Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Sumo_Logic_でセキュリティ脅威分析をスマートに.pdf
Search
SakumaShogo
August 25, 2023
Technology
0
710
Sumo_Logic_でセキュリティ脅威分析をスマートに.pdf
SIEM 製品の Sumo Logic が持つサイバー攻撃への脅威ハンティング機能について、Sumo Logic のトレーニング環境を使ってデモを交えて紹介します。
SakumaShogo
August 25, 2023
Tweet
Share
More Decks by SakumaShogo
See All by SakumaShogo
Splunk で AWS 環境を分析する
cmsakumashogo
0
520
AKIBA.SaaS #3 - No.4
cmsakumashogo
0
750
Other Decks in Technology
See All in Technology
怖くない!GritQLでBiomeプラグインを作ろうよ
pal4de
1
130
本当にわかりやすいAIエージェント入門
segavvy
10
6k
エンジニアリングマネージャー“お悩み相談”パネルセッション
ar_tama
1
670
Building GoReleaser - from shell script to paid product
caarlos0
0
270
AI Ready API ─ AI時代に求められるAPI設計とは?/ AI-Ready API - Designing MCP and APIs in the AI Era
yokawasa
21
5.8k
M365アカウント侵害時の初動対応
lhazy
7
4.6k
DATA+AI SummitとSnowflake Summit: ユーザから見た共通点と相違点 / DATA+AI Summit and Snowflake Summit
nttcom
0
220
ObsidianをLLM時代のナレッジベースに! クリッピング→Markdown→CLI連携の実践
srvhat09
7
9.1k
自分がLinc’wellで提供しているプロダクトを理解するためにやったこと
murabayashi
1
160
Talk to Someone At Delta Airlines™️ USA Contact Numbers
travelcarecenter
0
170
「現場で活躍するAIエージェント」を実現するチームと開発プロセス
tkikuchi1002
6
1k
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
1.2k
Featured
See All Featured
Gamification - CAS2011
davidbonilla
81
5.4k
Fireside Chat
paigeccino
37
3.5k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
Being A Developer After 40
akosma
90
590k
It's Worth the Effort
3n
185
28k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
850
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Transcript
でセキュリティ脅威分析をスマートに 2023/8/18 アライアンス事業部 佐久間昇吾 1
自己紹介 2 佐久間 昇吾(Sakuma Shogo) • アライアンス事業部 テクニカルグループ • セキュリティ系SaaS製品
◦ Sumo Logic を担当 ◦ 好きな機能:AppCatalog
アジェンダ 3 1. セキュリティ脅威ハンティングと SIEM の重要性 ◦ 進化する巧妙なサイバー攻撃 ◦ サイバー攻撃について学ぶ
◦ SIEM とは? ◦ SIEM の重要性 ◦ まとめ 2. Sumo Logic について ◦ Sumo Logic の特徴 ◦ プラットフォームのご紹介 ▪ Continuous Intelligence Platform ▪ Cloud SIEM Enterprise ▪ Cloud SOAR ◦ まとめ
セキュリティ脅威ハンティングと SIEM の重要性 4
進化する巧妙なサイバー攻撃 5 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html
進化する巧妙なサイバー攻撃 6 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック
進化する巧妙なサイバー攻撃 7 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0
/ 1 判定だけでは対処が難しい
進化する巧妙なサイバー攻撃 8 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0
/ 1 判定だけでは対処が難しい ニューノーマルな働き方
進化する巧妙なサイバー攻撃 9 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0
/ 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加
進化する巧妙なサイバー攻撃 10 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0
/ 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行
進化する巧妙なサイバー攻撃 11 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0
/ 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行 絶え間なく開発されているサイバー攻撃の回避技術
サイバー攻撃について学ぶ 12 攻撃プロセスと深度の理解:Matrices 各攻撃プロセスの達成目的を把握:Tactics 脅威ハンティングに必要なデータを選定:Data Sources 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups https://attack.mitre.org/
サイバー攻撃について学ぶ 13 https://attack.mitre.org/ 目的に対する アクション 攻撃の目的の完了 足がかりの構築 環境への確実で持続的 なアクセスの確保 初期侵害
初期アクセスを可能に する弱点の特定と利用 攻撃 意図した被害者へ の攻撃に送信 偵察 標的の技術、人、プロ セスについての調査 水平移動 権限の昇格と追加の システムの侵害
攻撃のプロセスと深度 14 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し
ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIME とは? 15 SIEM(Security Information and Event Management) あらゆる製品のログを一元管理して、製品を横断した相関分析を行い、セキュリティイベントを監視する ことで、潜在的な脅威や異常なアクティビティを検出
