こんにちは、技術本部のtakaです。
先日、本ブログでFlexライセンスの概要や特有のメリットをご紹介させていただきました。
https://cloudsolution.terilogy.com/blog/sumologic-article-for-beginners-about-flex-license
その応用編として、Flexライセンスをご利用いただくうえでの節約方法や、関連する機能をSumo Logicの強みとしてご紹介します。
この記事で、Sumo Logicの運用イメージを掴んでいただけたら幸いです。
Sumo Logicの強み①:検索データ量は費用が掛かるといっても節約、上限を設定することは可能
Sumo Logic運用費用の大部分となる検索データ量を抑える工夫や上限設定機能をご紹介します。
これら機能や工夫を意識してご利用いただくことで、Sumo Logicを運用時に検索データ量が見積理想定時よりも大きくなり、費用が嵩んでしまうといったことを防ぐことができます。
・検索対象のデータ範囲を絞り、節約
前回記事で検索データ量を見積もる際に利用した「検索対象のデータ範囲✖Sumo Logicに保存したデータのスキャン回数」でも記載がある通り、因数の検索対象のデータ範囲をなるべく絞って検索いただくと節約することができます。
例えば、インシデント対応のために特定の日時で調査する必要がある場合、その1日全てのログを検索するのではなく、時間を絞ったうえで検索することで節約することができます。
・パーティションを設定し、節約
他にも、パーティション機能をお使いいただくことで、節約してクエリ検索を実施いただくことができます。
特にBOXのログとZoomのログなど複数のログソースをSumo Logicに取り込まれているようなお客様の場合、パーティションを新たに設定いただく、つまりよく使うログソースを別のパーティションに分けることをしていただくと大きく節約することができます。
これは複数のログソースをSumo Logicに取り込んでいる環境下で、パーティション機能がデフォルトのままである場合、すべてのログがsumologic_defaltというパーティションに入れられる関係上、すべてのクエリ検索がsumologic_defaltを通して行われてしまうためです。
以下の図の場合、パーティション設定前では20GBのZoomログのみ検索したい場合でも、最初に100GBのログがスキャンされてからZoomのログに絞り込まれるような動作となります。
一方、パーティション設定後では20GBのZoomログのみ検索したとき、20GBのZoomログがスキャンされる動作となり、節約することができます。
なお、図にはSource Categoryという見慣れない文字があるかと思いますが、こちらはSumo Logicにログが取り込まれる際に付与されるメタデータとなります。
・Scan Budget機能を設定し、上限を決める
Sumo Logicのプライシングモデルが検索データ量とストレージ量といった利用状況に応じた可変のものとなっている以上、いくら節約をしたとしても、元々契約していた検索データ量を超えて追加料金がかかってしまう場合もあるのではと考える必要はございません。
Sumo Logicで新規実装されたScan Budget機能によって、1クエリごとや時間ベース(日・週・月)ごとのスキャン上限設定を設定することができます。
Scan Budget機能は、以下のように設定を行えます。
| 設定 | 説明 |
|
Scan Budgetのタイプ |
|
| 対象 |
|
|
上限超過した際の動作 |
|
※このバックグラウンド検索とは、APIやSLOのほか、Scheduled Search・モニターといったユーザが能動的に手を動かすものではないクエリ検索を指しています。
詳細については、以下の記事にて紹介しておりますので、よろしければご確認ください。
Scan Budget機能が時間ベースでスキャン上限を掛けられるようになりました
Sumo Logicの強み②:Sumo Logicの活用による業務効率化
Monitor機能とAutomation機能、ダッシュボード機能でより業務効率化することができます。
特に、定期的な業務(ドメインが本当に使われているかの棚卸しや課金をしているサービスの利用実態調査など)を実施する際にご活用いただけると思います。
・Monitor機能を使ってSlack上にAlertを飛ばす
Monitor機能はクエリ検索結果の値に対して閾値を設定し、この閾値とクエリ検索結果の値が上回った時・下回った時・同じ値となった時にAlertを飛ばすことができる機能です。
