これからCatoクラウドが新たに導入予定の「自然言語検索によるイベントフィルタリング」機能を、先行して使ってみました。
・自然言語検索(EA)によるイベントのフィルタリング
この機能は、複雑なクエリやコマンドを使わずに、日常の言葉でイベントデータを検索できるというものです。
これまでの検索方法は、自分で適切なフィルタを決める必要がありました。
用意されているフィルタの数は膨大で、いったいどれを指定すればよいのか、一度は迷ったことがあるのではないでしょうか。
新機能では、検索バーに自然言語でクエリを入力すると、AIエンジンがそのクエリをフィルタに変換し、関連するイベントデータを表示します。
なお、今回利用した段階では日本語未対応でしたが、今後の機能追加が予定されています。
今回の利用では、ユーザが実際に入力しそうな日本語をDeepLで英語翻訳した結果を、そのままコピペして試しています。
それでは、この新機能の使い方や実際に試してみた結果について詳しく紹介していきます。
使い方
使い方は簡単で、フィルタを入力する欄の右端🔍虫眼鏡アイコンをクリックすると、文字が入力できるようになります。
ここで表示したいログを指示します。
試してみる
それでは、実際に試してみます。
Cato社紹介のユースケースから
まずはCato社の新機能紹介ページで説明されているユースケースの通りに入力してみて、想定通り動作するか見てみます。
今回は2パターン見てみました。
【フィルタ結果】
Event Type:Security
Sub Type:Internet Firewall
Category:Games
【フィルタ結果】
Event Type:Security
Sub Type:Anti Malware
手動でフィルタするよりも明らかに早く、利便性がかなり高いと言えます。
エンドユーザ目線で
ここからは、実際にいただいたお問い合わせをもとに、私自身でユースケースを考えてみました。
色々と日本語・英語をチューニングして試しています。
あるユーザが特定のサイトへアクセスできない
私(なかがわ きょうすけ)が、任天堂のサイトへアクセスしてブロックされた結果を表示できるか試してみます。
結果はフィルタできず。フィルタ指定に失敗すると以下のエラーになる。
「Error – unsupported filtersThe search engine returned a response, but your request uses unsupported filters and can’t be displayed. Please check the filters and try again.」
次に、Cato社の紹介例のように、ログが見たいという意図を伝えてみます。
【フィルタ結果】
Action:Block
Domain Name:nintendo.com
ドメイン名はフィルタされたが、www.nintendo.comのログが見たいため不十分。
【フィルタ結果】
Domain Name:www.nintendo.com
Action:Block
User Display Name:Kyosuke Nakagawa
まだ正確な情報で入力する必要があり、”よしなに”フィルタをかけることは難しそうです。
日時指定でブロックされたログが見たい
今度は日時指定ができるか試してみます。
【フィルタ結果】
Action:Block
日時指定:10/2 0:00~23:59
今度は、少し表現を複雑に変えてみます。
【フィルタ結果】
Action:Block
日時指定:10/2 0:00~12:00
日時指定の表現はいくらか融通が利きそうです。
あるアプリの操作をブロックしているログを見たい
最後に、セキュリティオプションのCASB機能でブロックされたログが見られるか、確かめてみたいと思います。
今回は、Gmailにてファイル添付をブロックしているログを見てみたいと思います。
結果として、一筋縄ではフィルタされず、色々と表現を変えながら試すこととなりました。
まずは、以下に失敗したスクリプトをご紹介します。
ここで、「Gmailに関するログが見たい」という単純な表現に変えても出力されず。
Gmailという表現をここであきらめて、Googleに広げて聞いてみました。
【フィルタ結果】
Application:Google Drive、Google
ようやくフィルタがかかりましたが、Google DriveとGoogleのみで、なぜかGmailは含まれませんでした。
英語の表現が適切でないと感じ、Gmailに関する(about,with)ではなく、Gmail上(on)のログという表現に変えてみました。
【フィルタ結果】
Action:Block
Application:Gmail
続いて、ファイル添付がブロックされたログが見られないか、スクリプトを考えていきます。
【フィルタ結果】
Action:Block
Application:Gmail
次に、Gmailは一旦あきらめて、イベントフィールドの値を「ファイル添付」で指定するようなスクリプトにしてみます。
残念ながらエラーの結果に。。
他にも色々と表現を変えながら試しましたが、「ファイル添付」でフィルタしてもらうことは出来ませんでした。。
諦めようとしたその時、気づきました。
新機能紹介ページによると、そもそもApp Activityが今後追加予定のフィールドになっていることに。。
想定していた全てのフィルタを設定することはできず、残念でしたが、
自然言語では未対応のフィルタとわかったため、気持ちよくあきらめることができました。
また、その他の注意点として、同じスクリプトを入力しても、時間を空けるとフィルタの結果が変わったり、場合によってはフィルタ出来なくなったりすることがあります。
【補足】単語のみでフィルタ可能か?
ちなみにですが、以下のように、文ではなく単語の列挙に近い記載でフィルタできるかも試してみましたが、結果はあまり芳しくありませんでした。
最低限、所有の’s や前置詞は記載する必要があるようです。
| 検索ワード | フィルタ結果 |
| Block | × |
| block event | 〇 Action:Block |
| IPS | 〇 sub-type:IPS sub-typeに登録されているキーワードであれば、単語のみの検索でも比較的表示されました。 |
| today ips block | 〇 日時:当日午前0時から現在時刻 Event-Type:Security sub-type:IPS Action:Block |
| today nakagawa block× | × |
| today’s nakagawa block event | × |
| today’s block event of Nakagawa | 〇 日時:当日午前0時から現在時刻 User Name:Nakagawa Action:Block |
| Kyosuke Nakagawa www.nintendo.com Block | × |
| Kyosuke Nakagawa’s Block event to www.nintendo.com | 〇 User Name:Kyosuke Nakagawa Action:Block Domain Name:www.nintendo.com |
まとめ
率直に、予想していたよりもフィルタを効かせることはできるな、という感想を持ちました。
ただし、生成AIのチャットボットを利用する際も同様ですが、スクリプトにはコツが要ります。
慣れるまでは、今まで通り手動でフィルタする方が早いかと思います。
今後、Cato内のAIが学習を進め、ラフな自然言語でも読み解いてくれて、
上手くフィルタしてくれるようになるまで成長してくれるといいです。