概要

Logstorage Cybereason 連携パックは、Cybereasonからログを自動収集するモジュールと、Cybereasonのログを解析する条件定義ファイルを含む、Logstorageのオプション製品です。

パッケージ内容・収集モジュール
・ログフォーマット定義・タグ定義
・検索・集計・レポート・カラムセットに関するテンプレート

CybereasonとはCybereason は、国内EDR市場シェア No.1 (※1) の次世代エンドポイントセキュリティです。
クラウド上の検知サーバによって複数端末のデータの相関解析を行い、さらにAIエンジンによって振る舞いを分析することで、攻撃の全体像をリアルタイムに検知します。 攻撃の状況は即座にダッシュボードで可視化され、攻撃を受けている端末をネットワークから隔離するといった対処を複数端末に対し一斉に実行することができます。※1 出典:株式会社富士キメラ総研 2020年11月17日発行「2020 ネットワークセキュリティビジネス調査総覧(市場編)EDR2019年度実績」
詳細は https://www.cybereason.co.jp/をご覧下さい。

収集

Cybereason のログ

Logstorage Cybereason 連携パックは、下記 Cybereason のログ収集をサポートします。

収集対象ログ項目
MALOPの検出履歴
マルウェアの検出履歴
管理画面の操作履歴(監査ログ)

Cybereason 以外の収集対象のログ

Logstorageは、Cybereason 以外の収集対象のログ管理もサポートしています。
システム環境やログの特性に合わせ、複数の収集方式を組合わせることができます。

テキスト形式で出力されるログはすべて収集可能
別途、Syslogサーバ不要

収集先収集方法
ファイルレシーバクラウド専用コレクタで、ログを定期収集、ファイルレシーバに送信
Logstorage ELCで、ログを定期収集、ファイルレシーバに送信
ファイルレシーバが、ファイル共有されたログを定期受信
FTPレシーバLogstorage SBTで、ログをバッチ読み込み、FTPレシーバに送信
LLTPレシーバLogstorage Agentで、ログをリアルタイム収集、LLTPレシーバにリアルタイム送信
Syslog UDPレシーバSyslogレシーバが、Syslogプロトコルをリアルタイム受信
Syslog TCPレシーバ
Syslog TLSレシーバ
SNMPレシーバSNMPレシーバが、SNMPトラップをリアルタイム受信

Logstorage Agentは、集中管理ツールによって集中管理することができます。
GUI版:Logsource Controller
CUI版:Agent 集中管理ツール

ログの収集実績例はこちらからご確認いただけます。
収集実績一覧

保管

Logstorageは、収集したログを最大1/10に圧縮し、堅固なAESやBlowfish等の暗号化方式で、安全に保管することができます。

機能概要
ログ圧縮保管機能Logstorageは、収集したログを最大で10分の1に圧縮して保管します。
ログ保管に用いるストレージのコストを大幅にカットできます。
ログ暗号化機能Logstorageは、AESやBlowfishなどの暗号方式を用い、
収集したログを暗号化して保管する事が可能です。
ログの改ざん検出機能Logstorageは、収集したログデータに対するハッシュ値を管理しており、
これを用いる事でログが改ざんされている、或いは改ざんされていない事の証明が可能です。
ログのアーカイブ機能Logstorageは、一定期間を超えたログデータをアーカイブできます。
OSのスケジューラー等に登録することで自動的にアーカイブが可能です。
ログフォーマット定義機能ログフォーマット定義機能は、Logstorageで収集したログの項目に対して、
意味付け・タグ付けを行う機能です。
グループ・ユーザ管理機能グループ・ユーザ管理機能は、グループ・ユーザ単位に、利用できる機能や、
アクセスできるログについて権限設定ができる機能です。
マスタ連携機能マスタ連携機能は、ログ収集時に、ログとマスタ情報との紐づけを行うことで、
ログに含まれない情報を付加できる機能です。
ログフォーマット自動解析機能ログフォーマット自動解析機能は、レシーバがログを受信した段階で自動的にログフォーマットを解析し、
アプリケーション、アクション、メッセージパラメータとして自動登録する機能です。

分析

分析方法

Logstorageでは多様な分析方法を用意しています。分析イメージは各ページからご確認いただけます。

機能概要
検索全てのログを横断追跡
集計ログから全体の兆候を分析
検知異常な兆候をリアルタイムに検知・通知
レポートモニタリングを自動化
インサイトログの統計分析をダッシュボード上から確認可能
労務管理レポート出退勤に関する従業員の自己申告データとLogstorageに取り込んだログを突合確認
突合コマンドオプションコマンドを利用して外部データの情報をログに付与して転送可能

