Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
BlueTeamer勉強会 Security Onion編 激闘!Importノード
Search
DiscoNinja
July 08, 2024
How-to & DIY
1
110
BlueTeamer勉強会 Security Onion編 激闘!Importノード
2024/06/22(土)に開催した勉強会の資料です。
DiscoNinja
July 08, 2024
Tweet
Share
More Decks by DiscoNinja
See All by DiscoNinja
Open Source Malware Hunting Lab
disconinja
1
810
Other Decks in How-to & DIY
See All in How-to & DIY
240420MapillaryMeetup2024Tokyo
tosseto
0
180
Using AWS to build a launchable knowledge rocket 👉 Organize knowledge, accelerate learning and understand AI in the process
dwchiang
0
150
DroidKaigi 2024 - 海外就職というキャリアの選択肢
iyotetsuya
1
510
銀座線・半蔵門線から、ふりかえりカンファレンス2024現地会場への行き方
pokotyamu
0
240
こんなにあるの? 最近のIPAトレンドを ざっくりまとめてみた
watany
3
630
CH32Vシリーズを楽しもう(74thの場合) / enjoy ch32v series
74th
1
120
M5Stickと超小型エッジAIカメラ「AITRIOS」
hoshinoresearch
0
330
苦いビールを避ける冴えたやり方
watany
2
160
スカウト返信率を倍にするためにやったこと / 2024-01-29
tamago3keran
2
970
[너구리랑! 회고 밋업 2023] 비전공자 PM의 우당탕탕 2023년 // 의현 님
develop_neoguri
0
110
LT(Lightning Talk)のドキドキ感を共有する IoT ぼっとキーホルダ!
scbc1167
0
270
ITエンジニアにおすすめのゲームFactorio御紹介
zembutsu
PRO
1
1.2k
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
Raft: Consensus for Rubyists
vanstee
137
6.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Done Done
chrislema
181
16k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Designing Experiences People Love
moore
138
23k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
4 Signs Your Business is Dying
shpigford
181
21k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Transcript
勉強会 非公式日本ユーザー
アジェンダ 1.はじめに 1.SecurityOnionとは 2.アーキテクチャ 3.ツール 4.Suricata 5.Zeek 6.SecurityOnionConsole 7.Kibana 8.Pcapのインポート
9.例題 10.演習
はじめに
本勉強について 目的 Blue Teamの人達向けの勉強会で す。ツールの紹介やハンズオンな どを行っていく予定です。 今後 Calderaなどの攻撃エミュレーシ ョンツールやMISPなどの紹介を 予定しています。
SecurityOnionとは
SecurityOnionとは • ネットワークとエンドポイントのモニタリング、インシデントレスポンスを 目的としたブルーチーム用のLinuxディストリビューションです。 • 2008年の初回リリースから15年の歴史があります。
アーキテクチャ
アーキテクチャ SecurityOnionには、複数のデプロイ方法があります。 • Import ⚬ 用途:フォレンジック解析 • Evaluation ⚬ 用途:テスト環境
• Standalone ⚬ 用途:本番環境(一体型) • Distributed ⚬ 用途:本番環境(分散型)
Import PcapやWindowsイベントログをインポートするためのタイプです。 主にフォレンジック解析などに使用します。
Evaluation/Standalone Importとは違い、モニタリング用のネットワークインターフェー スがあり、専用のインターフェースからトラフィックを監視します 。また、ログはElastic Agentから収集してエンドポイントを監視 します。
Distributed トラフィックを収集するForwardノード、SecurityOnionの設定 管理やElasticの検索、分析するManagerノード、ログが集められ るSearchノードと複数のコンポーネントに分かれています。
ツール
ツール カテゴリ ツール OS Oracle Linux Infrastructure Salt、Docker、Elasticsearch、Reids、Logstash、Elastic fleet、 InfluxDB
Network & Host Data Elastic agent、Osquery、 Suricata、Zeek、Strelka Analyst Tools Alerts、Hunt Dashboards 、 Cases 、Cyberchef、Playbook Fleet、Navigator、Kibana
Suricata
Suricata 高性能なネットワーク IDS、IPS、およびネットワーク セキュリ ティ監視エンジンです。これはオープン ソースであり、コミュニ ティ運営の非営利財団である Open Information Security
Foundation ( OISF ) が所有しています。Suricata は OISF に よって開発されています。 ・suricata公式ドキュメント https://docs.suricata.io/en/latest/what-is-suricata.html
