Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜

Avatar for Kento Suzuki Kento Suzuki
July 31, 2023
Technology
0
860

SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜

2023/7/29 (土)
[秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]
https://jaws-tohoku.doorkeeper.jp/events/156109
Avatar for Kento Suzuki

Kento Suzuki

July 31, 2023
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
Avatar for Kento Suzuki kentosuzuki
0
230
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
Avatar for Kento Suzuki kentosuzuki
2
300
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
Avatar for Kento Suzuki kentosuzuki
1
610
AWS のポリシー言語 “Cedar” で実現するアクセス制御
Avatar for Kento Suzuki kentosuzuki
0
370
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
Avatar for Kento Suzuki kentosuzuki
1
690
Verified Accessから始めるゼロトラストセキュリティ
Avatar for Kento Suzuki kentosuzuki
1
660
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
Avatar for Kento Suzuki kentosuzuki
0
340
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
Avatar for Kento Suzuki kentosuzuki
0
680
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
Avatar for Kento Suzuki kentosuzuki
3
1.1k

Other Decks in Technology

See All in Technology
撤退危機からのピボット : 4年目エンジニアがリードする TypeScript で挑む事業復活 / crisis-to-pivot-4th-year-engineer-ts-relaunch
Avatar for CARTA Engineering carta_engineering
2
150
え!! 日本国内でGo言語のバイリンガル勉強会を!?
Avatar for logica / Takuto Nagami logica0419
2
110
本番環境への影響リスクが低い Real Application Testing (SQL Performance Analyzer) の実施方法の検討と実践
Avatar for Yuichiro Narita jri_narita
0
230
4月15日の AZ 障害をテクサポの中の人目線で振り返ってみる
Avatar for kazzpapa3 kazzpapa3
3
190
スイッチのBMC、つかってますか?
Avatar for SONiC Users Group Japan sonic
0
500
(なるべく)無料で始める​Terraformのインフラ構築体験​
Avatar for Sakamossaaaan sakamossaaaan
1
110
newmo の創業を支える Software Architecture と Platform Engineering
Avatar for Yuki Ito 110y
5
780
PythonツールであるpygnmiをSONiCのgNMIに対して使ってみた
Avatar for SONiC Users Group Japan sonic
0
340
Lakehouse в Лемана Тех. От архитектуры до оптимизации
Avatar for Elena Meremyanina emeremyanina1234
0
500
若手中心の内製アジャイル開発で研究開発に挑戦 / 20250517 Nobuhiro Kawamura & Dami Lee & Tomohiko Tanikawa
Avatar for SHIFT EVOLVE shift_evolve
1
150
生成AI時代における人間の情熱とプロダクト志向 / 20250517 Takuya Oikawa
Avatar for SHIFT EVOLVE shift_evolve
2
350
Streamlit in Snowflakeで加速する不動産テック企業のデータ活用 @Snowflake WESTユーザー会
Avatar for yuto16 yuto16
1
150

Featured

See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
105
19k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.3k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.5k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
12k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
180
53k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.2k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
40
7.3k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
159
23k
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
50k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
41
2.3k

Transcript

  1. SIEM って何︖ 〜 Amazon OpenSearch で始める SIEM 〜 7/29 (土)

    [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]

  2. ⾃⼰紹介 鈴木健斗 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運用 → 提案 ・Japan AWS

    Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) 2 @k_suzuki_pnx

  3. アジェンダ ◉ テーマ選定の経緯 ◉ SIEMとは ◉ Amazon OpenSearch とは ◉

    SIEM に関する AWS 公式ハンズオンをやってみる ◉ まとめ 3

  4. テーマ選定の経緯 Background of theme selection 1 4

  5. Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 5 ※注意

    本日確認したところ 48 種類に増えている模様 「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」 という⽅に向けて、全AWS公式セキュリティワークショップの中から、 個⼈的にお薦めのワークショップを紹介(CfP 応募時点では全45種類) 参考︓AWS Security Workshop https://workshops.aws/categories/Security https://jaws-tohoku.doorkeeper.jp/events/156109

