Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Splunk で AWS 環境を分析する

SakumaShogo
July 11, 2024
290

Splunk で AWS 環境を分析する

SakumaShogo

July 11, 2024
Tweet

Transcript

  1. アジェンダ 4 • ログ分析の重要性 • Splunk とは ◦ AWS データの収集⽅法

    ◦ 組み込みダッシュボードの紹介 ◦ Demo • まとめ • お知らせ
  2. ⽇本のセキュリティ脅威 6 サイバー攻撃は進化し続けて⾼度化、効率化している • RaaS の活発化、新出ランサムウェア • サプライヤー、サービスプロバイダの脆弱性 • 外部圧⼒、退職者などの情報漏洩

    • ニューノーマルを狙った攻撃 • DoS、DDoS などの標的型攻撃    脅威の現状を認識して対策することが必要 https://www.ipa.go.jp/security/10threats/10threats2024.html IPA 情報セキュリティ10⼤脅威 2024 より etc..
  3. ATT&CK Matrix for Enterprise 9 目的に対するアクション 攻撃の目的の完了 足がかりの構築 環境への確実で持続的な アクセスの確保

    初期侵害 初期アクセスを可能にす る弱点の特定と利用 攻撃 意図した被害者への 攻撃に送信 偵察 標的の技術、人、プロセ スについての調査 水平移動 権限の昇格と追加のシ ステムの侵害 攻撃の深度
  4. 統合的なセキュリティフレームワーク NIST CSF v2.0 11 統治(New) 特定 防御 検知 対応

    復旧 インシデント対応 被害の最⼩化 インシデントの復旧 業務の早期再開 資産/リスク/脅威の 特定 全体のセキュリティ 状況の把握 セキュリティ対策 システム/資産を保護 異常やインシデント の迅速な検知
  5. 各サービス‧製品をプロットすると .. 統治(New) 特定 防御 検知 対応 復旧 AWS WAF

    AWS Shield SIEM(Splunk, AWS OSS)や、SOAR NIST CSF v2.0 12 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup
  6. 検知→??? 統治(New) 特定 防御 検知 対応 復旧 AWS WAF AWS

    Shield SIEM(Splunk, AWS OSS)や、SOAR NIST CSF v2.0 13 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup
  7. そこで、SIEM の出番です。 統治(New) 特定 防御 検知 対応 復旧 AWS WAF

    AWS Shield SIEM(Splunk, AWS OSS)や、SOAR NIST CSF v2.0 15 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup
  8. 分析ユースケース⼀例 • 特定のイベントの分析 → インシデントの早期対応 ◦ 例)Windows のプロセス起動など、仮定しておける攻撃の痕跡を検出 • 相関分析でリソース間のイベントを分析

    → 攻撃パスの特定 ◦ 例)攻撃の進⾏経路やその⼿法を知り、適切な対策を講じる • 統計分析で特定のイベント増減を分析 → 異常なトレンドの検出 ◦ 例)DDoS攻撃、不審なログイン試⾏、システム障害の検知 • 前後イベントの分析 → 新出 or 発⽣しなくなったイベントの検出 ◦ 例)システム更新、パッチ適⽤後の変化 • 平時と異なる⾏動を外れ値検出 → 内部脅威の特定 ◦ 例)ユーザーやシステムの⾏動から、内部不正や未知の攻撃を検出 16 etc ..
  9. • マルチアカウントで、画⾯を⾏ったり来たり • リソースが分散してたり、サイロ化してて視認性が低い • クエリの書き⽅など、ナレッジが蓄積しにくい • そもそも、何を分析したらいいのか分からない SaaS 型

    SIEM という選択肢 21 → 1つのプラットフォームで全アカウント分析をできる → データソースやタグ、専⽤ダッシュボードで把握できる → 共通のプラットフォームでナレッジが蓄積しやすい → 分析を⽀援する機能や観点が豊富にある
  10. Splunk とは データプラットフォームをメインとしたエコシステム • 様々なデータを収集 • リアルタイムに検索分析/可視化を⾏う • Security /

    Performance / o11y / Cost / Compliance / etc • 全世界で 1万社 + が利⽤ • Gartner が Splunk を 10年連続でリーダー認定 • SIEM 市場で3割 + の企業が Splunk を活⽤ • SaaS 型 SIEM として、Splunk Cloud を提供 23 2024 Gartner® Magic Quadrant™ for SIEM より https://www.splunk.com/ja_jp https://www.splunk.com/en_us/form/gart ner-siem-magic-quadrant.html
  11. Splunk Cloud の特徴 クラウドネイティブな SaaS 型 SIEM 製品 • AWS、Google

    Cloud 上で稼働し、シングルテナントでご提供 • オンプレミス / クラウド / その他 SaaS など、様々なデータを収集 • ⼤規模データ、突発的なデータの増加にも対応 • データのAZ 間レプリケーションや転送時の負荷分散による⾼可⽤性 • データ転送時の暗号化および、必要に応じて保存時も暗号化 • 検索層の負荷分散による検索の⾼速化 • RBAC でアクセス制御。チームや組織など⼤規模運⽤も可能 24 https://www.splunk.com/ja_jp/blog/platform/face-the-unexpected-with-the-stability-and-resiliency-of-splunk-cloud-platform.html いろいろとハイスペック、そしてハイパワー。それが
  12. 各種コンプライアンスに準拠 • SOC 2 Type 2 • ISO 27001 •

