AWS VPC Traffic Mirroringを使って​ Fraud監視をスタート!​

Transcript

1. © 2 0 2 1 S P L U N

   K I N C . AWS VPC Traffic Mirroringを使って Fraud監視をスタート! Security-JAWS 【第20回】 勉強会 2021年2月18日(木)

2. This presentation may contain forward-looking statements regarding future events, plans

   or the expected financial performance of our company, including our expectations regarding our products, technology, strategy, customers, markets, acquisitions and investments. These statements reflect management’s current expectations, estimates and assumptions based on the information currently available to us. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this presentation. A discussion of factors that may affect future results is contained in our most recent annual report on Form 10-K and subsequent quarterly reports on Form 10-Q, copies of which may be obtained by visiting the Splunk Investor Relations website at www.investors.splunk.com or the SEC’s website at www.sec.gov, including descriptions of the risk factors that may impact us and the forward-looking statements made in this presentation. The forward-looking statements made in this presentation are made as of the time and date of this presentation. If reviewed after the initial presentation, even if made available by us, on our website or otherwise, it may not contain current or accurate information. We disclaim any obligation to update or revise any forward-looking statement based on new information, future events or otherwise, except as required by applicable law. In addition, any information about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. We undertake no obligation either to develop the features or functionalities described or to include any such feature or functionality in a future release. Splunk, Splunk>, Data-to-Everything, D2E and Turn Data Into Doing are trademarks and registered trademarks of Splunk Inc. in the United States and other countries. All other brand names, product names or trademarks belong to their respective ow ners. © 2021 Splunk Inc. All rights reserved. Forward- Looking Statements

3. © 2 0 2 1 S P L U N

   K I N C . 横田 聡 シニアセールスエンジニア CISSP GMON Splunk Services Japan 合同会社 twitter@odorumurphys qiita@odorusatoshi ご無沙汰です。 ２年ぶりのSecurity-JAWS！ 新作 ↓

4. © 2 0 2 1 S P L U N

   K I N C . 参照元：情報セキュリティ10大脅威 2021 https://www.ipa.go.jp/files/000088289.pdf 不正ログイン 脆弱性/改ざん 今日は、不正ログイン（Fraud）のお話 本日のテーマ

5. © 2 0 2 1 S P L U N

   K I N C . Splunkを使ったFraud監視のポイント あらゆるサービスに対するFraud (詐欺行為、不正手段) の監視に活用 ①不正ログイン • ブルートフォース攻撃 • リバースブルートフォース攻撃 • パスワードリスト攻撃 ②不正送金(又はAML) ③不正利用 • 不正ポイント利用（〇〇ポイント） サービスログイン試行 ④その他不正利用 • 不正請求（保険金の請求） • 不正医療費請求（薬の不正提供） • クレジットカード不正利用 etc 被 害 の 影 響 範 囲 時間の経過 サービスログイン後のなりすまし利用 (Credential Stuffing) (Account Take Over) 会員系Web サービス

6. © 2 0 2 1 S P L U N

   K I N C . TimeStamp Browser City Country OS Response SrcIP Type UserId 2020-09-10T08:29:59.975Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-6766742b420c 2020-09-10T08:12:46.333Z Chrome 8 Tokyo Japan Windows 10 Pass 203.xxx.xxx.xxx SignIn xxxxxx-0fe731727ea5 2020-09-10T08:11:35.177Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-edf222878482 2020-09-10T08:10:09.440Z Chrome 8 Tokyo Japan Windows 10 Fail 203.xxx.xxx.xxx SignIn xxxxxx-a759d6ad74ab 2020-09-10T07:53:04.002Z Chrome 8 Chiba Japan Mac OS X Fail 60.xxx.xxx.xxx SignIn xxxxxx-3b4aeba6eb7e SrcIp UserId Browser OS(Device) Status 分析の要。認証イベントのフィールド アプリケーションログにて出力保存できていますか？

7. © 2 0 2 1 S P L U N

   K I N C . 裏技:Splunk Streamでhttp通信をキャプチャ 「Webアプリケーションの改修(ログ出力設定)が困難なためネットワークでどうにかしたい！」 Search Head Splunk Indexers エンドユーザー Internet Firewall Physical or Virtual Servers Universal Forwarder Splunk_TA_stream デプロイ方法２: ホスト上でインラインに動作させる デプロイ方法１: SPANポートを使用した構成(推奨) Search Head Linux Forwarder Splunk_TA_Stream Splunk Indexers TAP or SPAN Servers エンドユーザー Internet Firewall

8. © 2 0 2 1 S P L U N

   K I N C . Application Load Balancer AWS Certificate Manager AWS WAF Availability Zone (1) Availability Zone (2) security group Amazon Route 53 https://www.mangoschips.net Amazon Kinesis Firehose Web サーバ Web サーバ Forwarder サーバ eth0 eth1 TCP:80 TCP:80 TCP:443 Splunk サーバ TCP: 9997 TCP: 8088 常時SSL(https)の通信をどうやってモニターするの？ UDP: 4789 UDP: 4789 Webサーバ • Amazon Linux2 • Apache:2.4.46 • PHP:5.4.16 • MySQL:5.7.32 Community Server Application Load BalancerなどでSSL終端している環境であればhttpプロトコルとしてキャプチャ可能 収集データ • AWS WAFアラート（HEC経由） • stream:httpデータ（VPC Traffic Mirroring経由）

9. © 2 0 2 1 S P L U N

   K I N C . 本日のデモ：WAFアラート調査 & Fraudセキュリティ監視 IDS/IPS Firewall Internet WAF L/B ・アクセスログ or WireData(http) Webアプリ サーバ Webサーバ 公開Webサイト ・アプリログ （取引ログ） ・アプリログ (認証ロ グ) or WireData(http) 認証サーバ CDN Fraudセキュリティ監視 WAFアラート調査 クラウドサービス監視 GCP Azure ・SQL Injection検知時のレンスポンス内容のチェック ・アラートとForm内容の突き合わせチェック etc Root Loginチェック IAM認証失敗チェック S3バケットpublic公開チェックetc ・サービス提供外国からの認証チェック ・異なるsrcから同一アカウントへの認証チェックetc 取得推奨データ

10. © 2 0 2 1 S P L U N

    K I N C . これからはじめるFraud対策ハンズオン! Day1: 3/17用 申し込みQRコード Day2: 3/18用 申し込みQRコード http://splk.it/39ulArD http://splk.it/3qZuX8p Fraud対策の基礎を学ぶ2日間のワークショップを開催。 両日参加する方は両ページからそれぞれ登録お願いします。 Day1: Webサービスにおける不正ログインの調査 Day2: トランザクションデータを用いた偽造カードの調査（with 機械学習）

11. © 2 0 2 1 S P L U N

    K I N C . 参考記事 • AWS VPC Traffic Mirroringを使ってFraud監視をスタート! • https://qiita.com/odorusatoshi/items/40a0bf66d8078e1f6b35 • Splunk Streamを使って http通信のWire Dataを可視化 • https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454

12. © 2 0 2 1 S P L U N

    K I N C . Thank You!