$30 off During Our Annual Pro Sale. View Details »

SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜

SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜

2023/7/29 (土)
[秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]
https://jaws-tohoku.doorkeeper.jp/events/156109

Kento Suzuki

July 31, 2023
Tweet

More Decks by Kento Suzuki

Other Decks in Technology

Transcript

  1. SIEM って何︖
    〜 Amazon OpenSearch で始める SIEM 〜
    7/29 (土) [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]

    View Slide

  2. ⾃⼰紹介
    鈴木健斗
    所属
    アイレット株式会社(東京)
    業務
    AWSのインフラ構築・運用 → 提案
    ・Japan AWS Top Engineer (2022, 2023)
    ・Japan AWS All Certifications Engineer (2022, 2023 )
    ・ AWS Community Builder(Cloud Operations)
    ・iret テクニカルアンバサダー (2023)
    2
    @k_suzuki_pnx

    View Slide

  3. アジェンダ
    ◉ テーマ選定の経緯
    ◉ SIEMとは
    ◉ Amazon OpenSearch とは
    ◉ SIEM に関する AWS 公式ハンズオンをやってみる
    ◉ まとめ
    3

    View Slide

  4. テーマ選定の経緯
    Background of theme selection
    1
    4

    View Slide

  5. Security-JAWS DAYS の登壇が決まる
    タイトル
    探せぇ︕お薦めAWSセキュリティワークショップ︕︕
    〜 怒涛のワークショップ45連戦 〜
    5
    ※注意
    本日確認したところ 48 種類に増えている模様
    「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」
    という⽅に向けて、全AWS公式セキュリティワークショップの中から、
    個⼈的にお薦めのワークショップを紹介(CfP 応募時点では全45種類)
    参考︓AWS Security Workshop
    https://workshops.aws/categories/Security
    https://jaws-tohoku.doorkeeper.jp/events/156109

    View Slide

  6. 全 AWS 公式ワークショップをやる
    その中で以下のワークショップを⾒つける
    「SIEM on Amazon OpenSearch Service Workshop」
    6
    概要
    Amazon OpenSearch Service 上にセキュリティ情報・イベント管理(SIEM)システムと
    セキュリティログ分析プラットフォームを構築し、ログの取り込み、分析、
    ダッシュボード化のための費⽤対効果の⾼いソリューションの構築をする。

    View Slide

  7. SIEM って何?
    SIEM とそれに関連する AWS のサービス
    Amazon OpenSearch Service について
    調べてみた
    7

    View Slide

  8. SEIM とは
    What is SIEM

    8

    View Slide


  9. Security Information and Event Management の略で、セキュリティ機器、
    ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、
    相関分析によって脅威検出とインシデントレスポンスをサポートするための
    ソリューションです。
    9
    https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/

    View Slide

  10. AWS 上で活⽤すると何が解決できるの︖
    ◉ Amazon GuardDuty を利⽤して、悪意のあるアクティビティや不正な動作を
    継続的にモニタリングしているが、検出した脅威について、原因分析のために
    イベント発⽣元サービスのログを調べることが負担になっている
    ◉ 複数のログからインシデントに関連する⼀連のログだけを
    抽出して相関分析をしたい
    ◉ AWS CloudTrail を利⽤して、ユーザーアクティビティと API 使⽤状況の
    追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい
    10

    View Slide

  11. とりあえず AWS のセキュリティ系サービスのログや
    サーバログを取得しているが
    それを活⽤できていない
    そんな⽅へのソリューションです
    11

    View Slide

  12. Amazon OpenSearch とは
    What is Amazon OpenSearch
    3
    12

    View Slide

  13. Amazon OpenSearch とは
    ◉ Apache 2.0 に基づいてライセンス供与された、検索、分析、
    可観測性アプリケーション向けのスケーラブルで柔軟、拡張可能な
    オープンソースソフトウェアの詰め合わせたパッケージである OpenSearch を
    簡単にデプロイ・管理、スケール可能にしたフルマネージドサービス
    ◉ E コマースプラットフォームやドキュメントポータル、レコメンデーションエンジンなど
    様々な検索領域でのユースケース
    ◉ 元々 Amazon Elasticsearch Service と呼ばれていたサービスが⼤⼈の事情で名称が変更に
    13

    View Slide

  14. Visualization

    View Slide

  15. SIEM の AWS 公式ワークショップ
    Official AWS Workshop about SIEM
    4
    15

    View Slide

  16. SIEM on Amazon OpenSearch Service Workshop
    16
    概要
    Amazon OpenSearch Service 上にセキュリティ情報およびイベント管理 (SIEM) システムと
    セキュリティ ログ分析プラットフォームを構築し、ログの取り込み、分析、
    ダッシュボードのためのコスト効率の高いソリューションを構築
    レベル
    300 ~ 400
    かかる時間
    2時間程度

    View Slide

  17. SIEM on Amazon OpenSearch Service Workshop
    17
    学習できること
    ・SIEM へ複数種類のログ取り込み
    ・OpenSearch Dashboards / Kibana を活用したセキュリティログ調査
    ・OpenSearch Dashboards / Kibana のダッシュボードによるデータの可視化
    ・Amazon OpenSearch Service のアラート設定

    View Slide

  18. SIEM on Amazon OpenSearch Service Workshop
    18
    以下のサービスから出力されるログを用いて分析を行う
    GuardDuty CloudTrail VPC Flow Log Webサーバから
    出力されるログ

    View Slide

  19. ワークショップできること(ログ検索)
    19

    View Slide

  20. ワークショップできること(ログの可視化)
    20

    View Slide

  21. やってみた感想
    21
    ◉ CloudTrail, CloudWatch Logs, GuardDuty のコンソールからポチポチとログ調査をしたり、
    S3 に格納されている ALB のログファイルを取り出してローカル PC でログ調査したこともあったので、SIEM があ
    ると便利だと感じた…
    ◉ 不正ログインを検知/調査するソリューションとして使えるので、提案できると思った。
    ◉ AWS で SIEM を構築するための Cloudformation と AWS CDK のテンプレートが
    以下の GitHub に置いてあるので同じ環境を複製しやすくてありがたい。
    https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md
    ◉ QuickSight + Athena でも同じようなことができる認識だが、使い分けがわからん

    View Slide

  22. ログ、集約して終わりじゃない
    何のために集約していて、どう活用するかを考えるまでやろう
    22

    View Slide