Splunk で AWS 環境を分析する

Transcript

1. Splunk で AWS 環境を分析する 2024/7/11 アライアンス事業部 佐久間昇吾

2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

3. ⾃⼰紹介 3 佐久間 昇吾（Sakuma Shogo） アライアンス事業部 テクニカルグループ SaaS の SIEM

   製品を担当 • Splunk のブログ書いてます

4. アジェンダ 4 • ログ分析の重要性 • Splunk とは ◦ AWS データの収集⽅法

   ◦ 組み込みダッシュボードの紹介 ◦ Demo • まとめ • お知らせ

5. みなさん、 ログ分析していますか？ （挨拶） 5

6. ⽇本のセキュリティ脅威 6 サイバー攻撃は進化し続けて⾼度化、効率化している • RaaS の活発化、新出ランサムウェア • サプライヤー、サービスプロバイダの脆弱性 • 外部圧⼒、退職者などの情報漏洩

   • ニューノーマルを狙った攻撃 • DoS、DDoS などの標的型攻撃    脅威の現状を認識して対策することが必要 https://www.ipa.go.jp/security/10threats/10threats2024.html IPA 情報セキュリティ10⼤脅威 2024 より etc..

7. ⽇本を対象とした攻撃の増加 ポートスキャンも増加傾向 7 https://www.nict.go.jp/press/2024/02/13-1.html#kiji3 NICTER観測レポート2023 より

8. 攻撃者の戦術と技術を詳細に分類‧整理したナレッジベース 戦術（Tactics） ◦ 各フェーズにおける攻撃の⽬的 技術（Techniques） ◦ 戦術を達成するための⽅法や⼿法 ⼿順（Procedures） ◦ 攻撃者が技術をどのように実⾏するか

   MITER ATT&CK 8 https://attack.mitre.org/ TTP = 攻撃者の⾏動を理解し、 防御を強化するための重要な概念

9. ATT&CK Matrix for Enterprise 9 目的に対するアクション 攻撃の目的の完了 足がかりの構築 環境への確実で持続的な アクセスの確保

   初期侵害 初期アクセスを可能にす る弱点の特定と利用 攻撃 意図した被害者への 攻撃に送信 偵察 標的の技術、人、プロセ スについての調査 水平移動 権限の昇格と追加のシ ステムの侵害 攻撃の深度

10. 痛みのピラミッド（Pyramid of Pain） 10 Sqrrl社 David Biancco http://detect-respond.blogspot.com/2013/03/ the-pyramid-of-pain.html

11. 統合的なセキュリティフレームワーク NIST CSF v2.0 11 統治(New) 特定 防御 検知 対応

    復旧 インシデント対応 被害の最⼩化 インシデントの復旧 業務の早期再開 資産/リスク/脅威の 特定 全体のセキュリティ 状況の把握 セキュリティ対策 システム/資産を保護 異常やインシデント の迅速な検知

12. 各サービス‧製品をプロットすると .. 統治(New) 特定 防御 検知 対応 復旧 AWS WAF

    AWS Shield SIEM（Splunk, AWS OSS）や、SOAR NIST CSF v2.0 12 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup

13. 検知→？？？ 統治(New) 特定 防御 検知 対応 復旧 AWS WAF AWS

    Shield SIEM（Splunk, AWS OSS）や、SOAR NIST CSF v2.0 13 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup

14. 実は、     が結構、分かれ道です。 検知した内容は、攻撃者が残した単⼀のイベントです。 検知したイベントをもとにその前後イベントや、イベントの 発⽣回数、アクセス元やその経路などを分析することで、 攻撃者の⾏動特性（TTP）に対処して、環境への侵⼊‧侵害 を防げる可能性が上がります。 答えは「いいえ」です。 14 検知

15. そこで、SIEM の出番です。 統治(New) 特定 防御 検知 対応 復旧 AWS WAF

    AWS Shield SIEM（Splunk, AWS OSS）や、SOAR NIST CSF v2.0 15 AWS Secrets Manager Amazon GuardDuty Amazon CloudWatch AWS CFn AWS Config AWS Organizations AWS CloudTrail AWS KMS AWS Security Hub AWS IAM AWS Lambda + AWS Step Functions AWS Systems Manager AWS Backup

16. 分析ユースケース⼀例 • 特定のイベントの分析 → インシデントの早期対応 ◦ 例）Windows のプロセス起動など、仮定しておける攻撃の痕跡を検出 • 相関分析でリソース間のイベントを分析

    → 攻撃パスの特定 ◦ 例）攻撃の進⾏経路やその⼿法を知り、適切な対策を講じる • 統計分析で特定のイベント増減を分析 → 異常なトレンドの検出 ◦ 例）DDoS攻撃、不審なログイン試⾏、システム障害の検知 • 前後イベントの分析 → 新出 or 発⽣しなくなったイベントの検出 ◦ 例）システム更新、パッチ適⽤後の変化 • 平時と異なる⾏動を外れ値検出 → 内部脅威の特定 ◦ 例）ユーザーやシステムの⾏動から、内部不正や未知の攻撃を検出 16 etc ..

