AWS による Sumo Logic Cloud SIEM を使用したマルチクラウドおよびハイブリッド胎児保護

IT セキュリティ チームは、インフラストラクチャとアプリケーションで何が起こっているのかをリアルタイムで把握する必要があります。ない統計波の中でデータを検出して相関させる必要があります。

このプロセスを簡素化して自動化するために、長年多くの解決策が実装されてきました。

  • セキュリティ情報管理 (SIM) システムは、分析のためにログファイルなどのデータを中央リポジトリに収集します。
  • セキュリティイベント管理 (SEM) プラットフォームは、データ検査とログまたはイベントの解釈を簡素化します。

何年も前、これらの2つの暗号化はアプローチ、情報分析とイベントの解釈の両方に対処するために統合されました。チャレンジやエンドポイント ツールなどのドメイン固有のセキュリティ ツールによって生成された保護アラートのリアルタイム分析を提供します。

当社は、当社のパートナーによって拡張されたソリューションである Sumo Logic Cloud SIEM powered by AWS をご紹介します。このソリューションを使用すると、ビジネスやブランドに問題を与える悪意のあるアクティビティなど、優先度の高い問題を迅速に検出して対応できます。ことができます。

Sumo Logic Cloud SIEM は AWS Marketplace で利用可能で、無料トライアルでこのソリューションを評価できます。これが実際にどのように機能するか見る前に、それがどのように使用されているかを見てみましょうしょう。

お客様の導入事例 – メディデータ
Sumo Logic Cloud SIEM の使用方法をご紹介する メディデータ の VP 兼 CISO です。Medidata は Moderna および Johnson & Johnson の新型コロナウイルス (COVID-19) のワクチンの臨床試験のために患者データを処理しています。このことから、セキュリティの優先度が高い理由はおこのような重要なワークロードでは、企業はそれらの試験に参加している人々の信頼を維持する必要があります。

Scott 氏は、「『測定できないものは管理できない』古いという言い回しがあります」と述べています。現在、Medidata が Sumo Logic を利用し始めてから、5 年を超える期間が経過しています。しています。

「データを処理する環境に透明性がないことは、セキュリティの専門家にとって好ましくありません」コール、ネットワークフロー、および関連情報を単一の画面で表示できることが必要でした。たとえば、Medidata は、セキュリティスキャンやあらゆる種類の外部アクセスを非常に積極的にチェックしています。だけでなく、環境全体を見なければなりません。 Sumo Logic Cloud SIEM では、45 を超える AWS アカウントにあるリソースを含め、企業の環境で何も破壊することなく対応することを可能にします。

「セキュリティのスペシャリストの間で広まっているメトリクスの 1 区画、わずかな侵入に対しても 5 時間以内に対応できるということです」と Scott 氏は述べています。「Sumo Logic Cloud SIEM を使用しています。すると、その時間に間に合わせることは激しくなく、ほとんどの場合は5分以内に対応できます」 迅速に対応できることで、Medidataは患者の信頼を維持できます。臨床試験の遅れは人々の健康への影響をいう可能性があるため、これは患者にとって非常に重要です。

Medidata のセキュリティ対応は、グローバルチームが 3 メガレベルで管理します。レベル 1 の場合、単純な攻撃をブロック化する拡大を持つパートナーによって対応されます。米国、欧州、アジアに分散し、より複雑な攻撃に対処するフォレンジック調査を実施するメンバーおよび擁するハードコアチームです。

プライバシーは Medidata に非常に重要です。接続に関して、契約では、アプリケーションが相互に通信する方法をよりよく理解するために Sumo Logic を使用しています。 、必要なときに 2 か所のチーム間でセッティングに情報を共有する単一のプラットフォームとして Sumo Logic を使用するため、セットアップを複雑にすることはありません。

私は、新型コロナウイルス (COVID-19) の感染拡大を原因とする 2020 年のリモートワークへの移行によって Medidata が影響を受けているかどうかを Scott Sumner 氏に聞いてみました。感染拡大と戦うための臨床試験にすでに進んでいたため、それは提携にとって重要なトピックでした。準備が整っていて、でリモート作業することによって大きく影響を受けることはありませんでした。どうかわかりません」