Suricata rule alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP
GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad- unknown; sid:123; rev:1;) 色 名称 概要 赤 アクション IDSはAlertのみ Alert:アラートを生成 IPSはpass,drop,rejectなど pass: パケットの検査を中止 drop:パケットを廃棄し、アラートを生成 reject:一致したパケットの送信者にRST/ICMPアンリーチエラーを送信 緑 ヘッダー ヘッダーの構成:プロトコル 送信元IP 送信元ポート 方向 宛先IP 宛先ポート 青 オプション フィルターまたは条件を指定します。
Zeek
Zeek Zeekはパッシブなオープンソースのネットワーク・トラフィッ ク・アナライザです。多くのオペレータは、Zeekをネットワー ク・セキュリティ・モニタ(NSM)として使用し、疑わしい活動 や悪意のある活動の調査をサポートしています。Zeek はまた、パ フォーマンス測定やトラブルシューティングなど、セキュリティ領 域を超えた幅広いトラフィック解析タスクもサポートしています。 ・Zeek公式ドキュメント https://docs.zeek.org/en/master/about.html
Zeek • ログは以下のディレクトリに保存されています。 • /nsm/zeek/logs • 出力されたログはElastic Agent経由でElasticsearchに送られ ます。
Zeek Zeek Logs 概要 conn.log コネクションログ TCP・UDP・ICMPが記録されている dns.log DNSログ DNSのアクティビティが記録されている
http.log HTTPログ HTTPのリクエストとリプライが記録されている ftp.log FTPログ FTPのアクティビティが記録されている ssl.log SSLログ SSL/TLSハンドシェイクが記録されている x509.log X509ログ X.509証明書が記録されている smtp.log smtpログ smtpのトランザクションが記録されている ssh.log sshログ ssh接続が記録されている pe.log peログ PEファイルの情報が記録されている dhcp.log DHCPログ DHCPの情報が記録されている
SecurityOnionConsole
SecurityOnionConsole Security Onion Consoleは、SecurityOnionのWebダッシュボードです。 ケース管理、 検索のダッシュボード、アラート、Pcapなどの機能があります。
Alert SecurityOnionが生成するアラートが一覧で表示されます。アラートの詳細を確認した り、HuntやPcapなどの機能にピポットしたり、アラートからケースを作成することも できます。
Dashboards Kibanaのように、データを分析できるダッシュボードです。エンドポイントなどデフォ ルトでいくつか用意されています。
Hunt Dashboardとにていますが、KibanaのSearchにように検索することができるインター フェースになります。
Cases ケース管理のためのインターフェースです。アラートやダッシュボード、Huntからケー スを作成することができ、調査の内容などを記載することができます。
Pcap StenographerまたはSuricataによってディスクに書き込まれた完全なパケットキャプ チャにアクセスできるPCAPインターフェースがあります。
Detections Suricata、Sigma、Yaraの各ルールを管理するためのDetectionsインターフェイスで す。2.4.70から追加された新しくインターフェースになります。
Grid ノードのステータスをチェックするためのインターフェースになります。
Kibana
Kibana Elasticsearch用データ可視化ダッシュボードソフトウェアで、SecurityOnionConsole 以外にも、ダッシュボードが用意されています。Hunt以外にも、Kibanaから検索するこ とができます。
Pcapのインポート方法
Pcapのインポート方法 画面遷移 1. SecurityOnionConsoleにアクセス 2. 左のメニューバーからGridを選択 3. 上矢印アイコンをクリック 4. 対象のPcapをアップロード
例題
配布物 ・OVA user:sysadmin pass:sysadmin login mail:
[email protected]
psss:sysadmin IP:192.168.143.5 ・Pcap
参考:SecurityOnionで解析する流れ 1. Suricataで検知があるか 1. ある場合は、どのアラートで検知したかを確認する 2. Zeekで確認 1. Suricataで検知がある場合は、対象のIPやプロトコルのログ を確認する
2. ない場合、IPやプロトコルに不審なものがないを確認する 1. 実際は、他のセキュリティ機器のアラートが検知した時間 の前後や検知したIPなどから調査する
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪LAN segment data:
• LAN segment range: 172.17.8[.]0/24 (172.17.8[.]0 through 172.17.8[.]255) • Domain: timbershade[.]info • Domain controller: 172.17.8[.]2 - Timbershade-DC • LAN segment gateway: 172.17.8[.]1 • LAN segment broadcast address: 172.17.8[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレスは? • 感染したWindowsホストのMACアドレスは? • 感染したWindowsホストのホスト名は? • 感染したWindowsホストのWindowsユーザーアカウント名は何か • 感染したWindowsホストに送信されたWindows実行ファイルの SHA256ファイルハッシュは? • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのIPアドレスは?
