Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee
June 06, 2024
1
750

OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM

freee

June 06, 2024
Tweet

More Decks by freee

See All by freee
QAエンジニア_Summer Internship説明会(26卒)
freee
0
74
権限管理基盤の開発とQAの今 / Authority Management Infrastructure Development and QA Now
freee
1
690
国籍と専門性を超えてのコラボレーション / Collaboration across nationalities and specialties
freee
1
690
デザインリサーチの広げ方 〜XDの姿勢・態度・思考〜 / How to Expand Design Research 〜˜XD's Attitude, Attitude, and Thinking
freee
1
690
グローバルなQAエンジニア・・・ってナニ!? / Global_QA_Engineer..._What_s_that.pdf
freee
1
700
ぶきっちょPMによるfreeeのカルチャーとプロダクトのつながりについて / The Connection Between Freee's Culture and Product by a Clumsy PM
freee
1
700
スモールビジネスを、世界の主役に。 / Empower-Small-Businesses-to-Take-Center-Stage.
freee
1
720
なかなか成立しないStorytelling、ってかStorytellingってなに? / Storytelling that is not easily established, Or rather, what is Storytelling?
freee
1
750
OpenSearch Full-Indexing : 予期せぬ挑戦とその解決策 / OpenSearch Full-Indexing : Unexpected Challenges and Solutions
freee
1
760

Featured

See All Featured
Docker and Python
trallard
36
2.8k
Unsuck your backbone
ammeep
664
57k
The Illustrated Children's Guide to Kubernetes
chrisshort
34
47k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
247
20k
Teambox: Starting and Learning
jrom
129
8.5k
Ruby is Unlike a Banana
tanoku
96
10k
Git: the NoSQL Database
bkeepers
PRO
423
64k
Rebuilding a faster, lazier Slack
samanthasiow
75
8.4k
Scaling GitHub
holman
457
140k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
22
6.6k
Typedesign – Prime Four
hannesfritz
36
2.2k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k

Transcript

  1. OpenSearch SIEMのためのSOAR
 WaTTson / imariku 2024年5⽉31⽇

  2. 2022年新卒入社。credentialを slackに書くな高校校歌の人。
 2 WaTTson
 PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。


    imariku
 PSIRT

  3. PSIRT
 • Product Security Incident Response Team
 インシデント 発生の予防 インシデント

    の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析

  4. freeeが提供しているプロダクト
 • バックオフィス業務の効率化
 • Webアプリ モバイルアプリ
 ……

  5. プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public

    subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

  6. セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 • Web Application Firewall
 • Layer 7


    • ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 • Intrusion Detection System/
 Intrusion Prevention System
 • Layer 3〜4
 • パケットの中身を見る


  7. SIEM
 • Security Information and Event Management
 • 多種多様なログを一元管理
 •

    各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application


  8. SIEM on AWS OpenSearch Service
 • OpenSearchを使ったSIEMソリューション
 • https://github.com/aws-samples/siem-on-amazon-opensearch-service
 •

    S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納


  9. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

  10. SIEM on AWS OpenSearch Service
 • OpenSearch Dashboardで一覧できる
 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

  11. SOAR
 • Security Orchestration, Automation and Response
 • 統合・自動化したインシデント対応
 WAF

    Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!


  12. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt

    for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる


  13. SIEM次郎(しむじろう)
 • SIEM→Slack通知→Jiraチケット起票の自動化


  14. freee auto-blacklist
 • 明らかな攻撃元については自動でブラックリストに追加
 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket


    Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB


  15. さらに先へ
 • 現状のSIEMからのアラートは全て ルールベース
 ◦ 自動的に検知できない部分は人手で調査
 • 機械学習を使って、より高度な攻撃を 検知したい
 ◦

    ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング
 • 現在絶賛開発中!

  16. None