O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

sumox (すもっくす) のご紹介 - Infoblox × SumoLogic

どすこいどすこい!SumologicでDNSログを寄り切るでゴワス!
株式会社テリロジー C&S技術統括部が開発したサービスであるsumoxについて説明いたします。sumoxとはDNS/DHCPアプライアンスであるInfobloxのログを収集・保管・解析するサービスです。出力されたログをSumologic(クラウド型SIEM)へ転送し、解析結果をダッシュボード上で表示することによりログ調査の効率化に貢献いたします。また当サービスはCrowdStrikeとの連携機能を備えています。例えばCrowdStrikeのフィード情報で検知されるような悪意のあるDNSクエリを送信しているIPがあった場合、送信元の端末を特定することができます。

Audiolivros relacionados

Gratuito durante 30 dias do Scribd

Ver tudo
  • Seja o primeiro a comentar

sumox (すもっくす) のご紹介 - Infoblox × SumoLogic

  1. 1. 2019年11月18日 株式会社テリロジー コンサルティング&ソリューション技術統括部 sumox のご紹介
  2. 2. アジェンダ sumoxとは 導入メリット ダッシュボード 2
  3. 3. sumox(すもっくす)とは 3 Infobloxのログを管理、調査・分析 を実現するサービス 『Infobloxのログ分析を”簡単”にインシデント対応も”柔軟”に』 ×
  4. 4. こんなお客様に... Infobloxのログ管理・分析をしたいが未実施 セキュリティ、インシデント対処の体制構築が急務 システムのクラウド化が会社方針となっている 4
  5. 5. サービス提供イメージ 5 API DHCP/DNS サーバ HTTPS SCPで送信 HTTPSで取得 アップロード LogTanker (中間サーバ) DNS Query Lease History gzファ イル csv csv log log Collector gzファ イル Resource Data Memory、Disk、CPU、Swap etc... SNMP Pollingよる取得 標準でフィード情報を 利用可能 クラウドSIEM
  6. 6. 導入メリット 6 メトリクスデータの表示 メトリクスで「何が」 ログで「なぜ」を特定 CrowdStrikeとの連携 危険なドメインへの 問い合せを行った IPアドレス特定 アラート出力 リスク低減、 問題の原因を早期発見 可視化→詳細解析 ダッシュボードから ログの閲覧が容易 端末の特定 どの端末がどこへ 問い合わせを行ったか ログの長期保管 見たいときに過去のログ を見ることができる
  7. 7. ログの保存期間は3カ月~柔軟に対応可能 (※1年、2年など) 閲覧したい時間帯のログを絞り込んでログを検索することが可能 ログの長期保管 見たいときに過去のログ を見ることができる ログの長期保管 7 閲覧したい時間を指定
  8. 8. 異常値を発見した時に早期に解析開始 可視化→詳細解析 ダッシュボードから ログの閲覧が容易 可視化→詳細解析 8 クリック ダッシュボード Messageログ ダッシュボードのグラフをクリック → その時間帯のMessageログを閲覧可能
  9. 9. アラート出力 リスク低減、 問題の原因を早期発見リアルタイムでの出力でインシデントを早期発見 メール、スクリプトアクション、Webhook(Slack等)、ServiceNowからの アラート発報が設定可能 アラート出力 9
  10. 10. ログとメトリクスの統合ダッシュボードを提供 メトリクス:収集したデータに計算や分析を加え分かりやすいデータに変換 ログ :利用状況やデータ通信の履歴や情報の記録 メトリクスデータの表示 10 メトリクスデータの表示 メトリクスで「何が」 ログで「なぜ」を特定
  11. 11. CrowdStrikeとの連携 危険なドメイン、 問い合せを行った IPアドレス特定 SumoLogicでフィードの無償利用可能 CrowdStrikeとの連携 11 CrowdStrikeのフィード情報より 検知したドメイン、検知した回数 検知したドメインへ 問い合せを行ったIPアドレス、回数 どのIPアドレスがどの検知したドメインへ 問い合せを行ったのか
  12. 12. 端末の特定 どの端末がどこへ 問い合わせを行ったか DNS Query、Lease Historyの組み合わせ可能 危険なドメインに問い合わせたIPアドレス、MACアドレス、Host名まで特定可能 端末の特定 12 DNS Query Lease History
