Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【ログ分析勉強会】EDR ログで内部不正を検出できるのか、Copilot に聞いてみた
Search
Hisashi Hibino
September 26, 2024
Technology
2
610
【ログ分析勉強会】EDR ログで内部不正を検出できるのか、Copilot に聞いてみた
2024/09/26 ログ分析勉強会 vol.5 発表資料
Hisashi Hibino
September 26, 2024
Tweet
Share
More Decks by Hisashi Hibino
See All by Hisashi Hibino
【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」
hssh2_bin
7
2.2k
【OpsJAWS】踏み台サーバーって何がうれしいんだっけ?
hssh2_bin
13
5.5k
【Cyber-sec+】ログの森で出会ったCloudTrail との奇妙な旅
hssh2_bin
1
670
【OpsJAWS】EC2 のセキュリティの運用と監視について考えてみた件
hssh2_bin
4
1.2k
【SecurityJAWS】時間切れで書き切れなかったOCSFの行く末とは
hssh2_bin
2
1.6k
Other Decks in Technology
See All in Technology
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
1
1.5k
なぜ私は自分が使わないサービスを作るのか? / Why would I create a service that I would not use?
aiandrox
0
870
2024.02.19 W&B AIエージェントLT会 / AIエージェントが業務を代行するための計画と実行 / Algomatic 宮脇
smiyawaki0820
15
4k
AndroidXR 開発ツールごとの できることできないこと
donabe3
0
130
Windows の新しい管理者保護モード
murachiakira
0
170
利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names
nttcom
2
310
深層学習と古典的画像アルゴリズムを組み合わせた類似画像検索内製化
shutotakahashi
1
260
データ資産をシームレスに伝達するためのイベント駆動型アーキテクチャ
kakehashi
PRO
2
600
Iceberg Meetup Japan #1 : Iceberg and Databricks
databricksjapan
0
150
開発組織のための セキュアコーディング研修の始め方
flatt_security
3
2.7k
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
1.2k
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
420
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
The Cult of Friendly URLs
andyhume
78
6.2k
Bash Introduction
62gerente
611
210k
Automating Front-end Workflow
addyosmani
1368
200k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
Designing for Performance
lara
604
68k
Why Our Code Smells
bkeepers
PRO
336
57k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Building Applications with DynamoDB
mza
93
6.2k
Done Done
chrislema
182
16k
Transcript
EDR ログで内部不正を検出できるのか Copilot に聞いてみた ログ分析勉強会 #5 2024 年 9 月
26 日(木) ログスペクト株式会社 日比野 恒
自己紹介 日比野 恒 - Hisashi Hibino Security Architect CISSP, CCSP,
CISA, PMP, 情報処理安全確保支援士(000999) [執筆] ➢ Elastic Stack 実践ガイド [Logstash/Beats 編](インプレス刊) ➢ AWS 継続的セキュリティ実践ガイド (翔泳社刊) [略歴] ⚫ 2018 年まで 10 年間 IT コンサルティング会社に在籍 ⚫ 2019 年より株式会社リクルートのセキュリティ組織に所属 ログ基盤やクラウドセキュリティに関するプロジェクトを推進 ⚫ 2024 年にログスペクト株式会社を設立し、現在に至る 2
本日伝えたいこと 3 • 内部不正による情報漏洩において どのようなログを活用すると効果 がありそうか • Google Drive に情報を持ち出す
リスクシナリオを例に Defender for Endpoint のログが使えそうか • Defender のログを分析する上で Copilot for Security による自然 言語での問い合わせで内部不正を 見つけられるのか
アジェンダ 4 1. 内部不正とは 2. 内部不正におけるログ活用 3. Copilot を試してみた 4.
