Enviar búsqueda
Cargar
SIEMやログ監査で重要な事
•
Descargar como PPTX, PDF
•
4 recomendaciones
•
994 vistas
H
hogehuga
Seguir
SIEMやログ監査で重要な事 -導入時に気をつける事 OWASP Kansai Local Chapter
Leer menos
Leer más
Ingeniería
Denunciar
Compartir
Denunciar
Compartir
1 de 15
Descargar ahora
Recomendados
Vacuum徹底解説
Vacuum徹底解説
Masahiko Sawada
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
ロードバランスへの長い道
ロードバランスへの長い道
Jun Kato
大規模分散システムの現在 -- Twitter
大規模分散システムの現在 -- Twitter
maruyama097
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
雑なMySQLパフォーマンスチューニング
雑なMySQLパフォーマンスチューニング
yoku0825
Recomendados
Vacuum徹底解説
Vacuum徹底解説
Masahiko Sawada
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
ロードバランスへの長い道
ロードバランスへの長い道
Jun Kato
大規模分散システムの現在 -- Twitter
大規模分散システムの現在 -- Twitter
maruyama097
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
雑なMySQLパフォーマンスチューニング
雑なMySQLパフォーマンスチューニング
yoku0825
MQTTとAMQPと.NET
MQTTとAMQPと.NET
terurou
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
yoku0825
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
ユーザーストーリーの分割
ユーザーストーリーの分割
Arata Fujimura
Baremetal openstackのご紹介
Baremetal openstackのご紹介
VirtualTech Japan Inc.
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
GitLab から GitLab に移行したときの思い出
GitLab から GitLab に移行したときの思い出
富士通クラウドテクノロジーズ株式会社
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
株式会社MonotaRO Tech Team
アプリを成長させるためのログ取りとログ解析に必要なこと
アプリを成長させるためのログ取りとログ解析に必要なこと
Takao Sumitomo
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開
Yahoo!デベロッパーネットワーク
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
Oss貢献超入門
Oss貢献超入門
Michihito Shigemura
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
hogehuga
Más contenido relacionado
La actualidad más candente
MQTTとAMQPと.NET
MQTTとAMQPと.NET
terurou
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
yoku0825
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
ユーザーストーリーの分割
ユーザーストーリーの分割
Arata Fujimura
Baremetal openstackのご紹介
Baremetal openstackのご紹介
VirtualTech Japan Inc.
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
GitLab から GitLab に移行したときの思い出
GitLab から GitLab に移行したときの思い出
富士通クラウドテクノロジーズ株式会社
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
株式会社MonotaRO Tech Team
アプリを成長させるためのログ取りとログ解析に必要なこと
アプリを成長させるためのログ取りとログ解析に必要なこと
Takao Sumitomo
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開
Yahoo!デベロッパーネットワーク
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
Oss貢献超入門
Oss貢献超入門
Michihito Shigemura
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
La actualidad más candente
(20)
MQTTとAMQPと.NET
MQTTとAMQPと.NET
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
ユーザーストーリーの分割
ユーザーストーリーの分割
Baremetal openstackのご紹介
Baremetal openstackのご紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
GitLab から GitLab に移行したときの思い出
GitLab から GitLab に移行したときの思い出
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
アプリを成長させるためのログ取りとログ解析に必要なこと
アプリを成長させるためのログ取りとログ解析に必要なこと
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Oss貢献超入門
Oss貢献超入門
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Similar a SIEMやログ監査で重要な事
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
hogehuga
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
Typhon 666
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
sakura.io体験ハンズオン
sakura.io体験ハンズオン
法林浩之
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
Typhon 666
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
Yasunari Momoi
せきゅぽろ ~道はつながっている~
せきゅぽろ ~道はつながっている~
Panda Yamaki
ログ勉 Vol.1
ログ勉 Vol.1
Kenji Kobayashi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
30分で知るTwilio 2016
30分で知るTwilio 2016
