Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee
June 06, 2024
1.1k

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

June 06, 2024
Tweet

More Decks by freee

Transcript

  1. PSIRT
 • Product Security Incident Response Team
 インシデント 発生の予防 インシデント

    の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析
  2. プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public

    subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS
  3. セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 • Web Application Firewall
 • Layer 7


    • ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 • Intrusion Detection System/
 Intrusion Prevention System
 • Layer 3〜4
 • パケットの中身を見る

  4. SIEM
 • Security Information and Event Management
 • 多種多様なログを一元管理
 •

    各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application

  5. SOAR
 • Security Orchestration, Automation and Response
 • 統合・自動化したインシデント対応
 WAF

    Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!

  6. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt

    for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる

  7. freee auto-blacklist
 • 明らかな攻撃元については自動でブラックリストに追加
 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket


    Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB