これまでこれまで、ログを格納しても、適切なアクティビティメタデータが付与されない限り、データの絞り込みが難しい場合がありました。今回のリリース新たに投入した生ログそのものを検索できる*「スキーマレス検索」*機能が追加されました!スキーマレス検索の使い方アクティビティ(Activity)画面から、フィルタ(Filter)を選択すると、条件として「RAW Data(JSON)」という選択肢が使えるようになっています。データがJSON(JSONL, NDJSON)で投入されている場合、jqコマンドや一般的な JSON_EXTRACT構文のように、JSON内部を検索することができます。検索は、そのほかの条件と同じくデータソースを横断して検索することができます。ユースケース:Google Workspaceのアクセス元を絞り込む例えば、Cygieneのデータソースとして、Google Workspaceの監査ログを取り込んでいる場合に、アクセス元IPアドレスを絞り込む、といったことができます。Google Workspaceのログには、多くの場合、 ipAddress というフィールドがJSONルート直下に存在します。そのため、 $.ipAddress と入力することで、IPアドレスを絞り込んで検索することができます。絞り込みを行う際に、過去1ヶ月間のデータから、どのようなIPアドレスが存在していたかをCygieneが自動的に抽出してくれます。出現頻度も合わせて表示されるため、不審な接続元の絞り込みも容易に行うことができます。今後についていかがだったでしょうか。スキーマレス検索では、単なる検索だけでなく、フィールドに含まれるデータの頻出頻度の提示など直感的に操作できるようになっています。現在、Cygieneの開発チームではSIEM機能の強化に取り組んでいます。文字列ベース検索、バイナリ検索にも対応予定ですお待たせしていますm( )m まもなく、ストリームログ投入、対応予定です!さらなるセキュリティオペレーションUXの向上のため、改善してまいります。