ログ分析勉強会 vol.2 https://loganalytics.connpass.com/event/157354/ の資料です
Amazon Athena を使ったセキュリティログ検索基盤の構築クックパッド株式会社技術部セキュリティグループ水谷正慶
View Slide
本日のトピック•以前のセキュリティログ検索基盤の課題•セキュリティログ検索の要件•検索基盤の設計と実装ΫοΫύουͷηΩϡϦςΟϩάݕࡧج൫Λ"NB[PO"UIFOBΛϕʔεʹ࠶ߏஙͨ͠Λ͠·͢
講演者自己紹介•水谷 正慶 (@m_mizutani)•クックパッド株式会社 (2017.11〜)‣ 技術部セキュリティグループ グループ長‣ セキュリティ監視基盤の設計・構築・運用を主に担当•前職ではSOCアナリストやSIEMに関する研究開発など
5
社内情報セキュリティの指針•制限や禁止事項を厳しくしすぎない‣ 社内でスムーズに情報共有ができるようにする‣ オフィスから外部へのアクセスを不必要に制限しない‣ リモートでもオフィスと変わらずに仕事ができる環境づくり• その代わりガッチリ監視をする• 問題を検出する• 問題発生後に追跡できるようにするセキュリティ監視の仕組みは重要な位置づけ6
https://techlife.cookpad.com/entry/2019/11/21/0730007
これまでのセキュリティログ検索基盤•Graylogを利用‣ ElasticsearchをベースにしたOSSのログ検索エンジン‣ インタラクティブな検索UI‣ 様々なログを取り込んで横断検索可能に8
Graylogの利用における課題•弾力性があまり高くない‣ スケールイン・アウトがスムーズにできない•使用頻度に対してコストが高い‣ Use caseが基本的にはアラート発生時の調査なので検索の頻度は限られる‣ およそ月額40万円強、年間500万円•Elasticsearchの運用が辛い‣ 流量から単純に負荷を見積もれないため新しい種類のログ投入時には緊張感が必要
クックパッドでのセキュリティログ検索の要件 (1/2)1. 複数種類のログスキーマに依存しない検索ができる• 現状で20種類くらいのログを収集• 全種類のログスキーマをメンテし続けるのは激しく消耗2. ニアリアルタイムで検索ができる• ログ発生から5〜10分ぐらいで検索ができるようになる状態にする• 数秒以内を目指しても専属のアナリストがいないので無意味• Managed SOCなどではSLAを15分程度に定めておりその範囲なら問題ないとする
クックパッドでのセキュリティログ検索の要件 (2/2)3. 単語境界を識別した検索ができる• “10.0.0.1” を検索したいときに “110.0.0.119” とかがヒットしないでほしい4. ログの投入時に容易にかつ迅速にスケールアウト・スケールインが可能である• ログ流量の変化に対して弾力性があってほしい• 新しい種類のログを投入するときに他のログが影響を受けないように5. 全体的な費用負担を減らす• 余計なコストを削減することで別のことにお金を使える
今回利用した主なAWSサービスの(雑な)紹介• AWS Lambda: サーバレスのコード実行サービス。容易にスケールイン・アウトさせられる•Amazon S3: オブジェクトストレージサービス。格安でデータを投入・保存できてしかも高可用•Amazon Athena: S3上のデータをSQLで抽出・分析ができるサービス。
ログ検索のためのアプローチ (1/2)•オンラインストレージ(EBS等)と比べてS3は爆安•検索は低頻度なのでスキャン量課金が有利•grepよりはもう少し複雑なクエリを書くためにS3selectよりAthenaを採用ϩά"844ʹอଘͯ͠ݕࡧ"UIFOBΛར༻͢Δ
ログ検索のためのアプローチ (2/2)•単語境界識別のために前処理をしておく必要がある• Lambdaを使うことでシームレスにスケールする• S3バケットに一次集約されたログをLambdaで処理して別S3バケットにparquet形式で保存ϩάͷೖ࣌ʹ-BNCEBΛར༻ͯ͠ΠϯσοΫεΛ࡞͢Δ
テーブル設計ϩάͷɾจষΛղͯ͠୯ޠ୯ҐͰJOEFYςʔϒϧʹอଘͲͷ4ΦϒδΣΫτ͔ʢPCKFDU*%ʣͱͦͷΦϒδΣΫτͰԿ൪ʹͰ͖ͯͨϩά͔ʢߦ൪߸ʣهରʹͳΔϩάͷຊจΛ4ΦϒδΣΫτͱߦ൪߸͝ͱʹNFTTBHFςʔϒϧʹอଘͯ͠ɺJOEFYςʔϒϧͷݕࡧ݁ՌͱKPJO͢Δ
実装•Minerva (Backend) https://github.com/m-mizutani/minerva‣ Lambda (Go) + Athena + DynamoDB + API gateway‣ Serverless構成をCloudFormationでdeploy•Strix (Frontend) https://github.com/m-mizutani/strix‣ Go with gin-gonic + Vue‣ Docker imageにしてECS上にdeploy
検索時の全体構成イメージStrix MinervaエンジニアECS API gateway Athena S3
Minerva (Backend)
Minervaの役割 (1/2)1. ログの投入• 一次集約されたログをダウンロードし、Indexテーブル、messageテーブル用にparquetファイルを生成• ElasticsearchにおけるStandard Tokenizerのような実装を自作して単語を分割2. パーティションの作成• パーティション例: s3://***-bucket/some-prefix/indices/dt=2019-11-01-05/some-bucket/some-key.parquet• 新しいパーティションにログが保存されたらAthenaにALTER TABLE命令を発行
Minervaの役割 (2/2)3. ログのマージ• ログ投入時には元のファイルと1対1でparquetファイルを生成していたがAthenaの検索では細切れのファイルではパフォーマンスがでない• 一定時間ごとに複数のファイルをマージしている4. ログの検索• API gatewayでリクエストを受け取りAthenaへクエリ発行• クエリの組み立てはLambda内で実施する
Strix (Frontend)•検索の対象範囲を時間で絞り込むことで10秒〜数十秒で検索可能•検索結果に対してjqでフィルタを書いてインタラクティブな分析をサポート•検索結果を半永久的に保存して分析時の記録として残せるように
Demo
成果•過去1時間程度のログなら10秒程度で検索可能•まだ完全に移行はできていないが対象ログを1ヶ月間分(非圧縮 約7.5TB)保持してもコストは1/10以下である3万円に収まる見込み
FAQ•Glue使わないの?‣ 起動間隔がそこそこ長い(最短5分+起動から処理開始までにもラグ)•Firehoseでparquet変換しないの?‣ 到着時間ベースでの時間分割になってしまう(生成時間ベースにできない)•CloudWatch Logsに投入しないの?‣ お値段が厳しい(投入だけでS3で1ヶ月保存する30倍)‣ 流量が増えると検索が厳しくなる
mizutani
globis_gdp
benevolent0505
shohei1029
htsuruo
minorun365
policemankh
scarletplover
kohbis
okazuki
vividtone
clusterinc
oracle4engineer
myddelton
colly
keavy
marcelosomers
productmarketing
phodgson
tammielis
stephaniewalter
bkeepers
ddemaree
danielanewman
chrislema