アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
よく検索されるキーワード
FAQ
  
タイトル
SumoLogicのテンプレートログサーチについて
No.5402  日付:2019-11-01 13:00:00

回答 テンプレートで用意されているログサーチおよびログサーチを用いたメールアラート機能について案内します。

■ISGCのアクセスログから検索
ISGC accesslog
Search Account
7日間でアクセスしたユーザの最終日を検索できます。
Search Category
15分間でアクセスした回数を検索できます。
カテゴリ/フィルタリング結果/ドメイン/アクセス回数
Search URL
15分間でアクセスした回数を検索できます。
グループ/アカウント/フィルタリング結果/カテゴリ/URL/メソッド/アクセス回数

■ISGCのアクセスログからCrowd Strikeに照合し検索
Crowd Strike for ISGC
High Malicious Domain Threats
15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。
High Malicious IP Threats
15分間でアクセスした脅威レベルが"高"のIPアドレス情報を検索します。
High Malicious URL Threats
15分間でアクセスした脅威レベルが"高"のURL情報を検索します。

■メールアラート機能
収集したログの集計結果からのメールアラートはログサーチにスケジュールを登録することで実施できます。

例1)"Crowd Strike for ISGC"のログサーチ(High Malicious Domain Threats)でアラート設定する場合
1. 対象のログサーチ"High Malicious Domain Threats"を開きます。
2. "Save As"をクリックします。
3. "Schedule this search"を開きます。
※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
4. "Run Frequency"を指定します。
5. "Alert Type"を"Email"にします。
6. "Recipients"に送信先アドレスを入力します。
7. "Save"をクリックします。
8. 15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。

例2)セキュリティカテゴリでアラート設定する場合。
1. ログサーチの新規タブを開きます。
2. 検索クエリのテキストボックスに以下を挿入します。
//SOURCE_SETUP
対象ISGCログのソースカテゴリを指定してください。
| parse "*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*" as
date,time,scheme,source_ip,group_info,account,user_agent,action,destination_ip,status_code,
domain,connection_time,fwd_time,res_time,file_type,content_type,filtering_result,matching_category,
category_1,category_2,category_3,url,http_version,method,referer
対象のカテゴリを指定してください。
| where matching_category matches "セキュリティ*"
※大分類でセキュリティカテゴリを指定する場合は"セキュリティ*"、小分類でマルウェアカテゴリを指定する場合は"セキュリティ*マルウェア"となります。
3. "Save As"をクリックします。
4. "Schedule this search"を開きます。
※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
5. "Run Frequency"を指定します。
6. "Alert Type"を"Email"にします。
7. "Recipients"に送信先アドレスを入力します。
8. "Save"をクリックします。

対象製品 Sumo Logic
対象バージョン   対象ビルド  
一般情報
アンケートにご協力ください