« SAP on AWSにおけるOracle Databaseの本稼働サポート開始 | メイン | [OpsJAWS: やってみようシリーズ] Auto Scaling × Zabbix連携によるEC2インスタンス監視自動化の実現 »

[OpsJAWS: やってみようシリーズ] SumologicとTrend Micro Deep Securityの連携 Part2

こんにちは、Partner SA 酒徳です。前回はDeep Securityとsumologicのインテグレーションに関して、多田様にご紹介させて頂きました。今回も引き続き、Deep Securityのログのパース設定と可視化について多田様にご紹介頂きます。

1

設定(構築)する内容

オージス総研の多田友昭と申します。主にクラウド環境のコンサルやインフラ提案、構築等を行っています。 5回目となる今回は、前回4回目から引き続きDeep Securityとの連携に関してです。

前回は "1.Deep Security システムイベントログのsumologicへの取り込みと可視化" についてご説明させて頂きましたので、本日はStep2,3に関してご紹介させて頂きます。

  1. Deep Security システムイベントログのsumologicへの取り込みと可視化 (前回のテーマ)
  2. FER(Field Extraction Rules)を使った検索高速化 (今回のテーマ)
  3. ダッシュボードの作成方法 (今回のテーマ)

前回までの設定内容に関しましてはこちらをご参照下さい。

では早速、FER(Field Extraction Rule)の設定からはじめましょう。FERは、ログの取り込み時にログをパースします。そのため、検索時はパースの必要がなく高速に検索することができます。FERの詳細は、こちらのURLを参照してください。

1. [Manage]→[Field Extractions]をクリックします。

1

2. [+Add]をクリックします。

2

3. FERを設定します。[Rule Name]は、任意の名前を入力します。[Scope]は、システムイベントログの範囲となるので、_sourceCategoryの値を設定します。[Parse Expression]は、トレンドマイクロさまから提供されていますので、その値を設定します。入力後、[Add]をクリックします。

提供されるFERの値は、トレンドマイクロさまの手順の中にリンクがありますので、こちらを参照してください。

Rule Name

DS_SystemEvents(任意)

Scope

_sourceCategory=DS/SystemEvetns

Parse Expression

parse "CEF:0|*|*|*|*|*|*|*" as Device_Vendor,Device_Product,Device_Version,Signature_ID, Name, Severity, Extension | where signature_id >= 100 AND signature_id <= 7499 | "System Events" as deepsecuritysource | parse regex field=extension "src=(?<Source_IP_Address>.+?)\s\w+?=" nodrop | parse regex field=extension "suser=(?<Source_User>.+?)\s\w+?=" nodrop | parse regex field=extension "target=(?<Target_Entity>.+?)\s\w+?=" nodrop | parse regex field=extension "targetID=(?<Target_Entity_ID>.+?)\s\w+?=" nodrop | parse regex field=extension "targetType=(?<Target_Entity_Type>.+?)\s\w+?=" nodrop | parse regex field=extension "msg=(?<Details>.+?)\s\w+?=" nodrop | parse regex field=extension "TrendMicroDsTags=(?<Event_Tags>.+?)\s\w+?=" nodrop | parse regex field=extension "TrendMicroDsTenant=(?<Tenant_Name>.+?)\s\w+?=" nodrop | parse regex field=extension "TrendMicroDsTenantId=(?<Tenant_ID>.+?)\s\w+?=" nodrop

3

4. FERの設定が完了します。

4

5. Search画面にアクセスし、FERが設定されているか検索を実行し、確認してみます。

6. ここでは、どのようなシステムイベントが発生しているか、システムイベント名とその回数を検索してみます。ログのパースは、FERにより取り込み時に完了しているので、次の様に、_sourceCategoryとnameを指定することで検索することができます。nameがシステムイベント名に相当する部分で、FERの[Parse Expression]の設定の1行目で、parseしています。その他、parseしている値であれば、検索クエリの中で指定することができます。検索時間は、[Last 24 Hours]にしておきます。

_sourceCategory=DS/SystemEvents

| count name

| sort by _count

  5

7. 次に、検索結果をチャートにしてみます。色々なチャートがありますが、パイチャートにしてみます。検索結果の右にあるアイコンをクリックします。

6

8. パイチャートが表示されます。

7

9. 次に、このチャートをダッシュボードに追加してみます。ダッシュボードに追加することで、よく使う検索クエリをチャートで常時確認することができます。

10. パイチャートの右にある[Add to Dashboard]をクリックします。

8

11. [Title]と[Dashboard]を設定します。[Title]は、”System Events Top”としておきます。[Dashboard]は新規に作成するので、”Trend Micro Deep Security”としておきましょう。最後に、[Add]をクリックします。

9

12. ダッシュボードが表示されます。このようにチャートを作成し、ダッシュボードに追加すれば、自分用のダッシュボードを作成することができるので、色々なチャートを作成し、ダッシュボードに追加してみてください。

10

13. また、作成したダッシュボードは、[Library]→[Personal]からもアクセスできます。

  11

 まとめ

いかがだったでしょうか。2回にわたりsumologicとDeep Securityの連携ついてご説明させて頂きました。

  • トレンドマイクロさまからDeep Securityのシステムイベントログをsumologicに取り込む手順が公開されたので試してみました。
  • システムイベントログの取り込みから検索、可視化、ダッシュボードまでを実施してみました。自身で色々なチャートを作成し、ダッシュボードに追加してみてください。
  • また、システムイベントログの取り込み時に、FER(Field Extraction Rule)を設定し、検索クエリの簡略化、高速化を実現しました。

ライセンス体系とコスト

オージス総研にてsumologicのライセンス費用と運用をセットにしてサービス提供しています。

  • 初期費用:\100,000
  • 月額費用:\98,000~(1GB/30日保管)
  • 質問や詳細なご要望はお気軽にお問合せください。

お問い合わせ先 

株式会社オージス総研

  • URL: http://www.ogis-ri.co.jp/
  • E-mail: AWS-QA@ogis-ri.co.jp
  • TEL: 03-6712-1201(東京)、052-209-9390(名古屋)、06-6871-8054(大阪)

****

OpsJAWS メインページはこちら

クラウド運用にご興味ある方は、こちらからOpsJAWSに登録ください。

コメント

Featured Event

2017年9 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30