概要
Logstorage Cybereason 連携パックは、Cybereason のログ収集から分析までをサポートする、Logstorageのオプション製品です。
CybereasonとはCybereason は、国内EDR市場シェア No.1 (※1) の次世代エンドポイントセキュリティです。
クラウド上の検知サーバによって複数端末のデータの相関解析を行い、さらにAIエンジンによって振る舞いを分析することで、攻撃の全体像をリアルタイムに検知します。 攻撃の状況は即座にダッシュボードで可視化され、攻撃を受けている端末をネットワークから隔離するといった対処を複数端末に対し一斉に実行することができます。※1 出典:株式会社富士キメラ総研 2020年11月17日発行「2020 ネットワークセキュリティビジネス調査総覧(市場編)EDR2019年度実績」
詳細は https://www.cybereason.co.jp/をご覧下さい。
収集
Logstorage Cybereason 連携パックは、下記 Cybereason のログを収集をします。
| 収集対象ログ項目 |
|---|
| MALOPの検出履歴/マルウェアの検出履歴/管理画面の操作履歴(監査ログ) |
分析
Logstorage Cybereason 連携パックによって分析できる内容です。
| 分析テンプレート一覧 | ||
|---|---|---|
| ▼検索条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報を検索します。 |
| [Cybereason 20.1]MALOP全ログ | Cybereason EDR で検出された全ての MALOP の情報を検索します。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP を検索します。 | |
| [Cybereason 20.1]更新されたMALOP | Cybereason EDR で検出された MALOP のうち、更新されたものを検索します。 | |
| マルウェア | [Cybereason 20.1]マルウェア全ログ | Cybereason NGAV で検出された全てのマルウェアの情報を検索します。 |
| [Cybereason 20.1]新規マルウェアの検出 | Cybereason NGAV で初めて検出されたマルウェアを検索します。 | |
| [Cybereason 20.1]更新されたマルウェアの検出 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものを検索します。 | |
| [Cybereason 20.1]検出ステータスのマルウェア | Cybereason NGAV で検出されたマルウェアのうち、検出ステータスのものを検索します。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものを検索します。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを検索します。 | |
| 監査ログ | [Cybereason 20.1]MALOP調査ファイルの取得 | Cybereason EDR の管理画面で MALOP 調査ファイルを取得した履歴を検索します。 |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を検索します。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を検索します。 | |
| [Cybereason 20.1]監査ログ全て | Cybereason EDR の管理画面での全監査ログを検索します。 | |
| [Cybereason 20.1]管理画面へのログイン | Cybereason EDR の管理画面へのログイン履歴を検索します。 | |
| ▼集計条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報を集計します。 |
| [Cybereason 20.1]MALOPの新規/更新検出数の推移 | Cybereason EDR で検出された MALOP の件数を新規/更新別に集計します。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP を集計します。 | |
| [Cybereason 20.1]更新されたMALOPの実行元 | Cybereason EDR で検出された MALOP のうち、更新されたものの実行元を集計します。 | |
| [Cybereason 20.1]更新されたMALOPの種類 | Cybereason EDR で検出された MALOP のうち、更新されたものの種類を集計します。 | |
| マルウェア | [Cybereason 20.1]新規マルウェアの検出推移 | Cybereason NGAV で初めて検出されたマルウェアを集計します。 |
| [Cybereason 20.1]更新されたマルウェアの検出推移 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものを集計します。 | |
| [Cybereason 20.1]検出したマルウェア_重大度別 | Cybereason NGAV で検出されたマルウェアを重大度別に集計します。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものを集計します。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものを集計します。 | |
| 監査ログ | [Cybereason 20.1]ポリシー変更状況 | Cybereason EDR の管理画面でのポリシー変更状況を集計します。 |
| [Cybereason 20.1]ユーザごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザごとのログイン失敗件数を集計します。 | |
| [Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数を集計します。 | |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴を集計します。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴を集計します。 | |
| ▼レポート条件 | ||
| MALOP | [Cybereason 20.1]MALOPが検出されたマシン | Cybereason EDR で検出された MALOP の出現元のマシン情報をレポートします。 |
| [Cybereason 20.1]MALOPの新規/更新検出数の推移 | Cybereason EDR で検出された MALOP の件数を新規/更新別にレポートします。 | |
| [Cybereason 20.1]初めて検出されたMALOP | Cybereason EDR で初めて検出された MALOP をレポートします。 | |
| [Cybereason 20.1]更新されたMALOPの実行元 | Cybereason EDR で検出された MALOP のうち、更新されたものの実行元をレポートします。 | |
| [Cybereason 20.1]更新されたMALOPの種類 | Cybereason EDR で検出された MALOP のうち、更新されたものの種類をレポートします。 | |
| マルウェア | [Cybereason 20.1]新規マルウェアの検出推移 | Cybereason NGAV で初めて検出されたマルウェアをレポートします。 |
| [Cybereason 20.1]更新されたマルウェアの検出推移 | Cybereason NGAV で検出されたマルウェアのうち、更新されたものをレポートします。 | |
| [Cybereason 20.1]検出したマルウェア_重大度別 | Cybereason NGAV で検出されたマルウェアを重大度別にレポートします。 | |
| [Cybereason 20.1]駆除したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除したものをレポートします。 | |
| [Cybereason 20.1]駆除に失敗したマルウェア | Cybereason NGAV で検出されたマルウェアのうち、駆除に失敗したものをレポートします。 | |
| 監査ログ | [Cybereason 20.1]ポリシー変更状況 | 監査ログCybereason EDR の管理画面でのポリシー変更状況をレポートします。 |
| [Cybereason 20.1]ユーザごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザごとのログイン失敗件数をレポートします。 | |
| [Cybereason 20.1]ユーザ/接続元IPアドレスごとのログイン失敗件数 | Cybereason EDR の管理画面へのユーザ/接続元IPアドレスごとのログイン失敗件数をレポートします。 | |
| [Cybereason 20.1]リモートシェルによるコマンド実行 | Cybereason EDR の管理画面に対し、リモートシェルでコマンド実行をした履歴をレポートします。 | |
| [Cybereason 20.1]リモートシェルの接続 | Cybereason EDR の管理画面に対し、リモートシェルで接続した履歴をレポートします。 | |
Cybereasonのログに関する分析例はこちらからご確認いただけます。
(画像クリックで拡大)
