SIEM (セキュリティ情報イベント管理) におけるログデータ収集

Compliance Reporter のログデータが収集されると、構成済みの SIEM (セキュリティ情報イベント管理) ソフトウェアに送信されます。SIEM ソフトウェアを使用して、組織に関連するデータを検索し、レポートすることができます。Compliance Reporter で収集されたデータを使用して Splunk で検索を作成する方法の例を以下に示します。

(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0 
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count

この検索例では、以下の検索フィールドを使用しています。

subject.terminal_id.ip_address — リモートで操作するコンピュータの IP アドレス。SSH セッションで実行されるすべてのアクションには、リモート IP アドレスがタグ付けされます。すべてのローカルアクションは、「0.0.0.0」という値になります。
host_info.host_name または host_uuid — どのホストで発生したかに基づいてイベントをフィルタリングし、ソートします。
exec_chain.thread_uuid — 単一の thread_uuid と互いに連結されたプロセス実行ツリーに従います。これは、実行されたスクリプトがコンピュータ上でどのようなアクションを行ったかを調べるために使用することができます。

	Compliance Reporter 評価ガイド
	バージョン 1.0.0 以降