SIEM って何？ 〜 Amazon OpenSearch で始める SIEM 〜

Transcript

1. SIEM って何︖ 〜 Amazon OpenSearch で始める SIEM 〜 7/29 (土)

   [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]

2. ⾃⼰紹介 鈴木健斗 所属 アイレット株式会社（東京） 業務 AWSのインフラ構築・運用 → 提案 ・Japan AWS

   Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder（Cloud Operations） ・iret テクニカルアンバサダー (2023) 2 @k_suzuki_pnx

3. アジェンダ ◉ テーマ選定の経緯 ◉ SIEMとは ◉ Amazon OpenSearch とは ◉

   SIEM に関する AWS 公式ハンズオンをやってみる ◉ まとめ 3

4. テーマ選定の経緯 Background of theme selection 1 4

5. Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 5 ※注意

   本日確認したところ 48 種類に増えている模様 「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」 という⽅に向けて、全AWS公式セキュリティワークショップの中から、 個⼈的にお薦めのワークショップを紹介（CfP 応募時点では全45種類） 参考︓AWS Security Workshop https://workshops.aws/categories/Security https://jaws-tohoku.doorkeeper.jp/events/156109

6. 全 AWS 公式ワークショップをやる その中で以下のワークショップを⾒つける 「SIEM on Amazon OpenSearch Service Workshop」

   6 概要 Amazon OpenSearch Service 上にセキュリティ情報・イベント管理（SIEM）システムと セキュリティログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボード化のための費⽤対効果の⾼いソリューションの構築をする。

7. SIEM って何？ SIEM とそれに関連する AWS のサービス Amazon OpenSearch Service について

   調べてみた 7

8. SEIM とは What is SIEM ２ 8

9. “ Security Information and Event Management の略で、セキュリティ機器、 ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、 相関分析によって脅威検出とインシデントレスポンスをサポートするための ソリューションです。

   9 https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/

10. AWS 上で活⽤すると何が解決できるの︖ ◉ Amazon GuardDuty を利⽤して、悪意のあるアクティビティや不正な動作を 継続的にモニタリングしているが、検出した脅威について、原因分析のために イベント発⽣元サービスのログを調べることが負担になっている ◉ 複数のログからインシデントに関連する⼀連のログだけを

    抽出して相関分析をしたい ◉ AWS CloudTrail を利⽤して、ユーザーアクティビティと API 使⽤状況の 追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい 10

11. とりあえず AWS のセキュリティ系サービスのログや サーバログを取得しているが それを活⽤できていない そんな⽅へのソリューションです 11

12. Amazon OpenSearch とは What is Amazon OpenSearch 3 12

13. Amazon OpenSearch とは ◉ Apache 2.0 に基づいてライセンス供与された、検索、分析、 可観測性アプリケーション向けのスケーラブルで柔軟、拡張可能な オープンソースソフトウェアの詰め合わせたパッケージである OpenSearch

    を 簡単にデプロイ・管理、スケール可能にしたフルマネージドサービス ◉ E コマースプラットフォームやドキュメントポータル、レコメンデーションエンジンなど 様々な検索領域でのユースケース ◉ 元々 Amazon Elasticsearch Service と呼ばれていたサービスが⼤⼈の事情で名称が変更に 13

14. Visualization

15. SIEM の AWS 公式ワークショップ Official AWS Workshop about SIEM 4

    15

16. SIEM on Amazon OpenSearch Service Workshop 16 概要 Amazon OpenSearch

    Service 上にセキュリティ情報およびイベント管理 (SIEM) システムと セキュリティ ログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボードのためのコスト効率の高いソリューションを構築 レベル 300 ～ 400 かかる時間 2時間程度

17. SIEM on Amazon OpenSearch Service Workshop 17 学習できること ・SIEM へ複数種類のログ取り込み

    ・OpenSearch Dashboards / Kibana を活用したセキュリティログ調査 ・OpenSearch Dashboards / Kibana のダッシュボードによるデータの可視化 ・Amazon OpenSearch Service のアラート設定

18. SIEM on Amazon OpenSearch Service Workshop 18 以下のサービスから出力されるログを用いて分析を行う GuardDuty CloudTrail

    VPC Flow Log Webサーバから 出力されるログ

19. ワークショップできること（ログ検索） 19

20. ワークショップできること（ログの可視化） 20

21. やってみた感想 21 ◉ CloudTrail, CloudWatch Logs, GuardDuty のコンソールからポチポチとログ調査をしたり、 S3 に格納されている

    ALB のログファイルを取り出してローカル PC でログ調査したこともあったので、SIEM があ ると便利だと感じた… ◉ 不正ログインを検知/調査するソリューションとして使えるので、提案できると思った。 ◉ AWS で SIEM を構築するための Cloudformation と AWS CDK のテンプレートが 以下の GitHub に置いてあるので同じ環境を複製しやすくてありがたい。 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md ◉ QuickSight + Athena でも同じようなことができる認識だが、使い分けがわからん

22. ログ、集約して終わりじゃない 何のために集約していて、どう活用するかを考えるまでやろう 22