Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
BlueTeamer勉強会 Security Onion編 激闘!Importノード
Search
DiscoNinja
July 08, 2024
How-to & DIY
1
150
BlueTeamer勉強会 Security Onion編 激闘!Importノード
2024/06/22(土)に開催した勉強会の資料です。
DiscoNinja
July 08, 2024
Tweet
Share
More Decks by DiscoNinja
See All by DiscoNinja
Open Source Malware Hunting Lab
disconinja
1
840
Other Decks in How-to & DIY
See All in How-to & DIY
Dirbtinis intelektas dizainerio gyvenime
lekevicius
0
220
3ヶ月でできる! 探査機自作ゼミ教材自作入門
sksat
6
1.5k
バタフライ効果/butterfly_effect
florets1
0
260
AWS Community Day 2024: Using AWS to build a launchable knowledge rocket 👉 Organize knowledge, accelerate learning and understand AI in the process
dwchiang
0
160
カンファレンスでリフレッシュ!無理なく楽しむカンファレンス参加術 / How to enjoy conferences without stress
kattsuuya
1
7.5k
JAWS-UGから学んだコミュニティの成功要因 (Success Factors)
awsjcpm
4
390
LT(Lightning Talk)のドキドキ感を共有する IoT ぼっとキーホルダ!
scbc1167
0
300
AWS User Community - JAWS-UG/AWS ユーザーコミュニティのご紹介
awsjcpm
1
150
言語習得のベストプラクティス を考える
kanedaakihiro
0
100
JAWS-UG山梨第0回 AWSのユーザーコミュニティ支援
awsjcpm
0
130
DroidKaigi 2024 - 海外就職というキャリアの選択肢
iyotetsuya
1
630
音に負けない!子どもが騒いでいる脇でも快適オンラインMTGの秘伝
kaitou
0
340
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
KATA
mclloyd
29
14k
Designing on Purpose - Digital PM Summit 2013
jponch
117
7.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
GitHub's CSS Performance
jonrohan
1030
460k
For a Future-Friendly Web
brad_frost
176
9.5k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Side Projects
sachag
452
42k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
133
33k
Transcript
勉強会 非公式日本ユーザー
アジェンダ 1.はじめに 1.SecurityOnionとは 2.アーキテクチャ 3.ツール 4.Suricata 5.Zeek 6.SecurityOnionConsole 7.Kibana 8.Pcapのインポート
9.例題 10.演習
はじめに
本勉強について 目的 Blue Teamの人達向けの勉強会で す。ツールの紹介やハンズオンな どを行っていく予定です。 今後 Calderaなどの攻撃エミュレーシ ョンツールやMISPなどの紹介を 予定しています。
SecurityOnionとは
SecurityOnionとは • ネットワークとエンドポイントのモニタリング、インシデントレスポンスを 目的としたブルーチーム用のLinuxディストリビューションです。 • 2008年の初回リリースから15年の歴史があります。
アーキテクチャ
アーキテクチャ SecurityOnionには、複数のデプロイ方法があります。 • Import ⚬ 用途:フォレンジック解析 • Evaluation ⚬ 用途:テスト環境
• Standalone ⚬ 用途:本番環境(一体型) • Distributed ⚬ 用途:本番環境(分散型)
Import PcapやWindowsイベントログをインポートするためのタイプです。 主にフォレンジック解析などに使用します。
Evaluation/Standalone Importとは違い、モニタリング用のネットワークインターフェー スがあり、専用のインターフェースからトラフィックを監視します 。また、ログはElastic Agentから収集してエンドポイントを監視 します。
Distributed トラフィックを収集するForwardノード、SecurityOnionの設定 管理やElasticの検索、分析するManagerノード、ログが集められ るSearchノードと複数のコンポーネントに分かれています。
ツール
ツール カテゴリ ツール OS Oracle Linux Infrastructure Salt、Docker、Elasticsearch、Reids、Logstash、Elastic fleet、 InfluxDB
Network & Host Data Elastic agent、Osquery、 Suricata、Zeek、Strelka Analyst Tools Alerts、Hunt Dashboards 、 Cases 、Cyberchef、Playbook Fleet、Navigator、Kibana
Suricata
