SIEM (セキュリティ情報イベント管理) におけるログデータ収集
Compliance Reporter (コンプライアンス報告者) のログデータが収集されると、構成済みの SIEM (セキュリティ情報イベント管理) ソフトウェアに送信されます。SIEM ソフトウェアを使用して、組織に関連するデータを検索し、レポートすることができます。Compliance Reporter (コンプライアンス報告者) で収集されたデータを使用して Splunk で検索を作成する方法の例を以下に示します。
(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort countこの検索例では、以下の検索フィールドを使用しています。
-
subject.terminal_id.ip_address— リモートで操作するコンピュータの IP アドレス。SSH セッションで実行されるすべてのアクションには、リモート IP アドレスがタグ付けされます。すべてのローカルアクションは、「0.0.0.0」という値になります。 -
host_info.host_nameまたはhost_uuid— どのホストで発生したかに基づいてイベントをフィルタリングし、ソートします。 -
exec_chain.thread_uuid— 単一のthread_uuidと互いに連結されたプロセス実行ツリーに従います。これは、実行されたスクリプトがコンピュータ上でどのようなアクションを行ったかを調べるために使用することができます。