概要
Logstorage Cybereason 連携パックは、Cybereasonからログを自動収集するモジュールと、Cybereasonのログを解析する条件定義ファイルを含む、Logstorageのオプション製品です。
パッケージ内容・収集モジュール
・ログフォーマット定義・タグ定義
・検索・集計・レポート・カラムセットに関するテンプレート
CybereasonとはCybereason は、国内EDR市場シェア No.1 (※1) の次世代エンドポイントセキュリティです。
クラウド上の検知サーバによって複数端末のデータの相関解析を行い、さらにAIエンジンによって振る舞いを分析することで、攻撃の全体像をリアルタイムに検知します。 攻撃の状況は即座にダッシュボードで可視化され、攻撃を受けている端末をネットワークから隔離するといった対処を複数端末に対し一斉に実行することができます。※1 出典:株式会社富士キメラ総研 2020年11月17日発行「2020 ネットワークセキュリティビジネス調査総覧(市場編)EDR2019年度実績」
詳細は https://www.cybereason.co.jp/をご覧下さい。
収集
Cybereason のログ
Logstorage Cybereason 連携パックは、下記 Cybereason のログ収集をサポートします。
| 収集対象ログ項目 |
|---|
| MALOPの検出履歴 マルウェアの検出履歴 管理画面の操作履歴(監査ログ) |
Cybereason 以外の収集対象のログ
Logstorageは、Cybereason 以外の収集対象のログ管理もサポートしています。
システム環境やログの特性に合わせ、複数の収集方式を組合わせることができます。
テキスト形式で出力されるログはすべて収集可能
別途、Syslogサーバ不要
| 収集先 | 収集方法 |
|---|---|
| ファイルレシーバ | クラウド専用コレクタで、ログを定期収集、ファイルレシーバに送信 |
| Logstorage ELCで、ログを定期収集、ファイルレシーバに送信 | |
| ファイルレシーバが、ファイル共有されたログを定期受信 | |
| FTPレシーバ | Logstorage SBTで、ログをバッチ読み込み、FTPレシーバに送信 |
| LLTPレシーバ | Logstorage Agentで、ログをリアルタイム収集、LLTPレシーバにリアルタイム送信 |
| Syslog UDPレシーバ | Syslogレシーバが、Syslogプロトコルをリアルタイム受信 |
| Syslog TCPレシーバ | |
| Syslog TLSレシーバ | |
| SNMPレシーバ | SNMPレシーバが、SNMPトラップをリアルタイム受信 |
Logstorage Agentは、集中管理ツールによって集中管理することができます。
GUI版:Logsource Controller
CUI版:Agent 集中管理ツール
ログの収集実績例はこちらからご確認いただけます。
収集実績一覧
保管
Logstorageは、収集したログを最大1/10に圧縮し、堅固なAESやBlowfish等の暗号化方式で、安全に保管することができます。
| 機能 | 概要 |
|---|---|
| ログ圧縮保管機能 | Logstorageは、収集したログを最大で10分の1に圧縮して保管します。 ログ保管に用いるストレージのコストを大幅にカットできます。 |
| ログ暗号化機能 | Logstorageは、AESやBlowfishなどの暗号方式を用い、 収集したログを暗号化して保管する事が可能です。 |
| ログの改ざん検出機能 | Logstorageは、収集したログデータに対するハッシュ値を管理しており、 これを用いる事でログが改ざんされている、或いは改ざんされていない事の証明が可能です。 |
| ログのアーカイブ機能 | Logstorageは、一定期間を超えたログデータをアーカイブできます。 OSのスケジューラー等に登録することで自動的にアーカイブが可能です。 |
| ログフォーマット定義機能 | ログフォーマット定義機能は、Logstorageで収集したログの項目に対して、 意味付け・タグ付けを行う機能です。 |
| グループ・ユーザ管理機能 | グループ・ユーザ管理機能は、グループ・ユーザ単位に、利用できる機能や、 アクセスできるログについて権限設定ができる機能です。 |
| マスタ連携機能 | マスタ連携機能は、ログ収集時に、ログとマスタ情報との紐づけを行うことで、 ログに含まれない情報を付加できる機能です。 |
| ログフォーマット自動解析機能 | ログフォーマット自動解析機能は、レシーバがログを受信した段階で自動的にログフォーマットを解析し、 アプリケーション、アクション、メッセージパラメータとして自動登録する機能です。 |
分析
分析方法
Logstorageでは多様な分析方法を用意しています。分析イメージは各ページからご確認いただけます。
| 機能 | 概要 |
|---|---|
| 検索 | 全てのログを横断追跡 |
| 集計 | ログから全体の兆候を分析 |
| 検知 | 異常な兆候をリアルタイムに検知・通知 |
| レポート | モニタリングを自動化 |
| インサイト | ログの統計分析をダッシュボード上から確認可能 |
| 労務管理レポート | 出退勤に関する従業員の自己申告データとLogstorageに取り込んだログを突合確認 |
| 突合コマンドオプション | コマンドを利用して外部データの情報をログに付与して転送可能 |
Cybereason のログ分析
Logstorage Cybereason 連携パックによって分析できる内容です。
| レポートテンプレート | ||
|---|---|---|
| ▼検索条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報を検索します。 |
| [Cybereason 20.1]MALOP全ログ | Cybereason EDR で検出された全ての MALOP の情報を検索します。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP を検索します。 | |
| [Cybereason 20.1]更新されたMALOP | Cybereason EDR で検出された MALOP のうち、更新されたものを検索します。 | |
| マルウェア | [Cybereason 20.1]マルウェア全ログ | Cybereason NGAV で検出された全てのマルウェアの情報を検索します。 |
| [Cybereason 20.1]新規マルウェアの検出 | Cybereason NGAV で初めて検出されたマルウェアを検索します。 | |
| [Cybereason 20.1]更新されたマルウェアの検出 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものを検索します。 | |