Suricata 高性能なネットワーク IDS、IPS、およびネットワーク セキュリ ティ監視エンジンです。これはオープン ソースであり、コミュニ ティ運営の非営利財団である Open Information Security
Foundation ( OISF ) が所有しています。Suricata は OISF に よって開発されています。 ・suricata公式ドキュメント https://docs.suricata.io/en/latest/what-is-suricata.html
Suricata rule alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP
GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad- unknown; sid:123; rev:1;) 色 名称 概要 赤 アクション IDSはAlertのみ Alert:アラートを生成 IPSはpass,drop,rejectなど pass: パケットの検査を中止 drop:パケットを廃棄し、アラートを生成 reject:一致したパケットの送信者にRST/ICMPアンリーチエラーを送信 緑 ヘッダー ヘッダーの構成:プロトコル 送信元IP 送信元ポート 方向 宛先IP 宛先ポート 青 オプション フィルターまたは条件を指定します。
Zeek
Zeek Zeekはパッシブなオープンソースのネットワーク・トラフィッ ク・アナライザです。多くのオペレータは、Zeekをネットワー ク・セキュリティ・モニタ(NSM)として使用し、疑わしい活動 や悪意のある活動の調査をサポートしています。Zeek はまた、パ フォーマンス測定やトラブルシューティングなど、セキュリティ領 域を超えた幅広いトラフィック解析タスクもサポートしています。 ・Zeek公式ドキュメント https://docs.zeek.org/en/master/about.html
Zeek • ログは以下のディレクトリに保存されています。 • /nsm/zeek/logs • 出力されたログはElastic Agent経由でElasticsearchに送られ ます。
Zeek Zeek Logs 概要 conn.log コネクションログ TCP・UDP・ICMPが記録されている dns.log DNSログ DNSのアクティビティが記録されている
http.log HTTPログ HTTPのリクエストとリプライが記録されている ftp.log FTPログ FTPのアクティビティが記録されている ssl.log SSLログ SSL/TLSハンドシェイクが記録されている x509.log X509ログ X.509証明書が記録されている smtp.log smtpログ smtpのトランザクションが記録されている ssh.log sshログ ssh接続が記録されている pe.log peログ PEファイルの情報が記録されている dhcp.log DHCPログ DHCPの情報が記録されている
SecurityOnionConsole
SecurityOnionConsole Security Onion Consoleは、SecurityOnionのWebダッシュボードです。 ケース管理、 検索のダッシュボード、アラート、Pcapなどの機能があります。
Alert SecurityOnionが生成するアラートが一覧で表示されます。アラートの詳細を確認した り、HuntやPcapなどの機能にピポットしたり、アラートからケースを作成することも できます。
Dashboards Kibanaのように、データを分析できるダッシュボードです。エンドポイントなどデフォ ルトでいくつか用意されています。
Hunt Dashboardとにていますが、KibanaのSearchにように検索することができるインター フェースになります。
Cases ケース管理のためのインターフェースです。アラートやダッシュボード、Huntからケー スを作成することができ、調査の内容などを記載することができます。
Pcap StenographerまたはSuricataによってディスクに書き込まれた完全なパケットキャプ チャにアクセスできるPCAPインターフェースがあります。
Detections Suricata、Sigma、Yaraの各ルールを管理するためのDetectionsインターフェイスで す。2.4.70から追加された新しくインターフェースになります。
Grid ノードのステータスをチェックするためのインターフェースになります。
Kibana
Kibana Elasticsearch用データ可視化ダッシュボードソフトウェアで、SecurityOnionConsole 以外にも、ダッシュボードが用意されています。Hunt以外にも、Kibanaから検索するこ とができます。
Pcapのインポート方法
Pcapのインポート方法 画面遷移 1. SecurityOnionConsoleにアクセス 2. 左のメニューバーからGridを選択 3. 上矢印アイコンをクリック 4. 対象のPcapをアップロード
例題
配布物 ・OVA user:sysadmin pass:sysadmin login mail:
[email protected]
psss:sysadmin IP:192.168.143.5 ・Pcap
参考:SecurityOnionで解析する流れ 1. Suricataで検知があるか 1. ある場合は、どのアラートで検知したかを確認する 2. Zeekで確認 1. Suricataで検知がある場合は、対象のIPやプロトコルのログ を確認する
2. ない場合、IPやプロトコルに不審なものがないを確認する 1. 実際は、他のセキュリティ機器のアラートが検知した時間 の前後や検知したIPなどから調査する
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪LAN segment data:
