Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
freee
PRO
June 06, 2024
12k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM
freee
PRO
June 06, 2024
More Decks by freee
See All by freee
freeeにおけるAI分析エージェントの実践
freee
PRO
0
280
クラウドネイティブ会議Day1_AI時代の開発スピードに追いつけ! Argo CD ApplicationSetと挑む、PR単位の検証環境/Cloud Native Conference Day 1: Keeping Pace with Development Speeds in the AI Era! Building a Pull Request-Level Testing Environment with Argo CD ApplicationSet
freee
PRO
0
270
激動のAI導入ミッションに、 freeeのセキュリティチームはどう向き合ったのか/How did freee's security team tackle the turbulent AI implementation mission
freee
PRO
0
1.9k
20251115_btconJP_フリー社における生成AI活用の試行錯誤とこれから
freee
PRO
1
250
dbt platform導入前の不安を解消する───リアルな一ヶ月検証記/Addressing Concerns Before Implementing the dbt Platform: A Real-World One-Month Trial
freee
PRO
0
1.1k
AIと共に開発する時代の組織、プロセス設計 freeeでの実践から見えてきたこと
freee
PRO
4
1.6k
10分でわかるfreeeのPdM
freee
PRO
29
27k
AI時代の開発組織デザイン
freee
PRO
0
190
支出管理船団 エンジニア向け会社説明用資料/Company_Presentation_Materials_for_Fleet_Engineers_in_Expenditure_Management
freee
PRO
0
480
Featured
See All Featured
Ethics towards AI in product and experience design
skipperchong
2
320
Docker and Python
trallard
47
3.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
740
Designing for Performance
lara
611
70k
HDC tutorial
michielstock
2
730
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
160
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.3k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Side Projects
sachag
455
43k
Transcript
OpenSearch SIEMのためのSOAR WaTTson / imariku 2024年5⽉31⽇
2022年新卒入社。credentialを slackに書くな高校校歌の人。 2 WaTTson PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。
imariku PSIRT
PSIRT • Product Security Incident Response Team インシデント 発生の予防 インシデント
の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析
freeeが提供しているプロダクト • バックオフィス業務の効率化 • Webアプリ モバイルアプリ ……
プロダクトの構成 AWS Cloud Virtual private cloud (VPC) Protected subnet Public
subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS
セキュリティ:不審なアクセスを検知・ブロック AWS WAF • Web Application Firewall • Layer 7
• ALBやCloudFrontにアタッチ IGW ALB WAF Internet Instance IPS IDS/IPS • Intrusion Detection System/ Intrusion Prevention System • Layer 3〜4 • パケットの中身を見る
SIEM • Security Information and Event Management • 多種多様なログを一元管理 •
各種ログを横断して分析 SIEM VPC flow log Cloudfront ALB WAF IPS Application
SIEM on AWS OpenSearch Service • OpenSearchを使ったSIEMソリューション • https://github.com/aws-samples/siem-on-amazon-opensearch-service •
S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納
SIEM on AWS OpenSearch Service • OpenSearch Dashboardで一覧できる https://opensearch.org/docs/2.4/dashboards/discover/index-discover/
SIEM on AWS OpenSearch Service • OpenSearch Dashboardで一覧できる https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg
SOAR • Security Orchestration, Automation and Response • 統合・自動化したインシデント対応 WAF
Alert ルールは RateLimit? アクセス元は 日本国内? WAF/ALBの 関連ログ収集 複数のルール で検知? Blacklist に登録 誤検知の 可能性は? IPSなどの 関連ログ収集 機械的に処理できる部分は 自動化したい!
SIEM次郎(しむじろう) • SIEM→Slack通知→Jiraチケット起票の自動化 AWS Cloud ECS SIEM Slack アラート投稿 Bolt
for Python Jira チケット起票 自動アサイン トリアージ データ取得 要対処なら ボタン押下 担当者が 対処にあたる
SIEM次郎(しむじろう) • SIEM→Slack通知→Jiraチケット起票の自動化
freee auto-blacklist • 明らかな攻撃元については自動でブラックリストに追加 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行 WAF S3 bucket
Lambda Black list 追加 expired を削除 ECS トリガー Slack トリガー CloudWatch Events Blacklistを WAF ruleに反映 DynamoDB
さらに先へ • 現状のSIEMからのアラートは全て ルールベース ◦ 自動的に検知できない部分は人手で調査 • 機械学習を使って、より高度な攻撃を 検知したい ◦
ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング • 現在絶賛開発中!
None