総括
1. 内部不正とは
本書における定義 6 • 本資料における内部不正の範囲は以下のように定義する。 1. 内部従事者(役員・従業員・派遣・常駐の業務委託者)による不正行為 2. 人為ミスによる誤送信・誤設定(公開設定など)は対象外とする 3. 機密性・完全性・可用性のうち、機密性に対する毀損(情報漏洩)を対象とする
4. メインはログの話なので、ここでは技術的対策を対象とする
内部不正とは 7 • 「内部不正による情報漏洩」は IPA が毎年公表している情報セキュリティ 10 大脅威の常連である。 出典: 日本プライバシー認証機構ブログ
2024年版情報セキュリティ10大脅威(過去順位の推移)
漏洩リスク: 高 漏洩リスク: 中 サーバサイド 内部不正における情報漏洩 8 • 社内で厳重に管理されている機密情報を右側に持ち出せるほど情報漏洩のリスクは高まる。 (アクセス制御や通信制御などの予防策で右側に出せないように制御することでとリスクは低減される)
データベース ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 従業員/委託 (内部不正者) 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS ダウンロード 書き出し 私的クラウド環境 アップロード 漏洩リスク: 低 個人所有の環境 外部へ持ち出し
主な流出経路(MITRE Insider Threat TTP Knowledge Base v2.0を参照) 9 ユースケース 通信方向
論理/物理 ネットワーク サービス種別1 サービス種別2 ツール 送信手段 ドメイン 情報漏洩 社内から送信 社外アクセス ネットワーク 物理接続 スマホで撮影 インターネット ローカルネット パブリック プライベート 個人向け 法人向け ブラウザ Web Web ブラウザ以外 Mail 上記以外 ブラウザ Web Web ブラウザ以外 Mail 上記以外 共有 占有 共有 占有 クラウド間連携 社外からのアクセス(基本的には IP フィルタなどで予防する) USB などのケーブル接続で外部記憶媒体に書き出す 自宅 NAS、自宅プリンタ、Bluetooth 接続、Airdrop 接続など 自前で構築した公開システム クラウドサービスの機能でデータ連携 SSH、RDP、FTP など Google Driveなど Messenger アプリなど Y!メール、GMail宛など ※1 ※1 ドメインの共有とは、Google Drive のようにどの契約でもドメイン名が同じもの ドメインの占有とは、Box(エンタープライズ版)のように契約によってドメインが異なるもの
内部不正対策はなぜ難しいのか 10 • 正規のアクセス権を持っているため、予防策の基本であるアクセス制御は対策にならない。 また外部攻撃と違い、ログでの業務での正しい操作と不正行為による操作の見分けが明確に定義しづらい。 検知ロジックを 定期実行する 検知した メッセージを 確認する
ダッシュボード のサマリーから 概況を把握する ドリルダウンで 詳細状況を把握 する 周辺ログの中身 を確認する (時間幅を広げ る、IDを絞るな ど) 自動 手動 結果を判定する (誤検知/違反) 検知精度が低い場合 この作業でスキルと工数が必要になる 下記のような環境の場合は、さらにログによる検出が難しくなる傾向がある • 業務の生産性や利便性を重視し、予防策による制御が緩い • 会社で利用できるツールが多岐にわたる(複数のオンラインストレージツールの併用など) • 兼務業務が多く担当する業務範囲が多岐にわたる(1人で複数部署の業務を担当)
2. 内部不正におけるログ活用
内部不正におけるログの果たす役割 12 • 単にログと言っても内部不正におけるシーンによって、ログの用途や使い方が異なる。 牽制 監査 監視 ✓ セキュリティ対策のうちの予防策に属する。 ✓
ログを取得し、定期的にモニタリングをしていることを就業規則やセキュリティ教育の中で 啓蒙することで内部不正する気を起こさせないための対策となる。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 内部不正は外部攻撃と異なり、正常操作と異常操作の見極めが難しい性質があり 監視ロジックが組みにくいため、不審な操作がないかを定期的にログを目検でチェックする。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 会社として許可していない違反操作が明らかな場合には監視ロジックを開発し ログを使ってリアルタイムに検知するように監視システムで実施する。 追跡 ✓ こちらはセキュリティ対策ではなく影響調査での活用となる。 ✓ インシデントの事後対応として、「誰が」「いつ」「何を」「どのようにして」持ち出したのか インシデント影響を把握するためにログを活用する。
内部不正対策で利用されるログ製品 13 • 「サーバに保存されているデータをアクセスする部分」と「PCから外部に送る部分」に大きく区分される。 (ログでの検知は、外部送信に関する PC 操作ログや通信ログを監査するか、不審な操作を UEBA/ITM で監視するケースが多い) サーバサイド
データベース ファイルサーバ オンプレ/クラウド クライアントサイド 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS 個人所有の環境 PC 操作ログ PC 操作ログ クエリログ アクセスログ 外部へ持ち出し 業務端末 従業員/委託 (内部不正者) UEBA/ITM (監視) 例: Exabeam, Proofpoint ITM 例: CASB(Netskope, Zscaler) プロキシ/SWG(Palo Alto, 旧ProxySG) M365 メールボックス監査ログ 例: SKYSEA Client View, MaLion LANSCOPE Endpoint Manager Proofpoint ITM 例: PISO, Oracle AVDF 例: ALog, ELC Analytics ダウンロード 書き出し 私的クラウド環境 アップロード 通信ログ メールログ
社内環境 外部攻撃の監視ツールが有効活用できるのではないか 14 • ランサムウェア攻撃も内部侵入し、外部へ情報を持ち出すという導線なので、内部不正と同じ経路になる。 (ゆえに、ランサムウェアによる不審な挙動を検知する EDR 製品のログを活用することで内部不正による挙動も検出できるのではないか) サーバサイド データベース
ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 社内LAN/VPN接続 攻撃者環境 C2サーバ 攻撃者 ❶ マルウェア感染 (不正プログラムによる遠隔操作) ❷ ダウンロード (不正取得) ❸ アップロード (情報流出) EDR EDR ログ ファイアウォール 外部へ持ち出し
Defender for Endpoint のログを使ってみる 15 • Defender for Endpoint のログを内部不正対策にも活用できるのではないか?という仮説に至った。
