Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sumo_Logic_でセキュリティ脅威分析をスマートに.pdf

Avatar for SakumaShogo SakumaShogo
August 25, 2023
Technology
0
720

 Sumo_Logic_でセキュリティ脅威分析をスマートに.pdf

SIEM 製品の Sumo Logic が持つサイバー攻撃への脅威ハンティング機能について、Sumo Logic のトレーニング環境を使ってデモを交えて紹介します。

Avatar for SakumaShogo

SakumaShogo

August 25, 2023
Tweet

More Decks by SakumaShogo

See All by SakumaShogo
Splunk で AWS 環境を分析する
Avatar for SakumaShogo cmsakumashogo
0
540
AKIBA.SaaS #3 - No.4
Avatar for SakumaShogo cmsakumashogo
0
760

Other Decks in Technology

See All in Technology
ロールが細分化された組織でSREと協働するインフラエンジニアは何をするか? / SRE Lounge #18
Avatar for Hajime KOSHIRO kossykinto
0
220
生成AI時代におけるAI・機械学習技術を用いたプロダクト開発の深化と進化 #BetAIDay
Avatar for LayerX layerx
PRO
1
1.2k
Telemetry APIから学ぶGoogle Cloud ObservabilityとOpenTelemetryの現在 / getting-started-telemetry-api-with-google-cloud
Avatar for 逆井(さかさい) k6s4i53rx
0
150
o11yツールを乗り換えた話
Avatar for tak0x00 tak0x00
2
1.4k
✨敗北解法コレクション✨〜Expertだった頃に足りなかった知識と技術〜
Avatar for nanachi nanachi
1
720
Eval-Centric AI: Agent 開発におけるベストプラクティスの探求
Avatar for Asei Sugiyama asei
0
120
AIのグローバルトレンド 2025 / ai global trend 2025
Avatar for kyonmm kyonmm
PRO
1
140
はじめての転職講座/The Guide of First Career Change
Avatar for Hiromu Shioya kwappa
4
3.7k
全員が手を動かす組織へ - 生成AIが変えるTVerの開発現場 / everyone-codes-genai-transforms-tver-development
Avatar for tohae tohae
0
180
Infrastructure as Prompt実装記 〜Bedrock AgentCoreで作る自然言語インフラエージェント〜
Avatar for Yusuke Shimizu yusukeshimizu
1
120
Backlog AI アシスタントが切り開く未来
Avatar for vvatanabe vvatanabe
1
130
僕たちが「開発しやすさ」を求め 模索し続けたアーキテクチャ #アーキテクチャ勉強会_findy
Avatar for 弁護士ドットコム bengo4com
0
2.4k

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
47
9.6k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
110
19k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.9k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
126
53k

Transcript

  1. でセキュリティ脅威分析をスマートに 2023/8/18 アライアンス事業部 佐久間昇吾 1

  2. 自己紹介 2 佐久間 昇吾(Sakuma Shogo) • アライアンス事業部 テクニカルグループ • セキュリティ系SaaS製品

    ◦ Sumo Logic を担当 ◦ 好きな機能:AppCatalog

  3. アジェンダ 3 1. セキュリティ脅威ハンティングと SIEM の重要性 ◦ 進化する巧妙なサイバー攻撃 ◦ サイバー攻撃について学ぶ

    ◦ SIEM とは? ◦ SIEM の重要性 ◦ まとめ 2. Sumo Logic について ◦ Sumo Logic の特徴 ◦ プラットフォームのご紹介 ▪ Continuous Intelligence Platform ▪ Cloud SIEM Enterprise ▪ Cloud SOAR ◦ まとめ

  4. セキュリティ脅威ハンティングと SIEM の重要性 4

  5. 進化する巧妙なサイバー攻撃 5 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html

  6. 進化する巧妙なサイバー攻撃 6 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック

  7. 進化する巧妙なサイバー攻撃 7 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0

    / 1 判定だけでは対処が難しい

  8. 進化する巧妙なサイバー攻撃 8 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0

    / 1 判定だけでは対処が難しい ニューノーマルな働き方

  9. 進化する巧妙なサイバー攻撃 9 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0

    / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加

  10. 進化する巧妙なサイバー攻撃 10 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0

    / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行

  11. 進化する巧妙なサイバー攻撃 11 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0

    / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行 絶え間なく開発されているサイバー攻撃の回避技術

  12. サイバー攻撃について学ぶ 12 攻撃プロセスと深度の理解:Matrices 各攻撃プロセスの達成目的を把握:Tactics 脅威ハンティングに必要なデータを選定:Data Sources 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups https://attack.mitre.org/

  13. サイバー攻撃について学ぶ 13 https://attack.mitre.org/ 目的に対する アクション 攻撃の目的の完了 足がかりの構築 環境への確実で持続的 なアクセスの確保 初期侵害

    初期アクセスを可能に する弱点の特定と利用 攻撃 意図した被害者へ の攻撃に送信 偵察 標的の技術、人、プロ セスについての調査 水平移動 権限の昇格と追加の システムの侵害

  14. 攻撃のプロセスと深度 14 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し

    ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  15. SIME とは? 15 SIEM(Security Information and Event Management) あらゆる製品のログを一元管理して、製品を横断した相関分析を行い、セキュリティイベントを監視する ことで、潜在的な脅威や異常なアクティビティを検出