  6. 全 AWS 公式ワークショップをやる その中で以下のワークショップを⾒つける 「SIEM on Amazon OpenSearch Service Workshop」

    6 概要 Amazon OpenSearch Service 上にセキュリティ情報・イベント管理(SIEM)システムと セキュリティログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボード化のための費⽤対効果の⾼いソリューションの構築をする。

  7. SIEM って何? SIEM とそれに関連する AWS のサービス Amazon OpenSearch Service について

    調べてみた 7

  8. SEIM とは What is SIEM 2 8

  9. “ Security Information and Event Management の略で、セキュリティ機器、 ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、 相関分析によって脅威検出とインシデントレスポンスをサポートするための ソリューションです。

    9 https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/

  10. AWS 上で活⽤すると何が解決できるの︖ ◉ Amazon GuardDuty を利⽤して、悪意のあるアクティビティや不正な動作を 継続的にモニタリングしているが、検出した脅威について、原因分析のために イベント発⽣元サービスのログを調べることが負担になっている ◉ 複数のログからインシデントに関連する⼀連のログだけを

    抽出して相関分析をしたい ◉ AWS CloudTrail を利⽤して、ユーザーアクティビティと API 使⽤状況の 追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい 10

  11. とりあえず AWS のセキュリティ系サービスのログや サーバログを取得しているが それを活⽤できていない そんな⽅へのソリューションです 11

  12. Amazon OpenSearch とは What is Amazon OpenSearch 3 12

  13. Amazon OpenSearch とは ◉ Apache 2.0 に基づいてライセンス供与された、検索、分析、 可観測性アプリケーション向けのスケーラブルで柔軟、拡張可能な オープンソースソフトウェアの詰め合わせたパッケージである OpenSearch

    を 簡単にデプロイ・管理、スケール可能にしたフルマネージドサービス ◉ E コマースプラットフォームやドキュメントポータル、レコメンデーションエンジンなど 様々な検索領域でのユースケース ◉ 元々 Amazon Elasticsearch Service と呼ばれていたサービスが⼤⼈の事情で名称が変更に 13

  14. Visualization

  15. SIEM の AWS 公式ワークショップ Official AWS Workshop about SIEM 4

    15

  16. SIEM on Amazon OpenSearch Service Workshop 16 概要 Amazon OpenSearch

    Service 上にセキュリティ情報およびイベント管理 (SIEM) システムと セキュリティ ログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボードのためのコスト効率の高いソリューションを構築 レベル 300 ~ 400 かかる時間 2時間程度

  17. SIEM on Amazon OpenSearch Service Workshop 17 学習できること ・SIEM へ複数種類のログ取り込み

    ・OpenSearch Dashboards / Kibana を活用したセキュリティログ調査 ・OpenSearch Dashboards / Kibana のダッシュボードによるデータの可視化 ・Amazon OpenSearch Service のアラート設定

  18. SIEM on Amazon OpenSearch Service Workshop 18 以下のサービスから出力されるログを用いて分析を行う GuardDuty CloudTrail

    VPC Flow Log Webサーバから 出力されるログ

  19. ワークショップできること(ログ検索) 19

  20. ワークショップできること(ログの可視化) 20

  21. やってみた感想 21 ◉ CloudTrail, CloudWatch Logs, GuardDuty のコンソールからポチポチとログ調査をしたり、 S3 に格納されている

    ALB のログファイルを取り出してローカル PC でログ調査したこともあったので、SIEM があ ると便利だと感じた… ◉ 不正ログインを検知/調査するソリューションとして使えるので、提案できると思った。 ◉ AWS で SIEM を構築するための Cloudformation と AWS CDK のテンプレートが 以下の GitHub に置いてあるので同じ環境を複製しやすくてありがたい。 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md ◉ QuickSight + Athena でも同じようなことができる認識だが、使い分けがわからん

  22. ログ、集約して終わりじゃない 何のために集約していて、どう活用するかを考えるまでやろう 22