Sumo Logic(スモーロジック)は2026年4月10日、device_hostname、device_ip、srcDevice_hostname、srcDevice_ipに影響を与えるフィールドマッピングの冗長性に対処するコンテンツリリースを発表した。同社によると、これらの正規化されたフィールドが同じ入力ソースから派生している場合があり、インデックス付きレコードで重複した値が生成されていた。このアップデートは、AWS CloudTrail、Cisco Umbrella、Fortinet FortiGate、Jamf、Microsoft Office 365、Microsoft Windows、Okta、Suricataなど、一連の製品マッパーとそれらのレコードからシグナルを生成するルール全体にわたるマッピングを合理化および標準化することを目的としている。このリリースは、サポートされているログソース全体でより一貫性のある効率的なデータ正規化を目指し、重複を減らし、下流の検出および分析ワークフローのフィールドの由来を明確にすることを目的としているとのことだ。
今回のコンテンツリリースには、新しい監査ログ、パーサーの改善、スキーマサポートの拡張などが含まれている。ナレッジベースの削除イベントを追跡するAWS Bedrock監査ログを提供するために、新しいCloudTrailエントリー(bedrock.amazonaws.com DeleteKnowledgeBase)が追加された。Netskopeセキュリティーイベントのフィールドマッピングと解析が強化され、14のログマッパー全体でユーザー名の抽出、脅威の分類、異常検出が改善された。Microsoft Exchange Message Traceマッパーとパーサーが更新され、Graph APIログ形式がサポートされ、メール追跡とユーザー識別が改善されましたAWS CloudWatchとIAMのログ記録が拡張され、IDフィールドマッピング、タイムスタンプ解析、リソース追跡が改善された。Imperva Incapsulaのパーサーが強化され、cslabelフィールドのサポートが追加され、Infobloxのパーサーが新しいログ形式をサポートするようになった。今回のリリースでは、プロセス実行チェーンの可視性を向上させるために、grandparentBaseImage、grandparentCommandLine、grandparentPidなど、祖父母プロセスの追跡を目的とした新しいスキーマフィールドも導入された。
リリースには、マッパーレベルの変更の詳細な一覧が付属している。新規および更新されたログマッパーには、bedrock.amazonaws.com DeleteKnowledgeBaseの新しいCloudTrail定義と、AWS CloudWatch CustomおよびCloudTrail iam.amazonaws.com Policy Changeエントリーの更新が含まれる。Microsoft O365 Exchange Message Trace C2Cは、Netskope Alerts、Netskope Anomaly - Bulk Download、Netskope Anomaly - User Shared Credentials、Netskope Application Events、Netskope Audit Authentication Events - Logoff and Logon、Netskope Audit Events、Netskope Catch All、Netskope DLP Alerts、Netskope Incidents、Netskope Network Events、Netskope Page Events、Netskope nspolicyなど、幅広いNetskopeマッパーとともに更新された。リリースノートにはこれらの項目が列挙されており、管理者やセキュリティーエンジニアがパーサーやルールの更新を計画したり、受信テレメトリと検出ロジックで使用される正規化フィールドとの整合性を確保したりするのに役立てられるとのことだ。
マッパーの変更を補完するために、パーサーレベルの更新とスキーマの追加が詳しく説明された。更新されたパーサーには、/Parsers/System/ AWS/ AWS CloudWatch、/Parsers/System/Imperva/Imperva Incapsula、/Parsers/System/Infoblox/Infoblox、/Parsers/System/Netskope/Netskope Security Cloud JSON、および/Parsers/System/Microsoft/O365 Exchange Message Trace C2Cが含まれる。拡張されたプロセスリネージ追跡をサポートするために、grandparentBaseImage、grandparentCommandLine、およびgrandparentPidの新しいスキーマエントリーが追加された。リリースノートでは、これらの更新を組み合わせることで、冗長なフィールドの入力を減らし、クラウドセキュリティーベンダー全体でユーザーとIDの抽出を強化し、正規化されたレコードからのより信頼性の高いシグナル生成をサポートすることを目的としていると示唆されている。
出典:Sumo Logic
この製品の詳細については、Sumo Logic製品ページをご覧ください。
