Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee
June 06, 2024
1
3.8k

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

June 06, 2024
Tweet

More Decks by freee

See All by freee
freee + Product Design FY24 Q2
freee
4
9.8k
freeeのモバイルエンジニアについて
freee
1
230
10分でわかるfreeeのQA
freee
1
9.4k
10分でわかるfreee エンジニア向け会社説明資料
freee
18
530k
freeeの福利厚生と働き方
freee
1
67k
品質の高速フィードバックへの取り組み / Commitment to Fast Quality Feedback
freee
4
1.2k
組織作りに「プロダクト開発のエッセンス」 を取り入れ、不確実性に向き合い続ける / Incorporating the “essence of product development” into organizational development and continuing to face uncertainty
freee
0
3.1k
LGBTQ__support_WOMEN_女性として働くということ_DEI
freee
2
520
QAエンジニア_Summer Internship説明会(26卒)
freee
0
280

Featured

See All Featured
The Invisible Side of Design
smashingmag
299
50k
Imperfection Machines: The Place of Print at Facebook
scottboms
266
13k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Designing for humans not robots
tammielis
250
25k
Designing for Performance
lara
604
68k
Rails Girls Zürich Keynote
gr2m
94
13k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
GitHub's CSS Performance
jonrohan
1030
460k
Fireside Chat
paigeccino
34
3.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k

Transcript

  1. OpenSearch SIEMのためのSOAR
 WaTTson / imariku 2024年5⽉31⽇

  2. 2022年新卒入社。credentialを slackに書くな高校校歌の人。
 2 WaTTson
 PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。


    imariku
 PSIRT

  3. PSIRT
 • Product Security Incident Response Team
 インシデント 発生の予防 インシデント

    の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析

  4. freeeが提供しているプロダクト
 • バックオフィス業務の効率化
 • Webアプリ モバイルアプリ
 ……

  5. プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public

    subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

  6. セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 • Web Application Firewall
 • Layer 7


    • ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 • Intrusion Detection System/
 Intrusion Prevention System
 • Layer 3〜4
 • パケットの中身を見る


  7. SIEM
 • Security Information and Event Management
 • 多種多様なログを一元管理
 •

    各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application


  8. SIEM on AWS OpenSearch Service
 • OpenSearchを使ったSIEMソリューション
 • https://github.com/aws-samples/siem-on-amazon-opensearch-service
 •

    S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納


  9. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

  10. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

  11. SOAR
 • Security Orchestration, Automation and Response
 • 統合・自動化したインシデント対応
 WAF

    Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!


  12. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt

    for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる


  13. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化


  14. freee auto-blacklist
 • 明らかな攻撃元については自動でブラックリストに追加
 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket


    Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB


  15. さらに先へ
 • 現状のSIEMからのアラートは全て ルールベース
 ◦ 自動的に検知できない部分は人手で調査
 • 機械学習を使って、より高度な攻撃を 検知したい
 ◦

    ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング
 • 現在絶賛開発中!

  16. None