Zscalerのログから組織全体のクラウド利用状況をSumo Logicで可視化する

  • クラウドセキュリティー
  • ゲートウェイセキュリティー
  • 分析
  • 2020.10.27

Sumo LogicはクラウドベースのSIEMサービスです。さまざまなログを取り込んでわかりやすく可視化することができます。今回は、クラウドゲートウェイセキュリティーサービスのZscalerにフォーカスして組織全体のクラウドの利用状況を可視化し、リスクに関する分析を視覚的に表示してみましょう。


Sumo Logicの詳細はこちら

Overview 概要

Zscaler のログを利用して、ブロックされたトラフィックを数値やグラフで表示し、さらに世界地図上に視覚的に表現することができます。

Overview 概要

  • File Classification Threats (ファイル分類の脅威)・・・①
    過去 6 時間のファイル分類の脅威数を数値で表示します。
  • Blocked Traffic (ブロックされたトラフィック)・・・②
    過去 1 時間にブロックされたトラフィック数を数値で表示します。
  • Denied Events (拒否されたイベント)・・・③
    過去 1 時間の拒否されたイベント数をタイムラインで表示します。
  • Location of Denied Activities (拒否されたアクティビティーのロケーション)・・・④
    ジオ ルックアップ操作を実行し、過去 1 時間に拒否されたアクティビティの IP アドレスの数とロケーションを世界地図上に表示します。
  • Location of Allowed Activities (許可されたアクティビティーのロケーション)・・・⑤
    ジオ ルックアップ クエリを実行し、過去 1 時間に許可されたアクティビティーの IP アドレスの数とロケーションを世界地図上に表示します
  • Denied to Allowed Ratio (拒否と許可の比率)・・・⑥
    過去 1 時間の拒否されたイベントと許可されたイベントの比率をタイムラインで表示します。
  • Denied to Allowed Ratio - Outlier (拒否と許可の比率 - 外れ値)・・・⑦
    過去 6 時間で拒否されたイベントと許可されたイベントの比率を外れ値とともにタイムラインで表示します。

Behavior 挙動

許可されたトラフィックの挙動に焦点を絞り、ユーザ別の傾向と偏差、アクセスされたコンテンツ タイプ、コンテンツ カテゴリー、スーパー カテゴリー、帯域幅の傾向を表示します。

Behavior 挙動

  • Data Volume (データ ボリューム) MB = Mega Byte・・・①
  • Non-General Browsing (一般的でないブラウズ)・・・②
  • General Browsing (一般的なブラウズ)・・・③
  • MB Out by Top 5 Countries (上位 5 か国の出力量 MB)・・・④
    過去 1 時間の上位 5 か国の出力 MB の詳細 (国名、MB 数、使用パーセント) をテーブル グラフで表示します。
  • Non-General Activity by App Class (アプリケーション クラス別の一般的でないアクティビティー)・・・⑤
    過去 1 時間のタイムラインでのアプリケーション クラス別のアクティビティーを積み上げ面グラフで表示します。
  • General Activity by Super Category and Sub Category (スーパー カテゴリーおよびサブ カテゴリー別の一般的なアクティビティー)・・・⑥
    過去 1 時間のスーパー カテゴリーおよびサブ カテゴリー別のアクティビティーに関する詳細を積み上げ縦棒グラフで表示します。
  • MB In by Top 5 Countries (上位 5 か国の入力量 MB)・・・⑦
    過去 1 時間の上位 5 か国の入力 MB の詳細 (国名、MB 数、使用パーセント) をテーブル グラフで表示します。
  • Non-General Activity by App Name (アプリケーション名別の一般的でないアクティビティー)・・・⑧
    過去 1 時間のタイムラインでのアプリケーション名別のアクティビティーを積み上げ面グラフで表示します。
  • General Browsing by Realm (レルム別の一般的なアクティビティー)・・・⑨
    過去 1 時間のタイムラインでのレルム別のブラウズに関する詳細を積み上げ面グラフで表示します。
  • Destination vs Source Volume (送信先と送信元 のボリューム)・・・⓾
    過去 1 時間のタイムラインでの送信先と送信元 のボリュームに関する情報を面グラフで表示します。
  • Non-General Activity by Top Named Users (上位の名前付きユーザー別の一般的でないアクティビティー)・・・⑪
    過去 1 時間のタイムラインでの上位の名前付きユーザ別のアクティビティーを積み上げ縦棒グラフで提供します。
  • Top General Browsing by Named Users (名前付きユーザ別の上位の一般的なブラウズ)・・・⑫
    過去 1 時間のタイムラインでの名前付きユーザー別のブラウズに関する詳細を積み上げ縦棒グラフで表示します。

