Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee
June 06, 2024
1
2.9k

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

June 06, 2024
Tweet

More Decks by freee

See All by freee
freeeのモバイルエンジニアについて
freee
1
120
10分でわかるfreeeのQA
freee
1
3.5k
10分でわかるfreee エンジニア向け会社説明資料
freee
18
520k
freee株式会社の福利厚生と働き方
freee
1
64k
品質の高速フィードバックへの取り組み / Commitment to Fast Quality Feedback
freee
3
930
組織作りに「プロダクト開発のエッセンス」 を取り入れ、不確実性に向き合い続ける / Incorporating the “essence of product development” into organizational development and continuing to face uncertainty
freee
0
1.9k
LGBTQ__support_WOMEN_女性として働くということ_DEI
freee
2
470
QAエンジニア_Summer Internship説明会(26卒)
freee
0
250
権限管理基盤の開発とQAの今 / Authority Management Infrastructure Development and QA Now
freee
1
3k

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
How to Ace a Technical Interview
jacobian
276
23k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Designing for humans not robots
tammielis
250
25k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Automating Front-end Workflow
addyosmani
1366
200k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k

Transcript

  1. OpenSearch SIEMのためのSOAR
 WaTTson / imariku 2024年5⽉31⽇

  2. 2022年新卒入社。credentialを slackに書くな高校校歌の人。
 2 WaTTson
 PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。


    imariku
 PSIRT

  3. PSIRT
 • Product Security Incident Response Team
 インシデント 発生の予防 インシデント

    の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析

  4. freeeが提供しているプロダクト
 • バックオフィス業務の効率化
 • Webアプリ モバイルアプリ
 ……

  5. プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public

    subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

  6. セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 • Web Application Firewall
 • Layer 7


    • ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 • Intrusion Detection System/
 Intrusion Prevention System
 • Layer 3〜4
 • パケットの中身を見る


  7. SIEM
 • Security Information and Event Management
 • 多種多様なログを一元管理
 •

    各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application


  8. SIEM on AWS OpenSearch Service
 • OpenSearchを使ったSIEMソリューション
 • https://github.com/aws-samples/siem-on-amazon-opensearch-service
 •

    S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納


  9. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

  10. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

  11. SOAR
 • Security Orchestration, Automation and Response
 • 統合・自動化したインシデント対応
 WAF

    Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!


  12. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt

    for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる


  13. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化


  14. freee auto-blacklist
 • 明らかな攻撃元については自動でブラックリストに追加
 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket


    Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB


  15. さらに先へ
 • 現状のSIEMからのアラートは全て ルールベース
 ◦ 自動的に検知できない部分は人手で調査
 • 機械学習を使って、より高度な攻撃を 検知したい
 ◦

    ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング
 • 現在絶賛開発中!

  16. None