Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230318 opensearch
Search
Sunny Cloud
January 20, 2024
Technology
0
56
20230318 opensearch
opensearch service to use the incident issues
Sunny Cloud
January 20, 2024
Tweet
Share
More Decks by Sunny Cloud
See All by Sunny Cloud
ここまでできるAWSコスト削減
kanakokodera
1
60
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週)
kanakokodera
0
72
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週):[週刊生成AI with AWS – 2024/7/15週
kanakokodera
0
72
2024年7月16日開催【オンラインイベント】セキュリティリスクの把握・評価・軽減からみるAWSセキュリティの具体策
kanakokodera
0
120
JAWS-UG福岡 #18: JAWS-UGクラウド女子会共催スペシャル【ハイブリッド開催】
kanakokodera
0
51
週刊AWSキャッチアップ(2024年6月24日週)
kanakokodera
0
86
女性でエンジニア以外も楽しめる支部活動を
kanakokodera
2
300
webinar20240529.pdf
kanakokodera
0
39
週刊AWSキャッチアップ~週刊生成AI with AWS – 2024/5/13週~
kanakokodera
0
160
Other Decks in Technology
See All in Technology
技術職じゃない私がVibe Codingで感じた、AGIが身近になる未来
blueb
0
130
kubellが挑むBPaaSにおける、人とAIエージェントによるサービス開発の最前線と技術展望
kubell_hr
1
330
Devin(Deep) Wiki/Searchの活用で変わる開発の世界観/devin-wiki-search-impact
tomoki10
0
560
マルチテナント+マルチプロダクト SaaS への AI Agent の組み込み方
kworkdev
PRO
2
370
從四件事帶你見識見識 事件驅動架構設計 (EDA)
line_developers_tw
PRO
0
140
Snowflake Intelligenceで 実現できるノーコードAI活用
takumimukaiyama
1
260
doda開発 生成AI元年宣言!自家製AIエージェントから始める生産性改革 / doda Development Declaration of the First Year of Generated AI! Productivity Reforms Starting with Home-grown AI Agents
techtekt
0
170
(新URLに移行しました)FASTと向き合うことで見えた、大規模アジャイルの難しさと楽しさ
wooootack
0
750
「規約、知識、オペレーション」から考える中規模以上の開発組織のCursorルールの 考え方・育て方 / Cursor Rules for Coding Styles, Domain Knowledges and Operations
yuitosato
6
1.9k
RubyOnRailsOnDevin+α / DevinMeetupJapan#2
ginkouno
0
660
TerraformをSaaSで使うとAzureの運用がこんなに楽ちん!HCP Terraformって何?
mnakabayashi
0
180
API の仕様から紐解く「MCP 入門」 ~MCP の「コンテキスト」って何だ?~
cdataj
0
170
Featured
See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Being A Developer After 40
akosma
90
590k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
123
52k
Into the Great Unknown - MozCon
thekraken
39
1.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
107
19k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
910
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
VelocityConf: Rendering Performance Case Studies
addyosmani
329
24k
Documentation Writing (for coders)
carmenintech
71
4.9k
Transcript
OpenSearchでのログを 使ったインシデント調査 JAWS-UG女子会 小寺 加奈子 2023/3/18
アジェンダ OpenSerarchってどんなサービス? OpenSearch SIEM を使おう インシデント調査してみよう QAタイム