Cybereason のログ分析

Logstorage Cybereason 連携パックによって分析できる内容です。

レポートテンプレート
▼検索条件
MALOP[Cybereason 20.1]MALOPが検出されたマシンCybereason EDR で検出された MALOP の出現元のマシン情報を検索します。
[Cybereason 20.1]MALOP全ログCybereason EDR で検出された全ての MALOP の情報を検索します。
[Cybereason 20.1]初めて検出されたMALOPCybereason EDR で初めて検出された MALOP を検索します。
[Cybereason 20.1]更新されたMALOPCybereason EDR で検出された MALOP のうち、更新されたものを検索します。
マルウェア[Cybereason 20.1]マルウェア全ログCybereason NGAV で検出された全てのマルウェアの情報を検索します。
[Cybereason 20.1]新規マルウェアの検出Cybereason NGAV で初めて検出されたマルウェアを検索します。
[Cybereason 20.1]更新されたマルウェアの検出Cybereason NGAV で検出されたマルウェアのうち、更新されたものを検索します。
[Cybereason 20.1]検出ステータスのマルウェアCybereason NGAV で検出されたマルウェアのうち、検出ステータスのものを検索します。
[Cybereason 20.1]駆除したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除したものを検索します。
[Cybereason 20.1]駆除に失敗したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを検索します。
監査ログ[Cybereason 20.1]MALOP調査ファイルの取得Cybereason EDR の管理画面で MALOP 調査ファイルを取得した履歴を検索します。
[Cybereason 20.1]リモートシェルによるコマンド実行Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を検索します。
[Cybereason 20.1]リモートシェルの接続Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を検索します。
[Cybereason 20.1]監査ログ全てCybereason EDR の管理画面での全監査ログを検索します。
[Cybereason 20.1]管理画面へのログインCybereason EDR の管理画面へのログイン履歴を検索します。
▼集計条件
MALOP[Cybereason 20.1]MALOPが検出されたマシンCybereason EDR で検出された MALOP の出現元のマシン情報を集計します。
[Cybereason 20.1]MALOPの新規/更新検出数の推移Cybereason EDR で検出された MALOP の件数を新規/更新別に集計します。
[Cybereason 20.1]初めて検出されたMALOPCybereason EDR で初めて検出された MALOP を集計します。
[Cybereason 20.1]更新されたMALOPの実行元Cybereason EDR で検出された MALOP のうち、更新されたものの実行元を集計します。
[Cybereason 20.1]更新されたMALOPの種類Cybereason EDR で検出された MALOP のうち、更新されたものの種類を集計します。
マルウェア[Cybereason 20.1]新規マルウェアの検出推移Cybereason NGAV で初めて検出されたマルウェアを集計します。
[Cybereason 20.1]更新されたマルウェアの検出推移Cybereason NGAV で検出されたマルウェアのうち、更新されたものを集計します。
[Cybereason 20.1]検出したマルウェア_重大度別Cybereason NGAV で検出されたマルウェアを重大度別に集計します。
[Cybereason 20.1]駆除したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除したものを集計します。
[Cybereason 20.1]駆除に失敗したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを集計します。
監査ログ[Cybereason 20.1]ポリシー変更状況Cybereason EDR の管理画面でのポリシー変更状況を集計します。
[Cybereason 20.1]ユーザごとのログイン失敗件数Cybereason EDR の管理画面へのユーザごとのログイン失敗件数を集計します。
[Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数を集計します。
[Cybereason 20.1]リモートシェルによるコマンド実行Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を集計します。
[Cybereason 20.1]リモートシェルの接続Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を集計します。
▼レポート条件
MALOP[Cybereason 20.1]MALOPが検出されたマシンCybereason EDR で検出された MALOP の出現元のマシン情報をレポートします。
[Cybereason 20.1]MALOPの新規/更新検出数の推移Cybereason EDR で検出された MALOP の件数を新規/更新別にレポートします。
[Cybereason 20.1]初めて検出されたMALOPCybereason EDR で初めて検出された MALOP をレポートします。
[Cybereason 20.1]更新されたMALOPの実行元Cybereason EDR で検出された MALOP のうち、更新されたものの実行元をレポートします。
[Cybereason 20.1]更新されたMALOPの種類Cybereason EDR で検出された MALOP のうち、更新されたものの種類をレポートします。
マルウェア[Cybereason 20.1]新規マルウェアの検出推移Cybereason NGAV で初めて検出されたマルウェアをレポートします。
[Cybereason 20.1]更新されたマルウェアの検出推移Cybereason NGAV で検出されたマルウェアのうち、更新されたものをレポートします。
[Cybereason 20.1]検出したマルウェア_重大度別Cybereason NGAV で検出されたマルウェアを重大度別にレポートします。
[Cybereason 20.1]駆除したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除したものをレポートします。
[Cybereason 20.1]駆除に失敗したマルウェアCybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものをレポートします。
監査ログ[Cybereason 20.1]ポリシー変更状況監査ログCybereason EDR の管理画面でのポリシー変更状況をレポートします。
[Cybereason 20.1]ユーザごとのログイン失敗件数Cybereason EDR の管理画面へのユーザごとのログイン失敗件数をレポートします。
[Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数をレポートします。
[Cybereason 20.1]リモートシェルによるコマンド実行Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴をレポートします。
[Cybereason 20.1]リモートシェルの接続Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴をレポートします。

Cybereasonのログに関する分析例はこちらからご確認いただけます。
(画像クリックで拡大)

動作環境

下記表に記載されているアプリケーションのバージョンに対応します。

アプリケーション対応バージョン
Logstorage8.1.0 以上
Cybereasonv20.1

資料ダウンロード

    こちら資料のダウンロードには、フォーム入力をご利用ください。

    許可無く外部に個人情報を公開することはありません。弊社のプライバシーポリシーはこちらを御覧ください。確認画面は出ません。送信前にもう一度内容をお確かめください。

    TOP