Sakae Saito
Twilioが動いているところを見てみよう(仮)
Twilioが動いているところを見てみよう(仮)
Sakae Saito
てのひらサイズで学べるか!?「認証の三要素」
てのひらサイズで学べるか!?「認証の三要素」
NISHIHARA Shota
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
大学生のTwitter利用に関する定量分析―利用目的とサービス設計の関係―
大学生のTwitter利用に関する定量分析―利用目的とサービス設計の関係―
Hisao Soyama
NGA2015におけるユーザの情報収集と回遊行動の分析
NGA2015におけるユーザの情報収集と回遊行動の分析
Wakayama University
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
法林浩之
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-
Typhon 666
Similar a SIEMやログ監査で重要な事
(20)
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
最近のやられアプリを試してみた
最近のやられアプリを試してみた
sakura.io体験ハンズオン
sakura.io体験ハンズオン
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
せきゅぽろ ~道はつながっている~
せきゅぽろ ~道はつながっている~
ログ勉 Vol.1
ログ勉 Vol.1
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
30分で知るTwilio 2016
30分で知るTwilio 2016
Twilioが動いているところを見てみよう(仮)
Twilioが動いているところを見てみよう(仮)
てのひらサイズで学べるか!?「認証の三要素」
てのひらサイズで学べるか!?「認証の三要素」
20210404_SECURITY_MELT
20210404_SECURITY_MELT
大学生のTwitter利用に関する定量分析―利用目的とサービス設計の関係―
大学生のTwitter利用に関する定量分析―利用目的とサービス設計の関係―
NGA2015におけるユーザの情報収集と回遊行動の分析
NGA2015におけるユーザの情報収集と回遊行動の分析
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-
Más de hogehuga
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
hogehuga
水風呂道
水風呂道
hogehuga
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
hogehuga
最近のドローン界隈(仮)
最近のドローン界隈(仮)
hogehuga
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
hogehuga
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
hogehuga
Drone collection2019
Drone collection2019
hogehuga
ハラスメントについて
ハラスメントについて
hogehuga
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
hogehuga
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
hogehuga
Vuls祭りvol3
Vuls祭りvol3
hogehuga
Honypotのログを見る
Honypotのログを見る
hogehuga
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
hogehuga
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
hogehuga
20170408 securiy-planning
20170408 securiy-planning
hogehuga
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
hogehuga
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
hogehuga
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
hogehuga
(Vulsで)脆弱性対策をもっと楽に!
(Vulsで)脆弱性対策をもっと楽に!
hogehuga
東京オリンピックに向けた、サイバーテロ対策
東京オリンピックに向けた、サイバーテロ対策
hogehuga
Más de hogehuga
(20)
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
水風呂道
水風呂道
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
最近のドローン界隈(仮)
最近のドローン界隈(仮)
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
Drone collection2019
Drone collection2019
ハラスメントについて
ハラスメントについて
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
Vuls祭りvol3
Vuls祭りvol3
Honypotのログを見る
Honypotのログを見る
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
20170408 securiy-planning
20170408 securiy-planning
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
(Vulsで)脆弱性対策をもっと楽に!
(Vulsで)脆弱性対策をもっと楽に!
東京オリンピックに向けた、サイバーテロ対策
東京オリンピックに向けた、サイバーテロ対策
SIEMやログ監査で重要な事
1.
SIEMやログ監査で重要な事 -導入時に気を付けること- 2019/06/15 井上圭
2.
About Me • お前誰よ? –
井上圭 tw:hogehuga – 千葉県民 • コミュニティ – 脆弱性対応研究会/脆弱性対応勉強協会 • https://zeijyakuseitaioukenkyukai.connpass.com/ – IoTSecJP東京 運営 • https://iotsecjp.connpass.com/ – Vulsユーザ会 運営 • https://vuls.io/ – OWASP membership – OWASP Nagoya立ち上げから参加してます!(参加) • 仕事 – シニア コンサルタントという肩書 – 脆弱性対応アドバイス • 趣味 – 脆弱性情報の観察 – インシデントの観察 – ハニーポットの観察 – ドローンセキュリティ – 水風呂、サウナ チャリバイクで来た (帰りがツラい) 関東で、仕事や勉強会などで • ドローンのセキュリティ • 脆弱性対応 の話をしています
3.
本日は、ログ監査やSIEMについての知見を共有したいと思います。 • ログ監査の背景 – ログ監査の重要性 –
ログ監査とは – 相関分析 – SIEMについて • 最近の風潮 – よくあるパターン • 導入の実際 – 対象の決定 – 手法の確認 – 内製化か、ベンダ製品か • ベストプラクティスと注意すべきこと 本内容は個人の意見であり、所属企業・部門見解ではありません。
4.
