Dropbox.techに面白い記事があったので試してみました。CEF形式って何!

こんにちは。SCSKの山田です。
今回は、以下のリンクの記事を読み、検証しましたのでご紹介いたします。

Converting the Dropbox Activity Log into Common Event Format Events
Convert events from your Dropbox activity log into Common Event Format events by following along with this post and usin...

内容の紹介

記事の内容について簡単にまとめます。

「Converting the Dropbox Activity Log into Common Event Format Events」

Dropbox Businessでは主要なイベントとアクションが記録され、アクティビティ ログに保存されます。
このログは、チーム内のアクティビティを監査および監視するために利用できます。
また、アクティビティ ログは、セキュリティとイベント管理 (SIEM)、またはデータ損失防止 (DLP) アプリケーションで利用できる優れたデータ ソースです。

そのDropbox のイベントを、”CEF 形式(Common Event Format)” に変換することで、SIEM アプリが情報を操作しやすくなります。
この記事では、そのためのアクティビティログをCEF形式に変換し保存する方法について紹介してありました。

検証

実際にDropboxのアクティビティログをCEF形式に変換して保存してみました。

Dropboxでアプリを作成

公式サイトの「アプリを作成する」をクリックします。

 初期設定を行います。今回はキャプチャの通りの設定を行いました。

  1. 「Scoped access」を選択します。
  2. どちらかを選択します。
    ・「App folder– Access to a single folder created specifically for your app.」
    ・「Full Dropbox– Access to all files and folders in a user’s Dropbox.」
    App folder:アプリケーション専用に作成された1つのフォルダにアクセスします
    Full Dropbox:フルDropbox–ユーザーのDropbox内のすべてのファイルとフォルダにアクセスできる。
  3. アプリに名前を付け、「Create app」をクリックします。

Permissionsタブを開き、「events.read」にチェックを入れます。


アプリが完成しました。

準備

① parserSettings.ini

記事にあるGitHubのサイトにアクセスし、
dropbox/Developer-Samples/Blog/Convert-activity-log-to-CEF-events/
にある「parserSettings.ini」を保存します。

=の後にアクセストークンを入力し、保存します。
※このスクリプトを使用するには、Python 3.0以降と Dropbox Business アクセス トークンのコピーを “チーム監査” または “チーム メンバー ファイル アクセス “権限で持っている必要があります。
アクセストークンはアプリの「Setting」タブから取得可能です。

② cefParser.py

GitHubのサイト内の
dropbox/Developer-Samples/Blog/Convert-activity-log-to-CEF-events/
にある「cefParser.py」を保存します。

中身は以下のようなものです。

実行

python cefParser.py --output --category sso

を実行します。これはすべてのシングルサインオンイベントのCEFイベントのCSVを生成します。

–category sso
こちらのオプション部分を以下の表のカテゴリに変更するとシングルサインオンだけでなく様々なイベントを抽出可能です。

また、記事にあるように日付指定なども可能です。
–start_time 2018-01-01T00:00:00Z
–end_time 2019-01-01T00:00:00Z

エクスプローラーを確認すると「dropbox_cefevents.csv」のCSVファイルができているのが確認できます。

中を開いてみると、シングルサインオンイベントがCEF形式で保存されていることが確認できました。

CEF形式の活用

Common Event Format(CEF)はイベント生成やログ生成の相互運用性を促進するための一般的なフォーマットです。
テキストベースで特定ベンダーに依存しません。
 
上の検証で実際にDropboxから取得したアクティビティログCEF形式に変換できることがわかりましたが、ではそれは何に活用できるのでしょうか。代表的なものを一つご紹介します。
 
それはセキュリティ対策です。
近年サイバー攻撃の高度化などによりセキュリティ対策の重要性が増しています。
企業が標的となることも多く、重要な情報を守るための対策は大きな課題です。
その中で監視サービスの導入は多くのメリットがあります。

ログを監視し、その中から重要なイベントを抽出、セキュリティインシデントを早期に発見することで被害も最小限に抑えることができます。

【SIEM】

SIEMとはセキュリティ管理システムの一つで、ログデータを収集し、動作状況を管理、脅威を自動で検出、可視化するものになります。そのために様々なデバイスからのイベントの集約が必要です。
しかし先ほどの例にあったDropboxのアクティビティログは、独自のルールで収集・記録されます。
そこでCEFの形式にすることで互換性があり、活用が期待できます。

まとめ

多くの企業でIT化が進んでいます。
日々の業務での利便性や効率化が進む一方で、セキュリティ対策は欠かせません。
その中でログデータやイベントデータの収集、分析は需要が増えていくかと思います。
 
今回はDropboxのアクティビティログをCEF形式に変換、その活用についてご紹介しました。

タイトルとURLをコピーしました