# ログ種別 スキーマ名 説明 1 検知したアラートに関するログ アラートと動作 AlertEvidence 2 検知したアラートに関する重要度、脅威の分類などの情報 アラートと動作 AlertInfo 3 ウイルス対策やエクスプロイト保護などによって検知されるイベントを含む、複数のイベントのログ デバイス DeviceEvents 4 端末上の証明書検証イベントから取得した署名済みファイルの証明書情報 デバイス DeviceFileCertificateinfo 5 ファイルの作成や変更、その他ファイルシステムに関するイベントログ デバイス DeviceFileEvents 6 DLL ファイルの読み込みイベントに関するログ デバイス DeviceImageLoadEvents 7 OS 情報を含む端末に関する情報 デバイス DeviceInfo 8 端末上のユーザーログオンやその他の認証イベントに関するログ デバイス DeviceLogonEvents 9 ネットワーク接続とそれに関連するイベントのログ デバイス DevicenetworkEvents 10 端末のネットワーク(NIC, IPアドレス, MACアドレスなど)に関する情報 デバイス DeviceNetworkInfo 11 プロセスの作成とそれに関連するイベントのログ デバイス DeviceProcessEvents 12 レジストリエントリの作成と変更に関するイベントのログ デバイス DeviceRegistryEvents データ種別 ログ 情報 ログ 情報 ログ ログ 情報 ログ ログ 情報 ログ ログ
3. Copilot を試してみた
Microsoft Defender Portal リスクシナリオとログ分析環境 17 • Defender for Endpoint のイベントログに対して、Copilot
for Security を使って自然言語で問うてみる。 Copilot for Security 内部不正行為者 (Windows PC) ファイルアップロード(情報流出) 9/13 03:08 – 03:11 【リスクシナリオ】 Windows PC には EDR(Defender for Endpoint) がインストールされている。 Windows PC から Chrome ブラウザを使って私用に 利用している Google Drive のフォルダに大量のファ イルをアップロードする。 Advanced Hunting 分析担当 内部不正の兆候は起きていないですか? どのようなクエリを投げれば良いですか? マイドライブ > my-test-data01 FileName: PXL_xxx ×100 KQLクエリ 問い Defender for Endpoint ログ転送
Copilot for Security で問い合わせてみる 18 ❶ まずは緩めに聞いてみる ❷ 返されたKQLクエリを実行するも「該当事象なし」
再度 Copilot for Security に問い合わせてみる 19 ❸ 対象イベントをアラート検出したものに限定していたため デバイスのイベントログを対象にするように指示してみる ❹
またも「該当事象なし」
しつこく Copilot for Security を詰めてみる 20 ❺ ファイル名が Google Drive
となっているものを検索しても 何も該当しないのは当然なため、懲りずに詰めてみる ❻ 変わらず「該当事象なし」
もう Copilot for Security に嫌われる覚悟で... 21 ❼ 追加で3回の質問を投げかけてみたもの 回答ができなくなってしまったため ここで諦めることにする
最終的には自力で調査してみた 22 • Copilot for Security が回答できなくなったため、自力で KQL クエリを書いてログ調査した。 1.
ファイル操作のアクション種別の集計 === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:05:00Z) .. datetime(2024-09-12T18:11:59Z)) | summarize count()by ActionType | sort by count_ desc -> ActionType が “FileUploaded” や “FileDownloaded” のログはなかった。 2. ファイル操作ログ === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where FileName contains "PXL" | summarize count()by FileName | sort by count_ desc -> ファイル名にPXLという文字列を含むファイルの操作は一切ログに出ていなかった。 3. Google Drive との通信ログの URL ごとの集計 === DeviceNetworkEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where RemotePort == 443 | where RemoteUrl contains "google.com” | summarize count()by DeviceName, RemoteUrl | sort by count_ desc -> 該当するログはなかった。大半のログが ”RemoteUrl” の値が空になっていた。
4. 総括
まとめ 24 • 以下、総括です。 ✓ EDR は OS のバックグラウンドで動作しているプロセスの不審な動作を検出するツールであるため 人間によるフォアグラウンドの動作(アクティビティ)をログに記録するようにはできていない。
✓ ランサムのような外部攻撃は EDR で検出できるが、内部不正の予兆検出は難しく アクティビティの監視は従来通り PC 操作ログ(Skysea や Proofpoint など)で実施する必要がある。 ✓ Copilot for Security は頑張ってくれたが、期待する回答はできなかった。 (今回のユースケースは見つけられないという回答を返してくれるようになると調査が捗る)
None
【参考】内部不正対策で参考にしているドキュメント 26 • 情報セキュリティの内部不正対策を検討する際、必須で参考にしているドキュメント類です。 1. 組織における内部不正某ガイドライン(出典: IPA) https://www.ipa.go.jp/security/guide/insider.html 2. MITRE
Insider Threat TTP Knowledge Base(出典: MITRE) https://mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/our-work/insider-threat-ttp-knowledge-base/ 3. 「内部不正による情報セキュリティインシデント実態調査」報告書(出典: IPA) https://www.ipa.go.jp/archive/security/reports/economics/insider.html 4. 2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書(出典: IPA) https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html