• LAN segment range: 172.17.8[.]0/24 (172.17.8[.]0 through 172.17.8[.]255) • Domain: timbershade[.]info • Domain controller: 172.17.8[.]2 - Timbershade-DC • LAN segment gateway: 172.17.8[.]1 • LAN segment broadcast address: 172.17.8[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレスは? • 感染したWindowsホストのMACアドレスは? • 感染したWindowsホストのホスト名は? • 感染したWindowsホストのWindowsユーザーアカウント名は何か • 感染したWindowsホストに送信されたWindows実行ファイルの SHA256ファイルハッシュは? • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのIPアドレスは?
• 172.17.8.109 • SuricataのアラートのDestination IPから感染した端末が分かる • DHCPログのhost.hostnameからWindowsホストと推測できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのMACアドレスは?
• 14:fe:b5:d4:15:ca • DHCPログのhost.macからMACアドレスが確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのホスト名は?
• Dunn-Windows-PC • DHCPログのhost.hostnameからホスト名が確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのWindowsユーザーアカウント名は何か
• margaret.dunn • KerberosログのKerberos.clientからユーザーアカウント名が確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストに送信されたWindows実行ファイルのSHA256ファイルハッシュは?
• 9f6e3e65aedca997c6445329663bd1d279392a34cfda7d1b56461eb41641fa08 • SuricataのアラートでET HUNTING SUSPICIOUS Dotted Quad Host MZ Response • Source IP 91[.]121[.]30.169 Source Port 8000 • File ログから対象になっているIPのログを探す • ファイルのMD5とSHA1が分かるので、VTで検索してSHA256を確認する
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?
• Dridex
演習
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪LAN segment data:
• LAN segment range:10.18.20[.]0/24 (10.18.20[.]0 through 10.18.20[.]255) • Domain: icemaiden[.]com • Domain controller: 10.18.20[.]8 - Icemaiden-DC • LAN segment gateway:10.18.20[.]1 • LAN segment broadcast address:10.18.20[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレス、MACアドレス、ホスト名は 何ですか? • 感染したWindowsホスト上の被害者のWindowsユーザーアカウン ト名は何ですか? • 被害者が感染したマルウェアの種類は? • pcapのトラフィックから、マルウェアはどこから来た可能性が高い か? • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサ イトを訪問したように見えますか?
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか?
• Zeekのkerberos.logから確認することができる • momia.juanita
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか?
• Zeekのkerberos.logから確認することができる • momia.juanita
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 被害者が感染したマルウェアの種類は?
• suricataから確認することができる • Ursnif
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • pcapのトラフィックから、マルウェアはどこから来た可能性が高いか?
• 感染する直前にmail.aol.comにアクセスしたため、電子メールからの可能性がある。
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサイトを訪問したように見えますか?
• bankofamerica.comを含むドメインが複数あることから、被害者は銀行のウェブサイトにアクセスしている
2020-09-25 - TRAFFIC ANALYSIS EXERCISE - TROUBLE ALERT ▪LAN segment
data: • LAN segment range: 10.0.0[.]0/24 (10.0.0[.]0 through 10.0.0[.]255) • Domain: pascalpig[.]com • Domain controller: 10.0.0[.]10 - Pascalpig-DC • LAN segment gateway: 10.0.0[.]1 • LAN segment broadcast address: 10.9.25[.]255 ▪シナリオ • pcap に基づいてインシデント レポートを作成してください。 Extra