    するログ分析基盤 相関分析とは、2つ以上のデータの関係性を調べる分析方法 SIEM に於いては、起こった事象の開始と終了及び、そのプロセスの全体像を把握 ➢ セキュリティ脅威の早期発見 ➢ 傾向データを用いて、事前にセキュリティを強化 ➢ セキュリティインシデントの迅速な対応

  16. 攻撃のプロセスと深度(再掲) 16 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し

    ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  17. SIEM の重要性 17 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  18. SIEM の重要性 18 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  19. SIEM の重要性 19 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  20. SIEM の重要性 20 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  21. SIEM の重要性 21 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  22. SIEM の重要性 22 $ net user /domain フィッシングメール の受信 C2サーバーを介し

    た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

  23. まとめ 23 攻撃を学ぶ(MITRE ATT&CK) ◦ 攻撃プロセスと深度の理解:Matrices ▪ 各攻撃プロセスの達成目的を把握:Tactics ◦ 脅威ハンティングに必要なデータを選定:Data

    Sources ◦ 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups SIEM(Security Information and Event Management) ◦ あらゆるログを一元管理 ◦ 製品を横断した相関分析を行い、サイバー攻撃を検出 ◦ 検知 → アラート通知 ◦ ログの可視化 検知 → 調査(分析)→ 対応を迅速かつ正確に行うために SIEM 製品の Sumo Logic をご紹介します。

  24. Sumo Logic について 24

  25. Sumo Logic の特徴 25 純 SaaS 型の SIEM / クラウドネイティブ

    ◦ プロビジョニング、スケーリングが不要 あらゆるログ、イベントデータを収集 ◦ オンプレ / クラウド、SaaS 製品 ◦ Log、Metric、Trace データに対応 ▪ o11y、APM、SLI / SLO、PCI DSS4.0 高度な分析機能 ◦ 機械学習、組み込みのダッシュボード ◦ CrowdStrike の脅威情報 チームでの活用を想定した設計 ◦ RBAC、コンテンツ共有 低コストな料金体系 ◦ データ量、保存期間に応じた課金体系

  26. プラットフォームのご紹介 26 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)

    Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

  27. プラットフォームのご紹介 27 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)

    Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

  28. Continuous Intelligence Platform(CIP) 28 ログの一元管理 / 柔軟な保存期間 ◦ 保存期間、転送、データ層 高度な分析機能

    ◦ LogReduce、LogCompare、CrowdStrike の脅威情報 豊富な組み込みダッシュボード ◦ AppCatalog シンプルなクエリ記法 ◦ | (パイプ)で区切る記法 定期的 / リアルタイムのアラート機能 ◦ Scheduled Search、Monitors 組織 / チームでの運用を前提としたアカウント管理 ◦ RBAC 制御、コンテンツ共有

  29. CIP Demonstration 29 • データ収集 • App Catalog

  30. プラットフォームのご紹介 30 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)

    Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

  31. Cloud SIEM Enterprise(CSE) 31 大量のアラートを自動相関分析 ◦ INSIGHT 化 ◦ MITRE

    ATT&CK に準拠したタグ付け、トリアージ 機械学習機能 ◦ Global Confidence、Confidence Score アラート通知 ◦ E-Mail、AWS SNS、Slack、Microsoft Teams、etc… 豊富なルール ◦ 相関、外れ値、UEBA、etc.. 脅威追跡 ◦ タイムライン、エンティティ関係グラフ

  32. CSE Demonstration 32 • 自動相関分析

  33. プラットフォームのご紹介 33 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)

    Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

  34. Cloud SOAR 34 自動化 / 半自動化 ◦ Automation Bridge インシデント対応とイベントの管理

    ◦ Playbook インシデント対応の KPI を可視化 ◦ KPI Reports 脅威インテリジェンスの機械学習機能 ◦ ARK (Automated Responder Knowledge) カスタマイズ可能なルール作り ◦ Rules 製品統合、組み込みプレイブックのダウンロード ◦ App Central

  35. Cloud SOAR Demonstration 35 • 自動化 / 半自動化

  36. まとめ 36 ログの一元管理 ◦ あらゆるログを集積、柔軟な保存期間、転送 ユースケースに沿った簡単な可視化 ◦ AppCatalog 高度な分析機能 ◦

    LogReduce、LogCompare、CrowdStrike の脅威情報 チームでの活用を前提にした設計 ◦ RBAC、コンテンツ共有 定期的 / リアルタイムのアラート機能 ◦ Scheduled Search、Monitors 自動相関分析 ◦ Cloud SIEM Enterprise 対応の自動化 / 半自動化 ◦ Cloud SOAR

  37. 参考 URL 37 Continuous Intelligence Platform(CIP) ◦ データ収集 https://help.sumologic.com/docs/send-data/ ◦

    AppCatalog https://help.sumologic.com/docs/integrations/ ◦ Alerts https://help.sumologic.com/docs/alerts/ ◦ Log Search https://help.sumologic.com/docs/search/ Cloud SIEM Enterprise(CSE) https://help.sumologic.com/docs/cse/ Cloud SOAR https://help.sumologic.com/docs/cloud-soar/

  38. [PR] 38 機能説明、設定方法 アップデート情報、etc.. ブログを執筆しております。 是非、ご一読ください! https://dev.classmethod.jp/tags/sumo-logic/

  39. 39