ここからは、このソリューションが実際にどのように機能するかを見てみましょう。

Sumo Logic Cloud SIEM の設定
AWS Marketplace で「Sumo Logic Cloud SIEM」を検索し、製品ページを閲覧します。無料トライアル無料トライアルには、セキュリティと可観測性のための 1 GB のログの取り込みが含まれています。ありません。無料トライアルの後、AWS Marketplace から Sumo Logic Cloud SIEM を購入するか、無料ユーザーのままかを選択できます。契約を作成して承諾し、Sumo Logic アカウントを設定します。

セットアップで、使用する Sumo Logic デプロイを選択します。Sumo Logic のドキュメントには、各 Sumo Logic デプロイで使用される AWS リージョンについての説明を記載した表が含まれています。 AWS セキュリティ サービスと Sumo Logic Cloud SIEM との統合を設定するときに必要になります。

Sumo Logic アカウントの準備ができたら、AWS クイックスタートでの Sumo Logic セキュリティ統合を使用して、必要な統合を AWS アカウントにデプロイします。このクイックスタートで使用されるソースファイルは、この GitHub リポジトリにありますデプロイガイドを開き、それが整っています。

このアーキテクチャ図は、このクイックスタートによってデプロイされた環境を示しています。

アーキテクチャ図。

デプロイガイドの手順に従い、Sumo Logic アカウントにアクセスキーとアクセス ID を作成し、組織 ID を書き留めます。 その後、クイックスタートを起動して統合をデプロイします。

まず、自分が正しい AWS リージョンにいることを確認します。 私は Sumo Logic で US2 を使用しているので米国 (オレゴン) を西部その後、すべてのデフォルト値をそのままにして、[Next] (次へ) を選択します。 パラメータで、Sumo Logic のデプロイ リージョンとして US2 を選択し、Sumo Logic のアクセス ID、アクセスキー、組織 ID を入力します。

コンソールのスクリーンショット。

その後、AWS CloudTrail、Amazon GuardDuty、VPC Flow Logs、AWS Config などの AWS セキュリティ サービスおよびツールとの統合を有効にして設定します。

コンソールのスクリーンショット。

GuardDuty で委任した管理者がいる場合は、同じ AWS 組織に属している複数のメンバーアカウントを有効にできます。イベント プロセッサを介して Sumo Logic Cloud SIEM に提供されます。

次のステップでは、スタックオプションをデフォルト値のままにします。設定を確認し、このスタックに必要な追加機能(IAMゲートウェイの作成など)を確認して、[スタックを作成] を選択します。

スタックの作成が完了すると、Sumo Logic Cloud SIEM との統合は準備完了です。

Sumo Logic Cloud SIEM の使用
AWSセキュリティサービスとの統合がどのように機能し、セキュリティイベントがSIEMによってどのように処理されるかを確認するために、amazon-guardduty-tester オープンソーススクリプトを使用してセキュリティの検出結果を生成しますます。

まず、含まれている CloudFormation ソリューションを使用して、Amazon Virtual Private Cloud (VPC) プライベートで Amazon Elastic Compute Cloud (Amazon EC2) ダッシュボードを起動します。スタックが作成されたら、スタック出力から 2 つの仮想サーバーの IP アドレスを書き留めます。

コンソールのスクリーンショット。

その後、SSH を使用して、暗号化ホストを介してプライベート バンクの EC2 ゾーンに接続します。README ファイルには分かりやすい指示が記載されています。CloudFormation によってインスタンスにインストールされた guardduty_tester.sh スクリプトを使用して、AWS アカウントのセキュリティの検出結果を生成します。

$ ./guardduty_tester.sh

SSH スクリーンショット。

GuardDuty はこれらの検出結果を処理し、イベントは最近設定した統合を通じて Sumo Logic に送信されます。

コンソールのスクリーンショット。

利用可能地域と料金
AWS による Sumo Logic Cloud SIEM は、AWS Marketplace で利用可能なマルチテナントの Software as a Service (SaaS) で、パブリックインターネット上の HTTPS/TLS 1.2 経由でデータを取り込むことができます。任意の AWS リージョン、マルチクラウドおよびハイブリッド アーキテクチャからデータを接続して、セキュリティ イベントを一元的に表示できます。

Sumo Logic Cloud SIEM の無料トライアルを開始し、それがセキュリティ チームにどのように役立つかをご覧ください。

サービスの詳細については、Sumo Logic チームのブログ記事をお読みください。

ダニーロ