ALSI (アルシー)

アルシー デジタルソリューションブログ

Cybereason EDRが検知した脅威URLを、InterSafe WebFilterに自動登録する仕組みを Sumo Logicで構築しよう!

Malop」について

EDR製品のCybereason EDRは、既知の悪意あるサイトはもちろん、未知の脅威に対しても、脅威判定を行うことができます。

仮に、そのサイトが今作られたばかりの知られていないサイトであったとしても、サイバー攻撃の一連の挙動に利用されている可能性があれば脅威として検知され、利用者に通知されます。この通知をCybereason独自の用語で、「Malop(マロップ)と呼びます。

Malop」を受け取った利用者は内容を精査し、本当に危険だと判断した場合、そのURLIPアドレスなどをプロキシサーバーやファイアウォールのブラックリストとして登録することで対処します。あるいはMDR(Cybereason社によるSOCサービス)を契約している場合、それに準じた内容で対処します。

Cybereason EDRによるInterSafe WebFilterの補完

WebフィルタリングソフトのInterSafe WebFilterも、日々、有害なサイトを収集し、専任リサーチャーによる目視確認を経てデータベースに登録しているため、高い網羅率を誇ります。しかし、今作られたばかりのサイトは実体が不明なため、有害サイトだと判断を下すことができません。疑わしきは罰せず、です。

一方、仮に先の組織がサイバー攻撃の被害を受けていたとしたなら、Cybereason EDRによって発生したMalopに記載のあるURLIPアドレスは、その組織全体でアクセスをブロックするべきですが、Cybereason EDRは検知に特化したサービスとなっています。

そこで、Cybereason EDRMalopが発生した場合、そこに記載されたURLIPアドレスを自動で登録する仕組みをご紹介します。

Sumo Logic を使ってInterSafe WebFilterへの自動登録を実現

Sumo Logic は当社で取り扱っているSIEM製品で、Cybereason EDRMalop情報をクラウドtoクラウドで収集できます。さらに、収集した情報を条件に遠隔で命令を実行する機能があります。

◆構成イメージ

Sumo202407.png

InterSafe WebFilter以外でも利用可能

今回は、InterSafe WebFilterへの登録を例に自動登録の仕組みをご説明しました。WindowsまたはLinux上からのコマンドを受け付けられるシステムであれば、どのようなシステムでも対応が可能です。オープンソースのプロキシキャッシュサーバーであるSquidへのブラックリスト登録についても実績があります。

まとめ

いかがだったでしょうか。昨今、日本ではIT人材が不足していると言われ続けており、SOAR(インシデントレスポンスの自動化)などが注目されています。今回ご紹介した仕組みも、Malopを受け取った後、そのMalopに記載された脅威のあるURLIPアドレスを自動的に登録するいわゆるSOARサービスです。

高度化するサイバー攻撃に対応するには、セキュリティファーストの考え方が重要です。Malopが発生した後、それを何日もかけて精査して対応するのではなく、Sumo Logicを活用して自動登録を即時化する運用をご検討ください。

実際のデモをご覧いただくことも可能ですので、ご興味があれば、お気軽にご相談ください。

おすすめ記事

最新記事

Sumo Logic

Sumo Logicの新ライセンス「Flex Pricing」で追加費用の心配なくログ取り込みを行う...

SIEMクラウドログ管理

Sumo Logicの新ライセンス「Flex Pricing」で追加費用の心配なくログ取り込みを行うには?
Sumo Logic

Microsoft SQL ServerからSIEM製品へ乗り換え!増え続けるログのお悩みをSumo...

SIEMクラウドログ管理

Microsoft SQL ServerからSIEM製品へ乗り換え!増え続けるログのお悩みをSumo Logicで解消
Sumo Logic

世界最大のボットネット「911 S5」! Sumo Logicを使って社内のPCがボットネットに組み...

SIEMクラウドログ管理

世界最大のボットネット「911 S5」! Sumo Logicを使って社内のPCがボットネットに組み込まれていないかどうかをチェック!!