    PCI • GDPR • HIPPA • FedRAMP (Moderate Impact Level) 25
  13. エージェント型 • Splunk 製の軽量なエージェントでログ送信 エージェントレス型(Push / Pull) • Push-based: データソースからデータをSplunkに送信

    • Pull-based: Splunk がデータソースからデータを取得 AWS と Splunk 間の信頼アカウントの作成 • 必要に応じて IAM ポリシー、ロール権限、Lambda や EventBridge など   定期的/リアルタイムにデータを収集 ⽤途に合わせたデータ収集⽅式 27
  14. Data Manager データ収集を⾼速化 Data Manager とは • クラウドのデータ取り込みを簡略化 • 対象:AWS、Google

    Cloud、Azure リソース AWS の場合 .. • 取り込むデータソースを指定 • Data Manager がデータ収集に必要なリソースの CFn テンプレートを作成 • CFn テンプレートを対象の AWS 環境で展開    ログ収集の開始 28 Data Manager
  15. • T1110: Brute Force を分析 App デモ: Splunk Security Essentials

    34 未確認のテクニックも確認 極度に認証に失敗している ユーザのリスト Brute Force 攻撃を4件確認
  16. Splunk Security Essentials セキュリティ監視、脅威検知、インシデント対応の App • Splunkbase で最もダウンロード数が多い App •

    数百のセキュリティユースケースを提供 • サンプルアラートのテンプレートを提供 • 最新のセキュリティトレンドに基づいた ベストプラクティスを提供 • 規制遵守のためのレポートと 監査ログを⽣成   セキュリティチームや経営層が迅速に状況を把握し、適切な意思決定に 35 https://www.splunk.com/ja_jp/products/cyber-security-essentials.html
  17. Splunk Security Essentials ランサムウェアテクニック TOP 10 T1486: Data Encrypted for

    Impact T1490: Inhibit System Recovery T1027: Obfuscated Files or Information T1047: Windows Management Instrumentation T1036: Masquerading T1059: Command and Scripting Interpreter T1562: Impair Defenses T1112: Modify Registry T1204: User Execution T1055: Process Injection (https://top-attack-techniques.mitre-engenuity.org/) 36 Splunk Security Essentials (https://www.splunk.com/ja_jp/blog/security/using-mitre-att-ck-in-splunk-security-essentials.html) MITER ATT&CK Framework
  18. Splunk Cloud は クラウドネイティブ!そして .. • ⾼い可⽤性 ◦ ⼤規模データ、突発的なデータの増加にも対応 ◦

    データのAZ 間レプリケーションや転送時の負荷分散による⾼可⽤性 • あらゆるデータを簡単に収集 ◦ オンプレミス / クラウド / その他 SaaS など ◦ Add-on や、Data Manager などのデータ収集を⽀援する機能がある • 豊富な App で⾼カバレッジなダッシュボード ◦ Security / Performance / Observability / Cost / Compliance / etc ..    スムーズに導⼊することができ、App ですぐ⾼度な分析を始められる 39
  19. Splunk のことなら、Classmethodへ! • SIEM 製品の豊富な導⼊実績 • Splunk 導⼊→運⽤もサポート • DevelopersIO

    ブログも!! → ◦ Splunk の使い⽅や活⽤⽅ ◦ App の⾒⽅ ◦ クエリの書き⽅ ◦ 分析観点など 41 https://dev.classmethod.jp/tags/splunk/
  20. 導⼊⽀援メニュー 42 ログ分析を含むセキュリティは、継続的に運⽤、改善していくことが重要です。 こんな お悩み ありませんか? 導⼊フェーズ • ツールの使い⽅やベストプラクティスについて学びたいが、どこから始めたらいいか分からないし、時 間がかかりそう

    • 代表的なログ取り込み⽅法について教えてほしい • 運⽤ユースケース開発のコツや、アラート作成のコツについて教えてほしい 運⽤フェーズ • 導⼊時のユースケースから広がりがなくデータの利活⽤が進んでいない • ログ分析に関する新たなニーズに対応したいが何から取り組んだらいいか分からない • ⾃社固有の環境を理解してもらった上で、ログの取り込み⽅法などについて相談したい
  21. 導⼊⽀援メニュー 43 ⽀援項⽬ 概要 オンボーディング⽀援 Splunk を構築‧運⽤するための必須の知識を学ぶためのハンズオントレーニングを提供します。ト レーニングに加え、データ取り込み‧運⽤ユースケースの開発を伴⾛型で⽀援し、お客様の早期運⽤ 開始を⽬指します。 構築⽀援

    ログ分析に関わるお客様ごとの課題に応じた、要件定義から設計、環境構築、ダッシュボード構築や アラートの設定など、運⽤開始までの構築作業をワンストップで⽀援いたします。 運⽤技術⽀援 お客様の運⽤フェーズの中で、⽇々変化するデータに対する分析⽅法を提案します。ログ分析活⽤の 中期計画において、運⽤の⾒直しとログ活⽤の成熟度を向上するための⽀援を⾏います。 導⼊ ⾼度な データ利活⽤ データ利活⽤初期 導⼊フェーズ 運⽤フェーズ オンボーディング⽀援 運⽤技術⽀援 構築⽀援