自己紹介 (株式会社アイディーエス)所属 ・仕事:AWSアライアンスリード、 日本、ベトナムでのAWS事業拡大がミッション ・趣味:お琴を弾くこと ・好きなAWSサービス:Cost Exploler JAWS-UG女子会 小寺 加奈子
OpenSerarchって どんなサービス? リソースのデプロ イ、 管理に費やす時 間を削減できる フルマネージド 認証、認可、暗号 化、監査、 およびコ
ンプライアンスのた めの高度な セキュリ ティが維持されてい る 潜在的な脅威を体系的に 検出し、機械学習、 アラ ート、可視化を活用して 対処 Amazon OpenSearch Service は Amazon ElasticSearch Service の後継サービス オープンソースの検索・分析エンジンで、 OpenSearchのデプロイ・スケーリング等を容易に行うためのサービス セキュリティ データ分析・ オブザーバビリティ 各種リソースを最適化 コスト戦略に集中 各種リソースを最適化 し、 戦略的な作業に注力
ログの分析結果からセキュリティインシデントを発見したい 色々なログ分析があるけれど・・・ Why SIEM? ログ調査における 脅威のアラートが複数に分散する 調査対象が広範囲になりがち・・ 上記の課題解決に役立つ
SIEM とは? Security Information and Event Management セキュリティ機器、ネットワーク機器、 その他のあらゆる機器の データを収集及び一元管理をして、
相関分析によって脅威検出と インシデントレスポンスをサポートするための ソリューション
SIEM on Amazon OpenSearch Service の概要 セキュリティインシデントを調査するための ソリューションです。 複数のログをSIEM on
Amazon OpenSearch Serviceに集 約し、ログ相関分析及び可視化することができます。
SIEM on Amazon OpenSearch Service の概要 他の特徴については以下の通り ・マルチアカウント・マルチリージョンに対応 ・AWS サービス専用のログ正規化、ダッシュボード
・脅威インテリジェンスによるログのエンリッチメント ・Amazon Security Lake、AWS Control Tower との連携
インシデント調査をしてみる 各サービスからS3に ログ出力されるよう事前設定をしておく(※設定方法は割愛)
インシデント調査をしてみる OpenSearch ダッシュボードの「discovery」から ログ確認が行える
インシデント調査をしてみる アラート通知編 ログを事後に確認するのではなく、アラート通知設定もしておく →ログがルールにマッチしたらアラートをSNS経由で通知
インシデント調査をしてみる アラート通知編 アラート通信先の設定:SNSから通知設定 [Alerting]から通知先を選択
インシデント調査をしてみる アラート通知編 監視対象の設定 [Monitors]タブ => [Create monitor] ※正規化したログの時刻には、以下2つが設定可 @timestamp :ログの発生時刻
event.ingested :SIEM の受信時刻 ・Monitor schedule:SIEMに取り込んだログに対して〇分間隔で 監視するかを設定
まとめ ログ分析は色々なパターンがありますが、 今日は「SIEM on Amazon OpenSearch Service」の概要を ご紹介しました! ・EC2⇒CloudWatch⇒Lambda⇒OpenSearch ・EC2⇒CloudWatch⇒Kinesis
Data Firehose 上記のパターンなどもありますが、AWSサービス以外のログも S3に取り込めば、OpenSearch Serviceへ連携できます!!
小寺加奈子
[email protected]
お気軽にお声がけください! Q&A
kanakokodera
blueb
kubell_hr
tomoki10
kworkdev
line_developers_tw
takumimukaiyama
techtekt
wooootack
yuitosato
ginkouno
mnakabayashi
cdataj
smashingmag
pedronauck
akosma
aki_iinuma
thekraken
panda_program
bluesmoon
chriscoyier
tammyeverts
honnibal
addyosmani
carmenintech
![インシデント調査をしてみる アラート通知編 アラート通信先の設定:SNSから通知設定 [Alerting]から通知先を選択](https://files.speakerdeck.com/presentations/7bc4fcf622f24109a1a9dff650e18fec/slide_11.jpg){kind=link}
![インシデント調査をしてみる アラート通知編 監視対象の設定 [Monitors]タブ => [Create monitor] ※正規化したログの時刻には、以下2つが設定可 @timestamp :ログの発生時刻](https://files.speakerdeck.com/presentations/7bc4fcf622f24109a1a9dff650e18fec/slide_12.jpg){kind=link}
![小寺加奈子 [email protected] お気軽にお声がけください! Q&A](https://files.speakerdeck.com/presentations/7bc4fcf622f24109a1a9dff650e18fec/slide_14.jpg){kind=link}