CybereasonのMALOPログを確認する中で、以下のようなお悩みはありませんか。
・必要なログを探すのに時間がかかる
・ログを見ても、どこに何が書かれているのか分かりにくい
本記事では、CybereasonのMALOPログを効率よく確認する方法として、Logstorage(ログストレージ)をご紹介します。
CybereasonのMALOPログ
CybereasonのMALOPログには「攻撃の種別」「プロセスの実行記録」「疑わしいふるまい」「端末への影響範囲」など、さまざまな情報が記録されています。以下は「検知された攻撃の更新情報」に関する生ログ(サンプル)ですが、ご覧のとおり内容を読み解くのは容易ではありません。
xxxxx syslogLogger CEF:0|Cybereason|Cybereason||Malop|Malop Updated|10|cs1Label=malopId cs1=xxxxx cs2Label=malopDetectionType cs2=KNOWN_MALWARE cs3Label=malopActivityType cs3= cs4Label=malopSuspect cs4=Trojan.GenericKD.41479009 cs5Label=malopKeySuspicion cs5=Known malware detected by Cybereason Anti-Malware deviceCustomDate1Label=malopCreationTime deviceCustomDate1=Feb 08 20xx, 01:25:28 UTC deviceCustomDate2Label=malopUpdateTime deviceCustomDate2=Feb 08 20xx, 01:25:36 UTC cn1Label=affectedMachinesCount cn1=1 cn2Label=affectedUsers cn2=0 cs6Label=linkToMalop cs6=https://xxxxx.cybereason.net:443/#/malop/xxxxxこうしたログが数千〜数万件も出力される環境では、必要な情報を探し出し、内容を正確に把握するまでに膨大な時間と労力がかかります。この課題をLogstorageが解決します。
CybereasonのMALOPログを効率的に確認する
Logstorageにログを取り込んで検索すると、「タイムスタンプ・アクション・重要度」などが整理された状態で表示されます。これにより、「どの脅威が、どのくらいの重要度で検知されたか」などが一目で分かります。
ログの絞り込みも簡単です。たとえばアクションカラムにある「Malop Updated」というテキストをクリックすると、該当するログだけに絞り込めます。
また、ダッシュボードを活用することで、さまざまな観点からログを分析することも可能です。
他にも、Logstorageは日々のログ管理の負担を減らす機能を備えています。
✓ ログを自動で収集できるため、手動取得の手間を減らせる
✓ ログを最大1/10に圧縮して保管できるため、ストレージコストを削減できる
✓ ログから異常を検知してアラートで知らせるため、問題にすばやく気づける
✓ レポートを自動で作成・送付できるため、定期報告の負担を軽減できる
✓ ログを最大1/10に圧縮して保管できるため、ストレージコストを削減できる
✓ ログから異常を検知してアラートで知らせるため、問題にすばやく気づける
✓ レポートを自動で作成・送付できるため、定期報告の負担を軽減できる
Cybereasonのログ管理について課題をお持ちの場合は、以下ページをご確認ください。