ログ監査の背景 ログ監査の重要性 • そもそもログとは – 動作の記録であり、発生した事象の記録 –
記録の粒度は設定が必要 • デフォルトではログが出ない、特定のログだけ出る、古いものから削除される、etc • ログでできること – 過去に起こった事象の確認 – 過去の傾向からの、将来予測 – 法的保存義務の履行 何らかの問題が発生した場合、過去の状況を確認するためにはログの出力 /保存が必要 • 法的保存期間、実務要求での保存期間 • 必要な粒度でのログ出力 • 保存されたログを分析することで、何があったのかを洗い出す
5.
ログ監査の背景 ログ監査 • ログ自体をそのまま見ても、発生した事象を 認識するのは難しい – どの場合に、どのようなログが出るのか、という 知識が必要 –
そもそも、ログそのままだと、見づらい – ログはシステムごとに出るため、状況によりログ が出る場所が異なることになる
6.
ログ監査の背景 相関分析 • 単一のシステムではなく、複数システムのログをまと めてみることで、状況を把握する。 – WEBアクセスでファイルを取得する場合 •
クライアントの操作ログ • Proxyサーバへのアクセスログ(レピュテーション情報) • Firewallでのアクセスログ • 戻り通信のFirewallでのログ • 戻り通信のサンドボックスでのログ • クライアントへのファイルアクセスログ – これらを時系列でみることで、どのような通信が行われた のか、状況を再現可能 • これらを簡単にできるような仕組みが、SIEM
7.
ログ監査の背景 SIEMについて • 複数のログを正規化して保存し相互に参照することで、脅威の発見を手 助けや自動化するためのツール • オープンソースなもの、商用のもの、インシデント発見に特化したものが ある –
オープンソース • e.g.) ElasticStack – 商用の物 • e.g.) Splunk、セキュリティベンダ提供のSIEM • 違いは何か – オープンソースのものは、すべて自分自身での設定が必要 • ログに対する知識、脅威に対する知識が必要 – 商用のものは、デフォルトの設定ルールが多数搭載されている。 • 各種ログに対応した、正規化ルール(apache httpd, sendmail, etc..) • 特定の脅威の検出やアラートの自動化機能が豊富 • とりあえずは知識が無くても設定、検出ができる
8.
最近の風潮 よくあるパターン • 「情報漏洩等があるから、SIEMというやつを入れよう」 – セキュリティ担当者は、いない場合が多い –
当然、脅威に対する専門知識も少ない – 費用はかけたくないが、効果を最大限得たい – 既存の運用チームで対応させればよい とりあえず入れるという流れになりがち。 入れたはいいが、運用がうまくいかないパターンも多いようだ。 運用が軌道に乗ったパターンを基に、原因を考えてみる。
9.
導入の実際 そもそも、SIEMはどのように構築していくか。 以下のフェーズごとに確認する。 • 対象の決定 • 手法の決定 •
使う製品の決定 • 構築 • 運用
10.
導入の実際 対象の決定 • 対象となる「ログ」ではなく、「何を監査するか」という対象 =対象とする脅威の定義 – ここが疎かになるパターンが多いと推定される –
例えば • クライアントのマルウェア感染時に追跡をする • WEBシステムへの攻撃を検出したい • 内部ユーザの不正操作を検出したい • etc… • 上記監査目的に対して、ブレークダウンを行う – クライアントマルウェア感染の追跡であれば • 標的型攻撃のもの(メール添付ファイルによる感染) – pdf, word, excel, 拡張子偽装のbatやexe • WEBから落とした、マルウェアに感染したファイルの実行によるもの – zipファイルダウンロード後、展開したexeで観戦 • Wannacryの横展開の感染 – EternalBlueによる脆弱性、同一サブネット内への異常な通信増加 – 内部ユーザ不正操作の検出であれば • 不正操作、の定義 – sudo失敗、権限のないファイルへのアクセス試行、特定の管理コマンドの利用
11.
