よくあるご質問

キーワードから探す

  • FAQ検索
  • ID検索

※スペースで区切って複数検索が可能です。

カテゴリで絞り込む

カテゴリから探す

ID:5402
作成日: 2019/11/01
SumoLogicのテンプレートログサーチについて
テンプレートで用意されているログサーチおよびログサーチを用いたメールアラート機能について案内します。

■ISGCのアクセスログから検索
ISGC accesslog
Search Account
7日間でアクセスしたユーザの最終日を検索できます。
Search Category
15分間でアクセスした回数を検索できます。
カテゴリ/フィルタリング結果/ドメイン/アクセス回数
Search URL
15分間でアクセスした回数を検索できます。
グループ/アカウント/フィルタリング結果/カテゴリ/URL/メソッド/アクセス回数

■ISGCのアクセスログからCrowd Strikeに照合し検索
Crowd Strike for ISGC
High Malicious Domain Threats
15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。
High Malicious IP Threats
15分間でアクセスした脅威レベルが"高"のIPアドレス情報を検索します。
High Malicious URL Threats
15分間でアクセスした脅威レベルが"高"のURL情報を検索します。

■メールアラート機能
収集したログの集計結果からのメールアラートはログサーチにスケジュールを登録することで実施できます。

例1)"Crowd Strike for ISGC"のログサーチ(High Malicious Domain Threats)でアラート設定する場合
1. 対象のログサーチ"High Malicious Domain Threats"を開きます。
2. "Save As"をクリックします。
3. "Schedule this search"を開きます。
※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
4. "Run Frequency"を指定します。
5. "Alert Type"を"Email"にします。
6. "Recipients"に送信先アドレスを入力します。
7. "Save"をクリックします。
8. 15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。

例2)セキュリティカテゴリでアラート設定する場合。
1. ログサーチの新規タブを開きます。
2. 検索クエリのテキストボックスに以下を挿入します。
//SOURCE_SETUP
対象ISGCログのソースカテゴリを指定してください。
| parse "*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*" as
date,time,scheme,source_ip,group_info,account,user_agent,action,destination_ip,status_code,
domain,connection_time,fwd_time,res_time,file_type,content_type,filtering_result,matching_category,
category_1,category_2,category_3,url,http_version,method,referer
対象のカテゴリを指定してください。
| where matching_category matches "セキュリティ*"
※大分類でセキュリティカテゴリを指定する場合は"セキュリティ*"、小分類でマルウェアカテゴリを指定する場合は"セキュリティ*マルウェア"となります。
3. "Save As"をクリックします。
4. "Schedule this search"を開きます。
※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
5. "Run Frequency"を指定します。
6. "Alert Type"を"Email"にします。
7. "Recipients"に送信先アドレスを入力します。
8. "Save"をクリックします。

対象バージョン
 
対象ビルド
 
一般情報
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
Page Top