Sumo Logicと脅威検出マーケットプレイスの統合
目次:
SOC Primeは、最も人気のあるSIEM、EDR、NSM、およびその他のセキュリティツール、クラウドネイティブソリューションを含め、Threat Detection Marketplaceにさらなる柔軟性を追加するためのサポートを常に拡張しています。これにより、セキュリティパフォーマーは最も好むツールを使用でき、別のバックエンド環境への移行の問題を解決します。
私たちは、新しく発表することを嬉しく思います 統合 Sumo LogicクラウドネイティブSIEMとの統合は、セキュリティの実務者がその場でSumo LogicまたはCloud Security Enterprise(CSE)インスタンスに掘り下げることを可能にする、強化された検索および展開機能を備えています。
Sumo Logicは、セキュリティ分析を強化し、リアルタイムモニタリングを通じてMTTIとMTTRを削減することを可能にするクラウドネイティブプラットフォームです。
Sumo Logicクラウドネイティブプラットフォームとの統合は、機械学習と脅威インテリジェンス能力を備えたリアルタイム分析プラットフォームを活用して、積極的なサイバー防御に向けたもう一歩の進展です。
Threat Detection Marketplaceは、現在、Sumo LogicおよびSumo Logic CSE向けに、最新のエクスプロイト、CVE、マルウェア、TTPを取り扱い、MITRE ATT&CK®技術の249のうち216をカバーする6,000以上のコンテンツ項目を提供しています: 最新のエクスプロイト、CVE、マルウェア、およびTTPを取り扱い、MITRE ATT&CK®技術の249のうち216をカバーしています:
- クエリ
- CSEクエリ
- CSEルール
Sumo Logic 統合の設定
Seこのクラウドネイティブソリューションに合わせた脅威検出コンテンツをアーチングまたは展開するには、適切なSumo Logicの設定が必要です。Sumo Logic統合を設定するには、 プラットフォーム統合設定 をユーザー設定メニューから選択します。
設定では、デプロイしたいSumo Logicコンテンツタイプに応じて、2つの異なる統合を設定できます: プラットフォーム統合設定 クエリの場合、Sumo Logic統合を設定する必要があります
- CSEクエリおよびルールの場合、Sumo Logic CSEとの統合を設定する必要があります
- Sumo Logic CSEの統合を設定するには、チェックボックスをオンにして必要な
Sumo Logic CSE構成を有効にする チェックボックスを選択し、必要な ポータルURL APIトークン and フィールドに入力し、その後 変更を保存 ボタンをクリックします。 構成が完了すると、成功通知が表示され、脅威検出体験を開始する準備が整います!
Sumo Logicコンテンツ、CSEルールおよびクエリをインスタンスにデプロイする
Sumo LogicクエリおよびCSEルール、クエリによってThreat Detection Marketplaceコンテンツをすべてフィルターリングし、
パネルを使用して、よりターゲットに合ったプラットフォーム固有のコンテンツを取得できます。 フィルター Sumo LogicまたはSumo Logic CSE SIEM形式に調整できる特定のルールを選択することで、SIEMインスタンスに直接コンテンツ展開の最大限の効率を得ることができます。
クエリの検索および展開
Threat Detection Marketplaceでは、SigmaクエリをSumo Logicインスタンスに検索または展開できます。
ルールページの クエリ タブを選択し、その後 Sumo Logicに検索/デプロイ ボタンをクリックします。
表示されるポップアップウィンドウで、検索または展開するクエリを確認し、必要に応じて変更を加えます。クエリに対して実行するアクションを対応するボタンをクリックして選択します:
- 私のSumo Logicで検索(24時間の期間をカバー)
- 私のSumo Logicにデプロイ
クエリの展開または検索が成功すると、展開または実行されたクエリでSumo Logicインスタンスに掘り下げることができる成功通知が表示されます。
成功した展開通知には、展開されたクエリを含むSumo Logicインスタンス内のディレクトリへのリンクも含まれます。
CSEルールおよびクエリの展開
Threat Detection Marketplaceとの強化されたSumo Logic統合により、Sumo Logic CSEインスタンスへのルールの自動展開が可能となります。CSEルールに対する自動ルール展開は、CSE API統合が有効化されていることで可能です。
スムーズなルール展開を試してみるには、 CSEルール タブを選択し、 Sumo Logic CSEにデプロイ 構成が完了すると、成功通知が表示され、脅威検出体験を開始する準備が整います!
をクリックします。
その後、Sumo Logic CSEインスタンスに直接移動し、デプロイされたコンテンツアイテムを表示および管理できます。 CSEクエリのデプロイは、そのタイプのコンテンツにはAPI設定がないため手動でのみ可能です。CSEクエリをデプロイするには、 CSEクエリ タブを選択し、 クリップボードにコピー
ボタンをクリックし、その後、新しいルール条件にそのコードをSumo Logic CSEインスタンスに直接貼り付けます。 Threat Detection Marketplaceにサインアップして、 70,000以上のルール、クエリ、プレイブック、その他の最新攻撃に対応し、あなたの環境に合わせたキュレーションされたコンテンツアイテムを活用してください。