導入の実際 手法の決定 • 定義した脅威に対して、どのように検知するのか、検知のために変更が必要 なのか、を検討 – 例えばクライアントのマルウェア感染検出 •
実行形式ファイルの実行の記録 – プロセスの監査設定→監査の設定の変更が必要 – 監査設定後のログ出力→該当するイベントIDの確認 • 感染後のC&Cサーバへの通信記録 – WEB通信のログ→proxyの設置、ログ出力 – セキュリティproxyでのレピュテーションログ→proxyの通知設定 • 感染後によく使われるコマンドの検出 – 対象となるコマンドの理解→tasklist, ver, ipconfig, systeminfo etc.. – プロセス監査で上記コマンドでフィルタ • 通信状況の記録 – FirewallやUTMでの通信記録→syslog等でのログ出力設定、出力粒度設定 • 上記の設定の、現状値と、変更必要性の確認 – そもそもログが出力されているか – 現状の設定で、必要な項目が出力されるか – ログ出力設定変更をした場合、どの程度の影響が想定されるか – ログの量はどの程度になるのか。 • 特定期間の出力量概要を確認し、ストレージが保存期間分耐えられるかを検討
12.
導入の実際 使う製品の検討 • オープンソース – 設定をするだけの技術があるか •
自社で構築、運用ができるか • 構築を外部に依頼し、運用者への教育も依頼し、自社で運用する • 構築や運用を外部に委託する=SOC – 運用開始後に調整はできるか • 手法や監査項目への理解が必要 • 利用データベースのチューニング知識が必要 – 自動化のための項目検討 • 検出閾値、検出時の動作、などの定義 • 商用製品 – 設定の簡略化 • 多彩なデフォルト設定ルール – 運用の簡略化 • SOCサービスと連携した製品も多い
13.
ベストプラクティスと注意点 ベストプラクティス • 自力で導入できるか、外部に導入を依頼するか – 外部に依頼する場合も、何を検出するのかやどのように動作するかの理解する必要あり –
自力で導入する場合は、最初から完全を目指さず、特定の脅威に対して確実に検出できるように進める。 種類は後で増やす戦略。 • 脅威の想定をする – まずは一般的な設定で構築し、運用の成熟共に徐々に対象脅威を追加していく – 導入前に、脅威とそれに対する検出手法などを別途学習しておく • スモールスタートも視野に入れる – オープンソースのSIEMを導入し、効果が確認できる/運用できるように成熟したら、より高度なことをするた めに商用製品を導入する、など – 無いよりはあったほうが良い、という考えもある • 過度な自動化を期待しない – 自動で検出ができるものも多いが、それを基に詳細を掘り下げていくのは人間でしかできない。また、掘り 下げるための知識も必要。 – 導入したら終わりではない。状況に合わせて検出方法や確認方法を変更していく必要がある。 • アプリケーションやシステムの構築段階から、ログ監査を検討しておく – アプリケーション側でログが出ない、出すぎていて保存するのが難しい、などの状況が発生しやすい。
14.
ベストプラクティスと注意点 注意点 • SIEMは、本当に必要か? – 運用にはそれなりの「ログに対する」知識が必要 –
後で追跡するだけなら「ログが残っている」だけでよい • 相関や即時性はそこまで必要がない – 必要なら、「運用する人」を作る • 対象とする脅威やインシデントに対する知識が必要 • SIEMを「作る人」を得るのは、容易い • 保存期間に根拠はあるか – 法的要件、業界暗黙要件、運用上の要件。最低保存期間を決める – とりあえず期間決めずに保存、は破綻しやすい – 果てなくログを残すには、人生には余りにもディスクが足りない – SIEMに残すのではなく、syslogで圧縮で残す(text扱いで99%の圧縮率) • ログが必要のが出ていないことが多い – どのシステムの、どのようなログが必要か、を洗い出す – 大体のシステムにおいて、ログは抑制気味。有限のディスクスペース。 – 必要なものを必要なだけ出す。必要なら変更をする。変更できないなら代替えの手段を用意 する。
15.
まとめ まとめると • まずはやってみる • まずは必要な要件を決める •
ログに残すべき情報を決める • ログを残す • 分析する • SIEMに手を出してみる • 「何を検出したいか」を明確にする – 「ウイルスにやられたのを検知したい」 • 「ウイルス」とは?+「やられた」とは?+「検知」して何をしたいのか? – 「攻撃とは」「マルウェアとは」「…とは」 • 敵を知り己を知ればインシデント対応危うからず • SIEMにこだわらない – 手段と目的を間違えない – ログを、sed, grep, awk, pythonなどで処理するだけでも良い場合がある – 導入コスト、運用コスト(機器、人員)、得られる効果、を検討 – 必要な場合は、投資から逃げない
Descargar ahora