Alertを飛ばす先についてはSumo LogicとSlackなど他サービスAPIと連携させ、APIに対しての操作をそのような順序で行うかを決めることができるAutomated Playbooks機能を利用して設定することができます。
例えば、Google Driveで社外にドキュメントを共有する操作をしたユーザに対してSlackから通知をしたい場合には、機能を以下のように使用します。
- Monitor機能:社外に共有する操作をしたユーザ名と共有されたドキュメント名を特定するクエリ文を作成
- Automated Playbooks機能:上記Monitor機能で特定したユーザに紐づいているSlack上のユーザIDを特定、ユーザIDに対してドキュメント名を含めた警告メッセージを送る
これによって、Sumo Logicにログインせずともインシデントが発生したかどうかを確認することができます。
・ダッシュボード機能
以下のスクリーンショットのように、App CatalogというSumo Logic公式でダッシュボードが提供されており、Sumo Logicに取り込んでいただいたログを簡単に可視化させることができます。
勿論、個々テナント内でダッシュボードの作成は可能であり、例えば、インシデント解決で有用だったログの一部フィールドを抜き出したものや値を集計したものをダッシュボードにするといったことも可能です。
また、Terilogyでは、Terilogy Blendという取り組みでサンプル・ダッシュボードを作成させていただいております。
以下のURLの中に導入されている製品がありましたら、是非ご一読ください。
【第1弾】Terilogy Blend for SKYSEA
【第2弾】Terilogy Blend for Cato Networks
【第3弾】Terilogy Blend for Infoblox
【第4弾】Terilogy Blend for LANSCOPE
【第5弾】Terilogy Blend for Notion
【第6弾】Terilogy Blend for FortiGate
Sumo Logicの強み③:Cloud SIEM Enterprise(CSE)サービス
https://www.ipa.go.jp/pressrelease/2024/press20250214.html
Sumo LogicのCSEサービスは、Flexライセンスとは別途の費用体系の考え方となるため、こちらには注意していただきたいのですが、Flexライセンスで浮いた費用の部分をCSEに投資いただくと、インシデントの特定・優先順位付けが自動的に行われることによりセキュリティ人材の不足やインシデント対応工数をカバーすることができます。
また、上記にある Sumologic基本機能(クエリ検索・ダッシュボード・Automationの作成)を使うことで、CSEにて特定したインシデントの詳細調査や再発防止については、Flexライセンスで費用を削減できます。
セキュリティ人材の不足やインシデント対応の問題についても、IPAの「2024年度中小企業等実態調査結果」で約7割の企業が組織的なセキュリティ体制が整備されていないことからも明らかとなっており、こちらを解決するのが、SumologicのCSEサービスです。
そんなCSEは、取り込んだ様々なログ(SASE、EDR、AD)をSumo Logicが提供する検知ルールを使ってアラートを検出、ログから抜き出したEntity(ユーザ名、IPアドレスなど)を利用した自動相関分析で、インシデントの特定・優先順位付けを行えます。
CSEで利用される検知ルールは、手動で追加されることは勿論のこと、Sumo Logic社が定期配信されるためここに工数を掛ける必要がありません。
また、脅威情報(Thread Intel)をSumo Logic外部から改めて購入する必要はなく、CrowdStrikeの脅威情報と連携可能となっています。
CSEについて、詳しくは以下の記事にて紹介しています。
ご興味がございましたら、ぜひご覧ください。
Sumo LogicのCloud SIEM機能について
最後に
今回、応用編として、Flexライセンスでの節約方法や関連機能を掘り下げてきました。
前回の記事ではFlexライセンスの概要や特有のメリットを詳しく紹介しています。
まだ前回の記事を読んでいない方はぜひ、併せてご覧ください。
https://cloudsolution.terilogy.com/blog/sumologic-article-for-beginners-about-flex-license
今回の記事で紹介した機能は勿論、それ以外でも、何かSumo logicについてご不明点等ございましたらお気軽に弊社へお問い合わせください。
最後までお付き合いいただきありがとうございました。
