CSE - IPフィルドに基づいてレコードにホスト名を追加する方法

Sumo Logic CSE（Cloud SIEM）を使用してCIPに取り込むログをCSEレコードに変換する際にそのログに含まれていないデータを追加できます。例えば、ログに含まれているsrcIPまたはdstIP情報にマッチされたホスト名をCSEレコードフィールドとして追加することが可能です。設定方法は以下の通りです。

1. CIP（Cloud Intelligence Platform）でFERを作成
2. Lookup テーブルを作成
3. Log Mappingにフィールドを追加
4. Entity Normalizationを作成

それでは、各ステップをもう少し詳しく見てみましょう。

1. CIP（Cloud Intelligence Platform）でFERを作成

次の形式のログを取り込むとしましょう。このサンプルログにIPアドレスが含まれているもののホスト名が存在しないことを確認できます。

まず、ログをCIPに取り込む時にレコードに追加する値を抽出します。ここではIPフィルド（srcIPとdstIP）をホスト名として抽出するFERを作成します。

2. Lookup テーブルを作成

次に、IPフィルドとそれにマッチするホスト名のリストを参照するために必要なLookupテーブルを2つ作成します。次のイメージを見ると、IPは「hostid」、ホスト名は「src_hostname」と「dst_hostname」にマッピングされていることがわかります。

3. Log Mapping にフィールドを追加

次に、上記で抽出した「src_hostname」と「dst_hostname」をCSEレコードに追加するために該当するLog Mappingを修正します。

[重要]マッピングする際にサフィックスが「_uniqueId」で終わるレコードフィールドのみを使用できることに注意してください。 他のCSEレコードフィールドは使用できません。

4. Entity Normalizationを作成

次に、エンティティ正規化を行います。エンティティ正規化では、「Domain Normalization」または「Lookup Tables」を利用する方法があります。ここではLookup Tablesを使って設定します。具体的には2 番で作成したLookup テーブルからIP アドレスにマッチするホスト名を「src_hostname」と「dst_hostname」 フィールドに割り当てるように設定します。

ここまで完了したら、今後収集されるログから生成されるCSEレコードには、次のようにホース名が追加されます。

まとめ

以上で、IPアドレスに基づいてホスト名をCSEレコードに追加する方法を学びました。これにより、IPアドレスだけでなく、ホスト名に基づいた相関分析やダッシュボード作成など、さまざまな作業を行うことができます。

参考

• FERの作成方法
• Lookup テーブルの作成方法
• Entity Lookup テーブルの設定