  13. 13. ダッシュボード(Resource Data) 13
  14. 14. Resource Data ダッシュボード詳細① 14 Memory Usage, SWAP Usage, CPU Usage, Disk Usage メトリクス、値でのダッシュボード閲覧可能 閾値を指定してアラート出力可能
  15. 15. Resource Data ダッシュボード詳細② 15 CPU Temp, System Temp メトリクス、値でのダッシュボード閲覧可能 閾値を指定してアラート出力可能
  16. 16. Resource Data ダッシュボード詳細③ 16 FAN Speed メトリクスでのダッシュボード閲覧可能 閾値を指定してアラート出力可能
  17. 17. ダッシュボード(DHCP) 17
  18. 18. DHCP ダッシュボード詳細① 18 フィルター機能により MACアドレス、HOST名での絞り込み検索可能
  19. 19. DHCP ダッシュボード詳細② 19 Lease Count 閾値を指定してアラート出力可能
  20. 20. DHCP ダッシュボード詳細③ 20 検索指定時間に払い出したLease履歴 端末に払い出された時間、IPアドレスの特定が可能
  21. 21. DHCP ダッシュボード詳細④ 21 検索指定時間に払い出しをおこなった端末のTop10 頻繁にIPアドレスを更新している端末の特定
  22. 22. DHCP ダッシュボード詳細⑤ 22 払い出し端末のOSの種類 想定していないOSのアドレス取得を検知
  23. 23. ダッシュボード(DNS) 23
  24. 24. DNS ダッシュボード詳細① 24 Query Count 閾値を指定してアラート出力可能
  25. 25. DNS ダッシュボード詳細② 25 検索指定時間に問い合せを行ったドメインTop10 どのドメインに多く問い合せを行っているか確認
  26. 26. DNS ダッシュボード詳細③ 26 検索指定時間に問い合せを行ったIPアドレスTop10 どのIPアドレスが多く問い合せを行っているか確認
  27. 27. DNS ダッシュボード詳細④ 27 問い合せを行ったドメインの中から CrowdStrikeのフィード情報より検知した数
  28. 28. DNS ダッシュボード詳細⑤ 28 CrowdStrikeのフィード情報に検知したドメインの 脅威の経時的な傾向
  29. 29. DNS ダッシュボード詳細⑥ 29 CrowdStrikeのフィード情報に検知したドメイン 問い合せを行ったIPアドレス
  30. 30. 株式会社テリロジー 東京都千代田区九段北1-13-5 ヒューリック九段ビル4F TEL: 03-3237-3291 FAX: 03-3237-3293 MAIL: architect@trilogy.com テリロジー半公式ブログ https://terilogy-tech.hatenablog.com/ SlideShare https://www.slideshare.net/Terilogy-CnSTech テリロジー C&S技術統括部 Youtubeチャンネル https://www.youtube.com/channel/UCHI4UOFaR88kargstLGnZbA

    Seja o primeiro a comentar

  • Terilogy-CnSTech

    Nov. 20, 2019

どすこいどすこい!SumologicでDNSログを寄り切るでゴワス! 株式会社テリロジー C&S技術統括部が開発したサービスであるsumoxについて説明いたします。sumoxとはDNS/DHCPアプライアンスであるInfobloxのログを収集・保管・解析するサービスです。出力されたログをSumologic(クラウド型SIEM)へ転送し、解析結果をダッシュボード上で表示することによりログ調査の効率化に貢献いたします。また当サービスはCrowdStrikeとの連携機能を備えています。例えばCrowdStrikeのフィード情報で検知されるような悪意のあるDNSクエリを送信しているIPがあった場合、送信元の端末を特定することができます。

Vistos

Vistos totais

536

No Slideshare

0

De incorporações

0

Número de incorporações

204

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

1

×