SumoLogic データ・ソースへの接続

オンライン編集

SumoLogic データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが SumoLogic セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

始める前に

SumoLogic 管理者と連携して、アクセス ID とアクセス・キーを取得します。

クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 IBM® Security Edge Gateway を使用してコンテナーをホストします。 Edge Gateway は V1.6 以降でなければなりません。 詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

このタスクについて

SumoLogic コネクターは、 search/jobs API エンドポイントを使用して SumoLogic 3.6.2 と連携するように設計されています。

Structured Threat Information eXpression (STIX) は、組織がサイバー脅威インテリジェンスを交換するために使用する言語およびシリアライゼーション・フォーマットです。 コネクターは、 STIX パターン化を使用して SumoLogic データを照会し、結果を STIX オブジェクトとして返します。 SumoLogic データ・スキーマを STIXにマップする方法について詳しくは、 SumoLogic stix-shifter リポジトリー (https://github.com/opencybersecurityalliance/stix-shifter/tree/develop/stix_shifter_modules/sumologic) を参照してください。

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
  3. SumoLogicをクリックしてから、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
    2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
    3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
    4. 「地域」 フィールドで、 SumoLogic アカウントが存在する地域を設定します。
  5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
    1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
    2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
    3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
    4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
    重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
  6. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
  7. ID およびアクセス権限を構成します。
    1. 「構成の追加」をクリックします。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    5. 「アクセス ID」 フィールドに、 SumoLogic のアクセス ID を入力します。
    6. 「アクセス・キー」 フィールドに、 SumoLogic アクセス・キーを入力します。
    7. 「追加」をクリックします。
    8. 構成を保存して接続を確立するには、 「完了」をクリックします。
    追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。
    データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
    ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

    このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

  8. 構成を編集するには、以下の手順を実行します。
    1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

次に実行するタスク

IBM Security Data Explorer を使用して照会を実行し、接続をテストします。 Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。

制約事項: SumoLogic Universal Data Insights コネクターに使用される API は、非同期検索をサポートしていません。 他の接続とは別の独自の Data Explorer 検索で SumoLogic データ・ソースを照会します。

SumoLogic コネクターおよび非同期コネクターを使用して Data Explorer 照会を実行すると、 SumoLogic コネクターは非同期コネクターをブロックし、検索をスローダウンします。 OneLogin および SumoLogic コネクターを除き、すべての Universal Data Insights コネクターは非同期です。