• 172.17.8.109 • SuricataのアラートのDestination IPから感染した端末が分かる • DHCPログのhost.hostnameからWindowsホストと推測できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのMACアドレスは?
• 14:fe:b5:d4:15:ca • DHCPログのhost.macからMACアドレスが確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのホスト名は?
• Dunn-Windows-PC • DHCPログのhost.hostnameからホスト名が確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのWindowsユーザーアカウント名は何か
• margaret.dunn • KerberosログのKerberos.clientからユーザーアカウント名が確認できる
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストに送信されたWindows実行ファイルのSHA256ファイルハッシュは?
• 9f6e3e65aedca997c6445329663bd1d279392a34cfda7d1b56461eb41641fa08 • SuricataのアラートでET HUNTING SUSPICIOUS Dotted Quad Host MZ Response • Source IP 91[.]121[.]30.169 Source Port 8000 • File ログから対象になっているIPのログを探す • ファイルのMD5とSHA1が分かるので、VTで検索してSHA256を確認する
2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?
• Dridex
演習
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪LAN segment data:
• LAN segment range:10.18.20[.]0/24 (10.18.20[.]0 through 10.18.20[.]255) • Domain: icemaiden[.]com • Domain controller: 10.18.20[.]8 - Icemaiden-DC • LAN segment gateway:10.18.20[.]1 • LAN segment broadcast address:10.18.20[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレス、MACアドレス、ホスト名は 何ですか? • 感染したWindowsホスト上の被害者のWindowsユーザーアカウン ト名は何ですか? • 被害者が感染したマルウェアの種類は? • pcapのトラフィックから、マルウェアはどこから来た可能性が高い か? • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサ イトを訪問したように見えますか?
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか?
• Zeekのkerberos.logから確認することができる • momia.juanita
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか?
• Zeekのkerberos.logから確認することができる • momia.juanita
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 被害者が感染したマルウェアの種類は?
• suricataから確認することができる • Ursnif
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • pcapのトラフィックから、マルウェアはどこから来た可能性が高いか?
• 感染する直前にmail.aol.comにアクセスしたため、電子メールからの可能性がある。
2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサイトを訪問したように見えますか?
• bankofamerica.comを含むドメインが複数あることから、被害者は銀行のウェブサイトにアクセスしている
2020-09-25 - TRAFFIC ANALYSIS EXERCISE - TROUBLE ALERT ▪LAN segment
data: • LAN segment range: 10.0.0[.]0/24 (10.0.0[.]0 through 10.0.0[.]255) • Domain: pascalpig[.]com • Domain controller: 10.0.0[.]10 - Pascalpig-DC • LAN segment gateway: 10.0.0[.]1 • LAN segment broadcast address: 10.9.25[.]255 ▪シナリオ • pcap に基づいてインシデント レポートを作成してください。 Extra