17. SIEM で得られた結果は「検知/対応/復旧」以外にも活かせる 統治(New) NIST CSF v2.0 17 特定 防御 検知

    対応 復旧 WAF ルール⾒直しなど

18. でも、 分析するにも⾊々課題が .. 18

19. ログ分析の懸念点 • マルチアカウント環境で、画⾯を⾏ったり来たり • リソースが分散してたり、サイロ化してて視認性が低い • クエリの書き⽅など、ナレッジが蓄積しにくい • そもそも、何を分析したらいいのか分からない 19

20. その課題、 SaaS 型 SIEM で解決できます 20

21. • マルチアカウントで、画⾯を⾏ったり来たり • リソースが分散してたり、サイロ化してて視認性が低い • クエリの書き⽅など、ナレッジが蓄積しにくい • そもそも、何を分析したらいいのか分からない SaaS 型

    SIEM という選択肢 21 → １つのプラットフォームで全アカウント分析をできる → データソースやタグ、専⽤ダッシュボードで把握できる → 共通のプラットフォームでナレッジが蓄積しやすい → 分析を⽀援する機能や観点が豊富にある

22. とは 22

23. Splunk とは データプラットフォームをメインとしたエコシステム • 様々なデータを収集 • リアルタイムに検索分析/可視化を⾏う • Security /

    Performance / o11y / Cost / Compliance / etc • 全世界で 1万社 + が利⽤ • Gartner が Splunk を 10年連続でリーダー認定 • SIEM 市場で３割 + の企業が Splunk を活⽤ • SaaS 型 SIEM として、Splunk Cloud を提供 23 2024 Gartner® Magic Quadrant™ for SIEM より https://www.splunk.com/ja_jp https://www.splunk.com/en_us/form/gart ner-siem-magic-quadrant.html

24. Splunk Cloud の特徴 クラウドネイティブな SaaS 型 SIEM 製品 • AWS、Google

    Cloud 上で稼働し、シングルテナントでご提供 • オンプレミス / クラウド / その他 SaaS など、様々なデータを収集 • ⼤規模データ、突発的なデータの増加にも対応 • データのAZ 間レプリケーションや転送時の負荷分散による⾼可⽤性 • データ転送時の暗号化および、必要に応じて保存時も暗号化 • 検索層の負荷分散による検索の⾼速化 • RBAC でアクセス制御。チームや組織など⼤規模運⽤も可能 24 https://www.splunk.com/ja_jp/blog/platform/face-the-unexpected-with-the-stability-and-resiliency-of-splunk-cloud-platform.html いろいろとハイスペック、そしてハイパワー。それが

25. 各種コンプライアンスに準拠 • SOC 2 Type 2 • ISO 27001 •

    PCI • GDPR • HIPPA • FedRAMP (Moderate Impact Level) 25

26. AWS 環境のデータ収集 26

27. エージェント型 • Splunk 製の軽量なエージェントでログ送信 エージェントレス型（Push / Pull） • Push-based: データソースからデータをSplunkに送信

    • Pull-based: Splunk がデータソースからデータを取得 AWS と Splunk 間の信頼アカウントの作成 • 必要に応じて IAM ポリシー、ロール権限、Lambda や EventBridge など   定期的/リアルタイムにデータを収集 ⽤途に合わせたデータ収集⽅式 27

28. Data Manager データ収集を⾼速化 Data Manager とは • クラウドのデータ取り込みを簡略化 • 対象：AWS、Google

    Cloud、Azure リソース AWS の場合 .. • 取り込むデータソースを指定 • Data Manager がデータ収集に必要なリソースの CFn テンプレートを作成 • CFn テンプレートを対象の AWS 環境で展開    ログ収集の開始 28 Data Manager

29. 組み込みダッシュボードの紹介 29

30. クエリを書いてデータを可視化したもの 可視化によって、⾒たいデータをすぐに把握でき、調査にかかる時間を削減する 他にも、アラートの優先度付け、報告⽤レポート、コンプライアンス準拠へ ダッシュボードとは 30 ログ検索画⾯ ダッシュボード

31. 豊富な組み込みダッシュボード Splunkbase には、データの収集、分析、可視化を⽀援する多数の Add-on や App が揃ったリポジトリが存在します。 • クエリを使わず、App で簡単にログを可視化

