Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee
June 06, 2024
1
5k

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

June 06, 2024
Tweet

More Decks by freee

See All by freee
freee Movement Deck
freee
1
12k
freee + Product Design FY24 Q2
freee
4
11k
freeeのモバイルエンジニアについて
freee
1
350
10分でわかるfreeeのQA
freee
1
11k
10分でわかるfreee エンジニア向け会社説明資料
freee
19
540k
freeeの福利厚生と働き方
freee
1
71k
品質の高速フィードバックへの取り組み / Commitment to Fast Quality Feedback
freee
4
1.3k
組織作りに「プロダクト開発のエッセンス」 を取り入れ、不確実性に向き合い続ける / Incorporating the “essence of product development” into organizational development and continuing to face uncertainty
freee
0
4.3k
LGBTQ__support_WOMEN_女性として働くということ_DEI
freee
2
580

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Documentation Writing (for coders)
carmenintech
69
4.6k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
660
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Why Our Code Smells
bkeepers
PRO
336
57k
Done Done
chrislema
182
16k
GitHub's CSS Performance
jonrohan
1030
460k
RailsConf 2023
tenderlove
29
1k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
The Cult of Friendly URLs
andyhume
78
6.2k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.5k

Transcript

  1. OpenSearch SIEMのためのSOAR
 WaTTson / imariku 2024年5⽉31⽇

  2. 2022年新卒入社。credentialを slackに書くな高校校歌の人。
 2 WaTTson
 PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。


    imariku
 PSIRT

  3. PSIRT
 • Product Security Incident Response Team
 インシデント 発生の予防 インシデント

    の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析

  4. freeeが提供しているプロダクト
 • バックオフィス業務の効率化
 • Webアプリ モバイルアプリ
 ……

  5. プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public

    subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

  6. セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 • Web Application Firewall
 • Layer 7


    • ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 • Intrusion Detection System/
 Intrusion Prevention System
 • Layer 3〜4
 • パケットの中身を見る


  7. SIEM
 • Security Information and Event Management
 • 多種多様なログを一元管理
 •

    各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application


  8. SIEM on AWS OpenSearch Service
 • OpenSearchを使ったSIEMソリューション
 • https://github.com/aws-samples/siem-on-amazon-opensearch-service
 •

    S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納


  9. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

  10. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

  11. SOAR
 • Security Orchestration, Automation and Response
 • 統合・自動化したインシデント対応
 WAF

    Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!


  12. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt

    for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる


  13. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化


  14. freee auto-blacklist
 • 明らかな攻撃元については自動でブラックリストに追加
 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket


    Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB


  15. さらに先へ
 • 現状のSIEMからのアラートは全て ルールベース
 ◦ 自動的に検知できない部分は人手で調査
 • 機械学習を使って、より高度な攻撃を 検知したい
 ◦

    ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング
 • 現在絶賛開発中!

  16. None