OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

OpenSearch SIEMのためのSOAR  WaTTson / imariku 2024年5⽉31⽇

2022年新卒入社。credentialを slackに書くな高校校歌の人。  2 WaTTson  PSIRT 2022年7月入社。前職は普通のバックエンドエンジニア。SIEMの運用やNetwork Firewall導入などを担当。 
imariku  PSIRT

PSIRT  • Product Security Incident Response Team  インシデント発生の予防インシデント
の早期検知インシデントの早期解決 Design Doc レビュー脆弱性診断教育・啓発 SIEM・SOAR セキュリティインシデント対応静的解析

freeeが提供しているプロダクト  • バックオフィス業務の効率化  • Webアプリモバイルアプリ  ……

プロダクトの構成  AWS Cloud Virtual private cloud (VPC) Protected subnet Public
subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

セキュリティ：不審なアクセスを検知・ブロック  　AWS WAF  • Web Application Firewall  • Layer 7 
• ALBやCloudFrontにアタッチ  IGW  ALB  WAF  Internet  Instance  IPS  　IDS/IPS  • Intrusion Detection System/  Intrusion Prevention System  • Layer 3〜4  • パケットの中身を見る 

SIEM  • Security Information and Event Management  • 多種多様なログを一元管理  •
各種ログを横断して分析  SIEM  VPC ﬂow log  Cloudfront  ALB  WAF  IPS  Application 

SIEM on AWS OpenSearch Service  • OpenSearchを使ったSIEMソリューション  • https://github.com/aws-samples/siem-on-amazon-opensearch-service  •
S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納 

SIEM on AWS OpenSearch Service  • OpenSearch Dashboardで一覧できる  https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

SIEM on AWS OpenSearch Service  • OpenSearch Dashboardで一覧できる  https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

SOAR  • Security Orchestration, Automation and Response  • 統合・自動化したインシデント対応  WAF
Alert  ルールは RateLimit？  アクセス元は  日本国内？  WAF/ALBの  関連ログ収集  複数のルール  で検知？  Blacklist  に登録  誤検知の  可能性は？  IPSなどの  関連ログ収集  機械的に処理できる部分は  自動化したい！ 

SIEM次郎（しむじろう）  • SIEM→Slack通知→Jiraチケット起票の自動化  AWS Cloud ECS SIEM  Slack  アラート投稿  Bolt
for Python  Jira  チケット起票  自動アサイン  トリアージ  データ取得  要対処なら  ボタン押下  担当者が  対処にあたる 

SIEM次郎（しむじろう）  • SIEM→Slack通知→Jiraチケット起票の自動化 

freee auto-blacklist  • 明らかな攻撃元については自動でブラックリストに追加  • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行  WAF  S3 bucket 
Lambda  Black list  追加  expired  を削除  ECS  トリガー  Slack  トリガー  CloudWatch Events  Blacklistを  WAF ruleに反映  DynamoDB 

さらに先へ  • 現状のSIEMからのアラートは全てルールベース  ◦ 自動的に検知できない部分は人手で調査  • 機械学習を使って、より高度な攻撃を検知したい  ◦
ログに記録された内容を元に特徴量ベクトルを計算して、クラスタリング  • 現在絶賛開発中！ 

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

More Decks by freee

Featured

Transcript

OpenSearch SIEMのためのSOAR  WaTTson / imariku 2024年5⽉31⽇

2022年新卒入社。credentialを slackに書くな高校校歌の人。  2 WaTTson  PSIRT 2022年7月入社。前職は普通のバックエンドエンジニア。SIEMの運用やNetwork Firewall導入などを担当。

PSIRT  • Product Security Incident Response Team  インシデント発生の予防インシデント

freeeが提供しているプロダクト  • バックオフィス業務の効率化  • Webアプリモバイルアプリ  ……

プロダクトの構成  AWS Cloud Virtual private cloud (VPC) Protected subnet Public

セキュリティ：不審なアクセスを検知・ブロック  　AWS WAF  • Web Application Firewall  • Layer 7

SIEM  • Security Information and Event Management  • 多種多様なログを一元管理  •

SIEM on AWS OpenSearch Service  • OpenSearchを使ったSIEMソリューション  • https://github.com/aws-samples/siem-on-amazon-opensearch-service  •

SIEM on AWS OpenSearch Service  • OpenSearch Dashboardで一覧できる  https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

SIEM on AWS OpenSearch Service  • OpenSearch Dashboardで一覧できる  https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

SOAR  • Security Orchestration, Automation and Response  • 統合・自動化したインシデント対応  WAF

SIEM次郎（しむじろう）  • SIEM→Slack通知→Jiraチケット起票の自動化  AWS Cloud ECS SIEM  Slack  アラート投稿  Bolt

SIEM次郎（しむじろう）  • SIEM→Slack通知→Jiraチケット起票の自動化

freee auto-blacklist  • 明らかな攻撃元については自動でブラックリストに追加  • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行  WAF  S3 bucket

さらに先へ  • 現状のSIEMからのアラートは全てルールベース  ◦ 自動的に検知できない部分は人手で調査  • 機械学習を使って、より高度な攻撃を検知したい  ◦