Sumo Logic(スモーロジック)は、Fortinet、Sysmon、Citrix Cloud、およびMITRE ATT&CKのマッピング全体にわたるログ解析、マッピング、および検出の範囲を拡大するコンテンツアップデートを2026年5月4日にリリースしたと発表した。
今回のリリースでは、Fortinetフィールドマッピングの改善として、重大度正規化の標準化、27のログマッパー全体にわたるセッション トラッキングとデバイス識別機能の導入、および3つの冗長なFortinetマッパーの削除が行われたと説明されている。WindowsおよびLinux Sysmonマッパーは改良され、normalizedActionフィールドとnormalizedResourceフィールドが44種類のSysmonイベントタイプ全てで一貫して設定されるようになったと報告されている。この変更は、クエリー パフォーマンスの向上とイベントの標準化の一貫性の促進を目的としている。Citrix Cloud C2Cパーサーおよびマッパーの更新では、ユーザー認証、接続ライフサイクルイベント、およびセッションステート遷移をキャプチャーするセッションログサポートが追加されたとのことだ。
Sumo Logicは、MITRE ATT&CK戦術・技術データベースがバージョン19に更新され、ルール内容が新たに追加された戦術や技術、および廃止された戦術や技術を反映するように調整されたと発表した。今回のリリースには、クラウドプラットフォーム、エンドポイント検出、脅威インテリジェンス指標など、多数のルール更新が含まれている。更新されたルールの例としては、MATCH-S00921 (AWS Bedrockモデル呼び出しログ設定の変更が観測された)、MATCH-S00113 (AWS CloudTrail -ログ設定の変更が観測された)、MATCH-S00665 (AWS CloudWatchロググループの削除)、MATCH-S00670 (AWS Configサービスの改ざん)、MATCH-S00674 (AWS WAFアクセスコントロール リストの更新)、MATCH-S00598 (Alibaba ActionTrailログ設定の変更が観測された)、MATCH-S00795 ~ MATCH-S00797 (Azure診断とEvent Hubの変更)、MATCH-S00373 (BlueMashroom DLLのロード)、MATCH-S00516 (アンチウイルスランサムウェアの検出)、MATCH-S00415 (Wevtutilを使ってWindowsイベントログをクリアしようとした)、MATCH-S00288 (NotPetyaランサムウェアのアクティビティー)などがある。MATCH-S00831 (Office 365統合監査ログの無効化)、THRESHOLD-S00048 (米国以外の国への送信トラフィック)、MATCH-S00546 (偵察の難読化の可能性)、およびさまざまな信頼度レベルで宛先IPと受信トラフィックの指標をカバーするMATCH-S01024 ~ MATCH-S01028およびMATCH-S01023 ~ MATCH-S01027などの脅威インテリジェンス関連のルールなどがある。レガシーおよびWindowsに特化したルールも含まれており、例えばLEGACY-S00037およびLEGACY-S00038 (Fortinetアプリのリスクレベル)、LEGACY-S00080 (SSHの興味深いホスト名ログイン)、LEGACY-S00170 (監査ログがクリアされた- 1102)、およびMATCH-S00521 (Windows -コマンドライン経由で重要なサービスが無効化された)やMATCH-S00533 (Windowsセキュリティーアカウントマネージャーが停止した)などのWindows固有の項目が含まれている。
ログマッパーに関しては、今回のリリースではFortinet DNS Query、Fortinet Traffic2、Fortinet DNS Logsの3つのFortinetマッパーが削除され、Citrix Cloud Session Logsマッパーが新たに追加された。異常ログ、Appctrl1、Appctrl2、認証、DLPログ、DNS、エンドポイント、イベントログ、複数のFortiGate-200D CEFマッパー、トラフィック、UTM IDS1、VPN、ウイルス、haログ、perf-stats pba-closeシステムログ、セキュリティー評価ログ、sslログ、voipログ、wadログ、wafログ、ワイヤレスログなど、Fortinetマッパーの幅広いセットが更新された。LinuxとWindowsの両方のSysmonマッパーも多数更新された。Linux-Sysmon/Operationalマッパーのうち、1~23のラベルが付いたもの(連続していないエントリーも含む)は、Windows - Microsoft-Windows-Sysmon/Operationalマッパー(イベントタイプ1~29をカバー)と同時に更新され、特定のイベント範囲に対して複数のグループ化された更新が行われた。
パーサーとスキーマの変更も確認されており、Citrix Cloud C2Cパーサーのパス(/Parsers/System/Citrix/Citrix Cloud C2C)が更新され、MITRE ATT&CK戦術とテクニックのマッピングがバージョン19にアップグレードされた。今回のリリースでは、これらのパーサー、マッパー、ルール、およびスキーマの調整を反映させるため、製品全体で検出ロジックとマッピング成果物を整合させることが目的とされている。
出典:Sumo Logic
この製品の詳細については、Sumo Logic製品ページをご覧ください。
