タイトル |
SumoLogicのテンプレートログサーチについて
No.5402 日付:2019-11-01 13:00:00
|
回答 |
テンプレートで用意されているログサーチおよびログサーチを用いたメールアラート機能について案内します。
■ISGCのアクセスログから検索
ISGC accesslog |
Search Account
|
7日間でアクセスしたユーザの最終日を検索できます。
|
Search Category
|
15分間でアクセスした回数を検索できます。 カテゴリ/フィルタリング結果/ドメイン/アクセス回数
|
Search URL
|
15分間でアクセスした回数を検索できます。 グループ/アカウント/フィルタリング結果/カテゴリ/URL/メソッド/アクセス回数
|
■ISGCのアクセスログからCrowd Strikeに照合し検索
Crowd Strike for ISGC |
High Malicious Domain Threats
|
15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。
|
High Malicious IP Threats
|
15分間でアクセスした脅威レベルが"高"のIPアドレス情報を検索します。
|
High Malicious URL Threats
|
15分間でアクセスした脅威レベルが"高"のURL情報を検索します。
|
■メールアラート機能
収集したログの集計結果からのメールアラートはログサーチにスケジュールを登録することで実施できます。
例1)"Crowd Strike for ISGC"のログサーチ(High Malicious Domain Threats)でアラート設定する場合
1. |
対象のログサーチ"High Malicious Domain Threats"を開きます。
|
2. |
"Save As"をクリックします。
|
3. |
"Schedule this search"を開きます。 ※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
|
4. |
"Run Frequency"を指定します。
|
5. |
"Alert Type"を"Email"にします。
|
6. |
"Recipients"に送信先アドレスを入力します。
|
7. |
"Save"をクリックします。
|
8. |
15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。
|
例2)セキュリティカテゴリでアラート設定する場合。
1. |
ログサーチの新規タブを開きます。
|
2. |
検索クエリのテキストボックスに以下を挿入します。
|
//SOURCE_SETUP 対象ISGCログのソースカテゴリを指定してください。 | parse "*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*" as
date,time,scheme,source_ip,group_info,account,user_agent,action,destination_ip,status_code,
domain,connection_time,fwd_time,res_time,file_type,content_type,filtering_result,matching_category,
category_1,category_2,category_3,url,http_version,method,referer
対象のカテゴリを指定してください。
| where matching_category matches "セキュリティ*" ※大分類でセキュリティカテゴリを指定する場合は"セキュリティ*"、小分類でマルウェアカテゴリを指定する場合は"セキュリティ*マルウェア"となります。
|
3. |
"Save As"をクリックします。
|
4. |
"Schedule this search"を開きます。 ※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
|
5. |
"Run Frequency"を指定します。
|
6. |
"Alert Type"を"Email"にします。
|
7. |
"Recipients"に送信先アドレスを入力します。
|
8. |
"Save"をクリックします。
|
|
対象製品 |
Sumo Logic |
一般情報
このFAQを閲覧したユーザーはこんなFAQも閲覧しています
|