Más contenido relacionado
La actualidad más candente (20)
Similar a 【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか? (20)
Más de Hibino Hisashi (9)
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
- 2. 2
自己紹介
名前:日比野 恒 (ひびの ひさし)
所属:フューチャーアーキテクト株式会社
Technology Innovation Group
セキュリティアーキテクト (CISA、登録セキスぺ)
領域:
サーバ基盤
OS
データベース
アプリケーション
ネットワーク
データセンター
セ
キ
ュ
リ
テ
ィ
※資料は終了後公開します
- 12. 12
金融庁の定義でいうところの
・「検知」のカテゴリに対して、ElasticStackによるサイバー攻撃の分析機能を適用
特定 防御 検知 対応/復旧
保護すべき対象の把握
経営陣によるサイバーセ
キュリティ管理の重要性の
認識
セキュリティ水準の定期的
評価
システム開発におけるセ
キュリティ管理の視点の導
入
組織内の緊急時対応/早
期警戒体制の整備
情報共有機関等を通じた
情報収集/共有体制の整
備
多層防御(入口対策/内
部対策/出口対策)
システムの脆弱性について
の適時の対応
CPの策定
業界横断的演習への参
加
通信記録(ログ)等の取得
/分析を含むサイバー攻撃
に対する監視
CPに沿った適切な対応
出典:金融庁公表資料 特定
防御
検知
対応
【イメージ図】
- 15. 15
これだけ嬉しいことになる (^^)
1. SyslogサーバからFirewallログ取得
2. 国情報から国外アクセスを検索
3. 国外IP一覧をIPアドレスごとに集計
4. IPアドレスをWhoisでホスト名検索
5. 不審なIPアドレスをFirewallでブロック
繰り返す
1. SyslogサーバからFirewallログ取得
2. 国情報から国外アクセスを検索
3. 国外IP一覧をIPアドレスごとに集計
4. IPアドレスをWhoisでホスト名検索
5. 不審なIPアドレスをFirewallでブロック
ElasticStack
に
よ
る
自
動
化
- 20. 20
logstash.confの解説(1/6)
input {
file {
path => "/var/log/web/*.log"
start_position => "beginning“
}
}
【説明】
input句にファイルを取り込むため、「file」を指定
取り込みたいファイルが置かれているパスを指定
取り込みたいファイルを先頭から読み込みたいため「beginning」を指定
デフォルトでどこまでファイルが読み込まれたか記憶するsincedbファイルでオフセット値を管理
- 23. 23
logstash.confの解説(4/6)
mutate {
add_field => {
"c-host" => "%{c-ip}"
"timestamp" => "%{date} %{time}"
}
}
dns {
reverse => ["c-host"]
action => "replace"
nameserver => [ "8.8.8.8"]
hit_cache_size => 500000
}
} 【説明】
mutate filterでdns filterで逆引きに利用するカラム「c-host」を「c-ip」から複製
date filterで利用するtimestampを「date」と「time」を結合してカラム追加
dns filterでGoogleの8.8.8.8を利用して、「c-host」を逆引き「reverse」に利用
DNSキャッシュサイズとして、50万件の成功したリクエストをキャッシュ
- 24. 24
logstash.confの解説(5/6)
date{
match => [ "timestamp", "yyyy-MM-dd HH:mm:ss" ]
remove_field => [ "message", "host", "timestamp","date","time" ]
}
【説明】
date filterで「timestamp」に含まれる「yyyy-MM-dd HH:mm:ss」形式の日付を@timestampに利用
remove_fieldで不要なカラムをログデータから削除