向上させるためのトレーニングツールとしても活用できます。
4.誤検知の削減
視覚的な相関分析を活用することで、False Positive(誤検知)を減らし、本当に対応すべきセキュリティインシデントにリソースを集中させることができます。
Graph Viewのユースケース
Graph Viewの活用方法は多岐にわたりますが、特に有効なユースケースをいくつか紹介します。
1.ランサムウェア攻撃の分析
企業のネットワーク内で異常なファイル暗号化活動が発生した場合、Graph Viewを利用することで、
- 攻撃がどのエンドポイントから始まったのか
- どのユーザーアカウントが関与しているのか
- どのホストやIPアドレスに拡散しているのか
を迅速に把握できます。
2.内部驚異の検出
内部関係者による不正なデータアクセスや持ち出しを調査する際、Graph Viewを使うことで、
- どのユーザーがどのデータに異常なアクセスを行ったのか
- どのシステム間でデータが移動しているのか
を直感的に確認し、対策を講じることが可能になります。
3.フィッシング攻撃の影響範囲の特定
企業のメールシステムがフィッシング攻撃を受けた場合、Graph Viewを使って、
- フィッシングメールがどの従業員に送信されたのか
- どのアカウントが侵害された可能性があるのか
- 侵害されたアカウントが次にどのような行動を取ったのか
実際の画面でどのように見えるか
Sumo Logicにログインし、CSEの画面に移動します。
検知したInsightのEntityタブをクリックし、表示された画面で、「Graph View」のタブをクリックします。すると、下記のような画面になります。まずは UI の説明をします。
② プライマリエンティティ。グラフ内の各ノードは単一のエンティティを表し、エンティティの種類と値(名前)を表すアイコンが表示されます。このインサイトのプライマリエンティティは、デフォルトで大きく中央に配置されます。
③ エンティティの関連性。リストビューと同様に、同じ信号上に表示されるエンティティ (関連するエンティティとも呼ばれます) は破線で接続されます。
④ 関連エンティティ。このインサイトに関連するエンティティには、左上端にインサイトアイコンが表示されます。
⑤ 選択したエンティティ。エンティティを選択すると、青色で強調表示され、右側にエンティティの詳細ペインが表示されます。
⑥ 展開コントロール。選択した期間内に、Cloud SIEM がインサイト以外の追加の関係性を検出した場合、エンティティに展開/縮小コントロールが表示されます。このコントロールをクリックすると、追加の関係性が表示され(または非表示になります)、その関係性が切り替わります。
⑦ コントロール。グラフビューにはいくつかのコントロールがあります。
・グラフの読み方を説明するキー
・ズームコントロール(マウスホイールも使用できます)
・画面サイズコントロール。中央ペイン ビューと完全なブラウザー ウィンドウ ビューを切り替えます。
・ビューを元のデフォルトにリセットするリセットコントロール。
・ヘルプへのリンク。
・グラフ内の特定のエンティティ タイプのみを表示できるフィルターコントロール。
・時間枠コントロール。インサイトの外部で関係を検索および表示するときに使用する時間枠を制御します。
さらに、グラフには次のものも表示される場合があります。
⑧ 検出されたエンティティ:関係性が検出されたエンティティは実線で結ばれます。検出された関係性とは、エンティティ間に関係性が検出された場合です(例えば、IPとホスト名がレコードに同時に表示されていても、表示されているインサイトには必ずしも含まれていない場合など)。
⑨ 脅威インジケーター:
脅威インジケーターを持つエンティティには、右上に追加のアイコンが表示されます。脅威インジケーターが「悪意のある」または「疑わしい」の場合、エンティティはそれに応じて赤または黄色で強調表示されます。
⑩ ホバー:
エンティティにマウスオーバーすると、そのエンティティとそれに関連するすべての接続が青色でハイライト表示されます。デフォルトで値が完全に表示されない場合は、値全体が表示されます。
まとめ
Sumo Logic CSEのGraph Viewは、セキュリティアナリストやSOCチームにとって強力な武器となる可視化ツールです。イベントの関係性を視覚的に理解し、迅速な調査と対応を可能にすることで、企業のセキュリティ運用を一段階上のレベルに引き上げます。特にランサムウェア攻撃の分析、内部脅威の検出、フィッシング攻撃の影響範囲の特定といったユースケースで高い効果を発揮するため、Sumo Logic CSEを活用する組織にとっては、必須の機能と言えるでしょう。
Graph Viewを活用し、より迅速かつ正確なセキュリティ運用を実現しましょう!