Blocked Traffic ブロックされたトラフィック

ブロックされたトラフィックのピークの外れ値とユーザーに固有のブロックされたアクティビティーの多次元の外れ値の両方が表示されます。

Blocked Traffic ブロックされたトラフィック画面

  • Blocked Events Outlier (ブロックされたイベントの外れ値)・・・①
    過去3時間にブロックされたイベントをタイムラインで外れ値とともに表示します。
  • Top 10 Users (上位 10 人のユーザー)・・・②
    過去1時間のアクティビティーが最も多い上位10ユーザーを円グラフで表示します。
  • Outliers by User (ユーザー別の外れ値)・・・③
    過去3時間のタイムラインでのユーザー別の外れ値を縦棒グラフで表示します。
  • Top 10 Realms (上位 10 レルム)・・・④
    過去1時間のアクティビティーが最も多い上位10レルムを円グラフで表示します。
  • Policy Violations by Realm (レルム別ポリシー違反)・・・⑤
    過去1時間のレルム別のポリシー違反を積み上げ縦棒グラフで表示します。
  • Top 10 Policy Violations (上位 10 件のポリシー違反)・・・⑥
    過去1時間の上位10件のポリシー違反を円グラフで提供します。
  • Top 10 Blocked Base URLs (上位 10 件のブロックされたベース URL)・・・⑦
    過去1時間の上位10件のブロックされたベース URL を円グラフで表示します。

File Classification Activity ファイル分類アクティビティー

ユーザー別のファイルベースの脅威、脅威名、ファイルタイプ、サブタイプに焦点を絞り、Zscaler 環境全体でブロックされたファイルの包括的なビューを提供します。

File Classification Activity ファイル分類アクティビティー画面

  • File Threats by User (ユーザー別のファイル脅威)・・・①
    過去1時間のユーザー別のファイル脅威をタイムラインでの積み上げ表示します。
  • Threats by App (アプリケーション別の脅威)・・・②
    過去1時間のアプリケーション別の脅威を積み上げ縦棒グラフで表示します。
  • File Based Threats Outlier (ファイルベースの脅威の外れ値)・・・③
    過去 3 時間のファイルベースの脅威イベントをタイムラインでの外れ値とともに表示します。
  • Threats by File Class (ファイル クラス別の脅威)・・・④
    過去 1 時間のファイル クラス別の脅威を積み上げ縦棒グラフで表示します。
  • File Threats by Risk Score (リスクスコア別のファイル脅威)・・・⑤
    過去 1 時間のリスクスコア別のファイル脅威をタイムラインで積み上げ表示します。
  • Threats by File Types (ファイル タイプ別の脅威)・・・⑥
    過去 1 時間のファイル クラス内でファイル タイプ別に分類された脅威を積み上げ縦棒グラフで表示します。

Sumo Logicは、このように専門家不要のクラウドSIEMサービスです。
お問合せはこちらからどうぞ。

おすすめ記事

すぐにできる!

リモートアクセス環境

Oktaのログからユーザーアクティ
ビティーをSumo Logicで可視化する

1分で分かるかも?「Zero Trust」

~全ては信用できない世界に~