するログ分析基盤 相関分析とは、2つ以上のデータの関係性を調べる分析方法 SIEM に於いては、起こった事象の開始と終了及び、そのプロセスの全体像を把握 ➢ セキュリティ脅威の早期発見 ➢ 傾向データを用いて、事前にセキュリティを強化 ➢ セキュリティインシデントの迅速な対応
攻撃のプロセスと深度(再掲) 16 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し
ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 17 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 18 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 19 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 20 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 21 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
SIEM の重要性 22 $ net user /domain フィッシングメール の受信 C2サーバーを介し
た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染
まとめ 23 攻撃を学ぶ(MITRE ATT&CK) ◦ 攻撃プロセスと深度の理解:Matrices ▪ 各攻撃プロセスの達成目的を把握:Tactics ◦ 脅威ハンティングに必要なデータを選定:Data
Sources ◦ 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups SIEM(Security Information and Event Management) ◦ あらゆるログを一元管理 ◦ 製品を横断した相関分析を行い、サイバー攻撃を検出 ◦ 検知 → アラート通知 ◦ ログの可視化 検知 → 調査(分析)→ 対応を迅速かつ正確に行うために SIEM 製品の Sumo Logic をご紹介します。
Sumo Logic について 24
Sumo Logic の特徴 25 純 SaaS 型の SIEM / クラウドネイティブ
◦ プロビジョニング、スケーリングが不要 あらゆるログ、イベントデータを収集 ◦ オンプレ / クラウド、SaaS 製品 ◦ Log、Metric、Trace データに対応 ▪ o11y、APM、SLI / SLO、PCI DSS4.0 高度な分析機能 ◦ 機械学習、組み込みのダッシュボード ◦ CrowdStrike の脅威情報 チームでの活用を想定した設計 ◦ RBAC、コンテンツ共有 低コストな料金体系 ◦ データ量、保存期間に応じた課金体系
プラットフォームのご紹介 26 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)
Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化
プラットフォームのご紹介 27 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)
Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化
Continuous Intelligence Platform(CIP) 28 ログの一元管理 / 柔軟な保存期間 ◦ 保存期間、転送、データ層 高度な分析機能
◦ LogReduce、LogCompare、CrowdStrike の脅威情報 豊富な組み込みダッシュボード ◦ AppCatalog シンプルなクエリ記法 ◦ | (パイプ)で区切る記法 定期的 / リアルタイムのアラート機能 ◦ Scheduled Search、Monitors 組織 / チームでの運用を前提としたアカウント管理 ◦ RBAC 制御、コンテンツ共有
CIP Demonstration 29 • データ収集 • App Catalog
プラットフォームのご紹介 30 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)
Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化
Cloud SIEM Enterprise(CSE) 31 大量のアラートを自動相関分析 ◦ INSIGHT 化 ◦ MITRE
ATT&CK に準拠したタグ付け、トリアージ 機械学習機能 ◦ Global Confidence、Confidence Score アラート通知 ◦ E-Mail、AWS SNS、Slack、Microsoft Teams、etc… 豊富なルール ◦ 相関、外れ値、UEBA、etc.. 脅威追跡 ◦ タイムライン、エンティティ関係グラフ
CSE Demonstration 32 • 自動相関分析
プラットフォームのご紹介 33 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE)
Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化
Cloud SOAR 34 自動化 / 半自動化 ◦ Automation Bridge インシデント対応とイベントの管理
◦ Playbook インシデント対応の KPI を可視化 ◦ KPI Reports 脅威インテリジェンスの機械学習機能 ◦ ARK (Automated Responder Knowledge) カスタマイズ可能なルール作り ◦ Rules 製品統合、組み込みプレイブックのダウンロード ◦ App Central
Cloud SOAR Demonstration 35 • 自動化 / 半自動化
まとめ 36 ログの一元管理 ◦ あらゆるログを集積、柔軟な保存期間、転送 ユースケースに沿った簡単な可視化 ◦ AppCatalog 高度な分析機能 ◦
LogReduce、LogCompare、CrowdStrike の脅威情報 チームでの活用を前提にした設計 ◦ RBAC、コンテンツ共有 定期的 / リアルタイムのアラート機能 ◦ Scheduled Search、Monitors 自動相関分析 ◦ Cloud SIEM Enterprise 対応の自動化 / 半自動化 ◦ Cloud SOAR
参考 URL 37 Continuous Intelligence Platform(CIP) ◦ データ収集 https://help.sumologic.com/docs/send-data/ ◦
AppCatalog https://help.sumologic.com/docs/integrations/ ◦ Alerts https://help.sumologic.com/docs/alerts/ ◦ Log Search https://help.sumologic.com/docs/search/ Cloud SIEM Enterprise(CSE) https://help.sumologic.com/docs/cse/ Cloud SOAR https://help.sumologic.com/docs/cloud-soar/
[PR] 38 機能説明、設定方法 アップデート情報、etc.. ブログを執筆しております。 是非、ご一読ください! https://dev.classmethod.jp/tags/sumo-logic/
39