OneLoginとAWSをSAML連携しSSOを実現する手順
Stellar Cyberの機能のご紹介
Dashboard
Dashboard はStellar Cyberのホーム画面です。この機能で現在発生している脅威の概要を掴むことができます。 Dashboard には脅威レベル段階ごとに件数を表記する XDR Kill Chain パネル、インシデント件数やアラート件数を把握する Status パネル、重要なインシデントを表示する Top Incidents パネル、重要なアセットを表示する Top Risky Assets パネルなどで画面構成されおり、脅威の全体像を把握することができます。
Home
| XDR Kill Chain | それぞれのKill Chain ステージのアラートの発生件数を表示します。 左の数字はクリティカルなアラートの件数、右側の数字はアラートの総数。 クリティカルなアラートが実際に調査すべきアラートとなります。 |
| Status Panel | インシデント、アラート、ユーザー、アセットのトレンドを表示します。 |
| Top Incidents Panel | スコア順に並べてトップ10のインシデントを表示します。 |
| Top Risky Assets Panel | リスク順に並べてトップ10のアセットを表示します。 |
| Tactics Graph | 観測したタクティクスを棒グラフで表示します。 |
Collect
Collect はStellar Cyberが外部ソースからのデータ取り込み設定です。この機能を通じて、外部ソース元からステラサーバーへの接続方式とコネクター設定を選択して連携構築します。 Collector Overview 画面では、各 Collector ごとの Data Category や Data Type を選択して取り込み設定をおこないます。Connector によっては Respond 設定を実施することでStellar Cyberが検知した脅威に応じた自動対処を設定することもできます。
Sensor Overview
Collect / Sensor Overview から開くことができます。
センサーの管理画面です。この画面では、認証やソフトウェアアップデートといったセンサーの管理を行うことができます。
Connectors
コネクタの管理画面です。この画面では、コネクタの作成・管理を行うことができます。
コネクタの作成
- 作成したいコネクタの製品を選択し、コネクタの名前を決めます。 2. クレデンシャル情報を入力します。
- 問題なければ、Submitをクリックします。以上でコネクタの作成は完了です。その後自動的にログの収集が始まり、脅威の検知まで行われます。
Detect
Detect は全てのアラートをドリルダウンで詳細に把握する機能です。 Stellar Cyberは機械学習を用いて脅威を検知しています。検知されたアラートはこの画面からドリルダウンして詳細な内容を把握することができます。All Alerts 画面からアラート全体を閲覧します。画面に表示されたそれぞれ個別アラートの右部[View]ボタンから Alert Detail アラート詳細を確認します。この画面では件数、時間的推移、脅威度合い、脅威発生地域をひと目で把握することができます。 さらに Event ごとに[More Info]ボタンから、イベント詳細 Event Detail 画面から、アラートスコア、イベントステータス、ディテイル、アクション選択をすることができます。
All Alerts
Detect / All Alerts から開くことができます。
| Alert Types Panel | Kill Chain ステージや個々のタクティクス、タグでアラートを絞り込むことができます。 |
| Alerts Status Panel | 左パネルでは、発生したアラートタイプの種類と利用可能なアラートタイプの種類を表示します。右パネルでは、発生したアラートのトレンドを表示します。 |
| Alerts Table | 利用可能なアラートタイプを発生した件数によってソートして表示します。 |
Alert Detail
それぞれの Alert の View ボタンをクリックすると Alert の詳細を見ることができます。
| Raw Count | 発生したアラートの件数を表示します。 |
| Alerts Over Time by Fidelity | 発生したアラートの件数の時間的推移を忠実度ごとにグラフで表示します。 |
| Alerts by Fidelity | 発生したアラートの件数を忠実度ごとに円グラフで表示します。 |
| Geolocation Map | 脅威がどこから発生したのかを世界地図で可視化します。 |
| Alert Detail Table | 発生したアラートの詳細をまとめた表。 |
Event Detail
More Info をクリックすると、イベントの詳細を見ることができます。
| Alert Score | 円は、重要度を色分けして表示します。 オレンジの長方形は、実際のイベントの発生件数と通常時のイベントの発生件数の比較です。 残りフィールドは、
|
| Event Status | イベントに対して、操作ステータスを割り当てることができます。
|
| Actions | イベントに対して様々なアクションを実行することができます。
|
| Key Fields | イベントの評価に最も関係のあるフィールドを表示します。 |
| Details | イベントに関係する追加の重要な情報の要約して表示します。 |
Respond
Respond は、検知した脅威の自動アクションと、管理者通知を設定する機能です。 Stellar Cyberは検知した脅威に Automation 自動処理を定義することができます。脅威イベント情報を Query で絞り込み、対象の脅威イベントにアクション実行する条件を設定することで自動的なアクションシナリオを設定することがでいます。さらに、アクションの種類として Email、Slack、などの通知だけに限らず、Webhook やユーザースクリプトの実行を設定するとで独自のアクションや外部連携を構築することも可能となっております。
Automation
Respond / Automation から開くことができます。
センサーの管理画面です。この画面では、認証やソフトウェアアップデートといったセンサーの管理を行うことができます。
自動アクションの作成画面です。
| Alert Configuration | アラートの基本設定です。以下の項目を設定します。
|
| Query | クエリにより対象のイベントを絞り込みます。 |
| Condition Configuration | アクションを実行する条件を設定します。クエリによりヒットしたイベントの数で条件を決めます。 |
| Actions | 実行するアクションの種類を選択します。現在、以下の種類のアクションを作成できます。
メッセージ本文にイベントのフィールドを含めることができます。 |
- Stellar Cyberとは
- Stellar Cyberの機能