    31 導⼊初期から、データ収集 → 分析 → 可視化を迅速化する https://splunkbase.splunk.com/apps Add-on が⽀援 App が⽀援

32. デモ • データ収集 • ダッシュボードで分析 32

33. App デモ: InfoSec VPC Flow Logs の利⽤状況を可視化 よくアクセスされるホストをドリルダウン 33

34. • T1110: Brute Force を分析 App デモ: Splunk Security Essentials

    34 未確認のテクニックも確認 極度に認証に失敗している ユーザのリスト Brute Force 攻撃を４件確認

35. Splunk Security Essentials セキュリティ監視、脅威検知、インシデント対応の App • Splunkbase で最もダウンロード数が多い App •

    数百のセキュリティユースケースを提供 • サンプルアラートのテンプレートを提供 • 最新のセキュリティトレンドに基づいた ベストプラクティスを提供 • 規制遵守のためのレポートと 監査ログを⽣成   セキュリティチームや経営層が迅速に状況を把握し、適切な意思決定に 35 https://www.splunk.com/ja_jp/products/cyber-security-essentials.html

36. Splunk Security Essentials ランサムウェアテクニック TOP 10 T1486: Data Encrypted for

    Impact T1490: Inhibit System Recovery T1027: Obfuscated Files or Information T1047: Windows Management Instrumentation T1036: Masquerading T1059: Command and Scripting Interpreter T1562: Impair Defenses T1112: Modify Registry T1204: User Execution T1055: Process Injection （https://top-attack-techniques.mitre-engenuity.org/） 36 Splunk Security Essentials （https://www.splunk.com/ja_jp/blog/security/using-mitre-att-ck-in-splunk-security-essentials.html） MITER ATT&CK Framework

37. Splunkbase 37 https://splunkbase.splunk.com/apps 2100 +

38. まとめ 38

39. Splunk Cloud は クラウドネイティブ！そして .. • ⾼い可⽤性 ◦ ⼤規模データ、突発的なデータの増加にも対応 ◦

    データのAZ 間レプリケーションや転送時の負荷分散による⾼可⽤性 • あらゆるデータを簡単に収集 ◦ オンプレミス / クラウド / その他 SaaS など ◦ Add-on や、Data Manager などのデータ収集を⽀援する機能がある • 豊富な App で⾼カバレッジなダッシュボード ◦ Security / Performance / Observability / Cost / Compliance / etc ..    スムーズに導⼊することができ、App ですぐ⾼度な分析を始められる 39

40. お知らせ 40

41. Splunk のことなら、Classmethodへ！ • SIEM 製品の豊富な導⼊実績 • Splunk 導⼊→運⽤もサポート • DevelopersIO

    ブログも!! → ◦ Splunk の使い⽅や活⽤⽅ ◦ App の⾒⽅ ◦ クエリの書き⽅ ◦ 分析観点など 41 https://dev.classmethod.jp/tags/splunk/

42. 導⼊⽀援メニュー 42 ログ分析を含むセキュリティは、継続的に運⽤、改善していくことが重要です。 こんな お悩み ありませんか？ 導⼊フェーズ • ツールの使い⽅やベストプラクティスについて学びたいが、どこから始めたらいいか分からないし、時 間がかかりそう

    • 代表的なログ取り込み⽅法について教えてほしい • 運⽤ユースケース開発のコツや、アラート作成のコツについて教えてほしい 運⽤フェーズ • 導⼊時のユースケースから広がりがなくデータの利活⽤が進んでいない • ログ分析に関する新たなニーズに対応したいが何から取り組んだらいいか分からない • ⾃社固有の環境を理解してもらった上で、ログの取り込み⽅法などについて相談したい

43. 導⼊⽀援メニュー 43 ⽀援項⽬ 概要 オンボーディング⽀援 Splunk を構築‧運⽤するための必須の知識を学ぶためのハンズオントレーニングを提供します。ト レーニングに加え、データ取り込み‧運⽤ユースケースの開発を伴⾛型で⽀援し、お客様の早期運⽤ 開始を⽬指します。 構築⽀援

    ログ分析に関わるお客様ごとの課題に応じた、要件定義から設計、環境構築、ダッシュボード構築や アラートの設定など、運⽤開始までの構築作業をワンストップで⽀援いたします。 運⽤技術⽀援 お客様の運⽤フェーズの中で、⽇々変化するデータに対する分析⽅法を提案します。ログ分析活⽤の 中期計画において、運⽤の⾒直しとログ活⽤の成熟度を向上するための⽀援を⾏います。 導⼊ ⾼度な データ利活⽤ データ利活⽤初期 導⼊フェーズ 運⽤フェーズ オンボーディング⽀援 運⽤技術⽀援 構築⽀援

44. 以上です！ ご聴講ありがとうございました！ 44

45. None
46. None