| [Cybereason 20.1]検出ステータスのマルウェア | Cybereason NGAV で検出されたマルウェアのうち、検出ステータスのものを検索します。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものを検索します。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを検索します。 | |
| 監査ログ | [Cybereason 20.1]MALOP調査ファイルの取得 | Cybereason EDR の管理画面で MALOP 調査ファイルを取得した履歴を検索します。 |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を検索します。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を検索します。 | |
| [Cybereason 20.1]監査ログ全て | Cybereason EDR の管理画面での全監査ログを検索します。 | |
| [Cybereason 20.1]管理画面へのログイン | Cybereason EDR の管理画面へのログイン履歴を検索します。 | |
| ▼集計条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報を集計します。 |
| [Cybereason 20.1]MALOPの新規/更新検出数の推移 | Cybereason EDR で検出された MALOP の件数を新規/更新別に集計します。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP を集計します。 | |
| [Cybereason 20.1]更新されたMALOPの実行元 | Cybereason EDR で検出された MALOP のうち、更新されたものの実行元を集計します。 | |
| [Cybereason 20.1]更新されたMALOPの種類 | Cybereason EDR で検出された MALOP のうち、更新されたものの種類を集計します。 | |
| マルウェア | [Cybereason 20.1]新規マルウェアの検出推移 | Cybereason NGAV で初めて検出されたマルウェアを集計します。 |
| [Cybereason 20.1]更新されたマルウェアの検出推移 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものを集計します。 | |
| [Cybereason 20.1]検出したマルウェア_重大度別 | Cybereason NGAV で検出されたマルウェアを重大度別に集計します。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものを集計します。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを集計します。 | |
| 監査ログ | [Cybereason 20.1]ポリシー変更状況 | Cybereason EDR の管理画面でのポリシー変更状況を集計します。 |
| [Cybereason 20.1]ユーザごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザごとのログイン失敗件数を集計します。 | |
| [Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数を集計します。 | |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を集計します。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を集計します。 | |
| ▼レポート条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報をレポートします。 |
| [Cybereason 20.1]MALOPの新規/更新検出数の推移 | Cybereason EDR で検出された MALOP の件数を新規/更新別にレポートします。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP をレポートします。 | |
| [Cybereason 20.1]更新されたMALOPの実行元 | Cybereason EDR で検出された MALOP のうち、更新されたものの実行元をレポートします。 | |
| [Cybereason 20.1]更新されたMALOPの種類 | Cybereason EDR で検出された MALOP のうち、更新されたものの種類をレポートします。 | |
| マルウェア | [Cybereason 20.1]新規マルウェアの検出推移 | Cybereason NGAV で初めて検出されたマルウェアをレポートします。 |
| [Cybereason 20.1]更新されたマルウェアの検出推移 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものをレポートします。 | |
| [Cybereason 20.1]検出したマルウェア_重大度別 | Cybereason NGAV で検出されたマルウェアを重大度別にレポートします。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものをレポートします。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものをレポートします。 | |
| 監査ログ | [Cybereason 20.1]ポリシー変更状況 | 監査ログCybereason EDR の管理画面でのポリシー変更状況をレポートします。 |
| [Cybereason 20.1]ユーザごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザごとのログイン失敗件数をレポートします。 | |
| [Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数をレポートします。 | |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴をレポートします。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴をレポートします。 | |
Cybereasonのログに関する分析例はこちらからご確認いただけます。
(画像クリックで拡大)
動作環境
下記表に記載されているアプリケーションのバージョンに対応します。
| アプリケーション | 対応バージョン |
|---|---|
| Logstorage | 8.1.0 以上 |
| Cybereason | v20.1 |
