2023/7/29 (土) [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎] https://jaws-tohoku.doorkeeper.jp/events/156109
SIEM って何︖〜 Amazon OpenSearch で始める SIEM 〜7/29 (土) [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]
View Slide
⾃⼰紹介鈴木健斗所属アイレット株式会社(東京)業務AWSのインフラ構築・運用 → 提案・Japan AWS Top Engineer (2022, 2023)・Japan AWS All Certifications Engineer (2022, 2023 )・ AWS Community Builder(Cloud Operations)・iret テクニカルアンバサダー (2023)2@k_suzuki_pnx
アジェンダ◉ テーマ選定の経緯◉ SIEMとは◉ Amazon OpenSearch とは◉ SIEM に関する AWS 公式ハンズオンをやってみる◉ まとめ3
テーマ選定の経緯Background of theme selection14
Security-JAWS DAYS の登壇が決まるタイトル探せぇ︕お薦めAWSセキュリティワークショップ︕︕〜 怒涛のワークショップ45連戦 〜5※注意本日確認したところ 48 種類に増えている模様「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」という⽅に向けて、全AWS公式セキュリティワークショップの中から、個⼈的にお薦めのワークショップを紹介(CfP 応募時点では全45種類)参考︓AWS Security Workshophttps://workshops.aws/categories/Securityhttps://jaws-tohoku.doorkeeper.jp/events/156109
全 AWS 公式ワークショップをやるその中で以下のワークショップを⾒つける「SIEM on Amazon OpenSearch Service Workshop」6概要Amazon OpenSearch Service 上にセキュリティ情報・イベント管理(SIEM)システムとセキュリティログ分析プラットフォームを構築し、ログの取り込み、分析、ダッシュボード化のための費⽤対効果の⾼いソリューションの構築をする。
SIEM って何?SIEM とそれに関連する AWS のサービスAmazon OpenSearch Service について調べてみた7
SEIM とはWhat is SIEM28
“Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューションです。9https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/
AWS 上で活⽤すると何が解決できるの︖◉ Amazon GuardDuty を利⽤して、悪意のあるアクティビティや不正な動作を継続的にモニタリングしているが、検出した脅威について、原因分析のためにイベント発⽣元サービスのログを調べることが負担になっている◉ 複数のログからインシデントに関連する⼀連のログだけを抽出して相関分析をしたい◉ AWS CloudTrail を利⽤して、ユーザーアクティビティと API 使⽤状況の追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい10
とりあえず AWS のセキュリティ系サービスのログやサーバログを取得しているがそれを活⽤できていないそんな⽅へのソリューションです11
Amazon OpenSearch とはWhat is Amazon OpenSearch312
Amazon OpenSearch とは◉ Apache 2.0 に基づいてライセンス供与された、検索、分析、可観測性アプリケーション向けのスケーラブルで柔軟、拡張可能なオープンソースソフトウェアの詰め合わせたパッケージである OpenSearch を簡単にデプロイ・管理、スケール可能にしたフルマネージドサービス◉ E コマースプラットフォームやドキュメントポータル、レコメンデーションエンジンなど様々な検索領域でのユースケース◉ 元々 Amazon Elasticsearch Service と呼ばれていたサービスが⼤⼈の事情で名称が変更に13
Visualization
SIEM の AWS 公式ワークショップOfficial AWS Workshop about SIEM415
SIEM on Amazon OpenSearch Service Workshop16概要Amazon OpenSearch Service 上にセキュリティ情報およびイベント管理 (SIEM) システムとセキュリティ ログ分析プラットフォームを構築し、ログの取り込み、分析、ダッシュボードのためのコスト効率の高いソリューションを構築レベル300 ~ 400かかる時間2時間程度
SIEM on Amazon OpenSearch Service Workshop17学習できること・SIEM へ複数種類のログ取り込み・OpenSearch Dashboards / Kibana を活用したセキュリティログ調査・OpenSearch Dashboards / Kibana のダッシュボードによるデータの可視化・Amazon OpenSearch Service のアラート設定
SIEM on Amazon OpenSearch Service Workshop18以下のサービスから出力されるログを用いて分析を行うGuardDuty CloudTrail VPC Flow Log Webサーバから出力されるログ
ワークショップできること(ログ検索)19
ワークショップできること(ログの可視化)20
やってみた感想21◉ CloudTrail, CloudWatch Logs, GuardDuty のコンソールからポチポチとログ調査をしたり、S3 に格納されている ALB のログファイルを取り出してローカル PC でログ調査したこともあったので、SIEM があると便利だと感じた…◉ 不正ログインを検知/調査するソリューションとして使えるので、提案できると思った。◉ AWS で SIEM を構築するための Cloudformation と AWS CDK のテンプレートが以下の GitHub に置いてあるので同じ環境を複製しやすくてありがたい。https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md◉ QuickSight + Athena でも同じようなことができる認識だが、使い分けがわからん
ログ、集約して終わりじゃない何のために集約していて、どう活用するかを考えるまでやろう22