Splunking_webproxy

Transcript

1. © 2017 SPLUNK INC. © 2017 SPLUNK INC. © 2017

   SPLUNK INC. © 2017 SPLUNK INC. 4QMVOLΛ࢖ͬͨ1SPYZϩά෼ੳ ࣄނલఏࣾձʹ͓͚Δઆ໌੹೚ΛՌͨ͢؀ڥͮ͘ΓΛ໨ࢦͯ͠ 4QMVOL 4FSWJDFT
   +BQBO
   4BMFT
   &OHJOFFS
   ԣా ૱ 
   WFS 4UFQ
   1SPYZϩά෼ੳ

2. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ▶ ༇շ൜͔ΒɺαΠόʔ൜ࡑϏδωε΁ͷมԽ

   • ѹ౗త༗རͳঢ়گͰࣥ፠ʹ߈ܸΛ܁Γฦ͢αΠόʔ൜ࡑ૊৫ ▶ ैདྷͷ༧๷తͳରࡦͰ͸ؾ͚ͮͳ͍ʢݕ஌Ͱ͖ͳ͍ʣ߈ܸͷ૿Ճ • ֎෦௨ใʹΑΓ߈ܸʹؾׂ͍ͮͨ߹͸ Ҿ༻ݩɿ .BOEJBOU .5SFOET
   SFQPSU
   
    ▶ ༗ࣄͷࡍʹ໰ΘΕΔઆ໌੹೚ • ηΩϡϦςΟ݉೚ͷ*5෦໳ͰਐΊΔΠϯγσϯτରԠ΁ͷऔΓ૊ΈʢҾ༻ݩɿઐ೚ऀ͕͍ͳ͍ ೋ໦ΰϧϑͷηΩϡϦςΟରࡦज़આ໌੹೚ΛՌͨ͢؀ڥͮ͘Γ ʣ ߈ܸऀ༏੎ͷηΩϡϦςΟ৘੎ ɾɾɾ'JSF&ZF
   IUUQTXXXGJSFFZFDPNDPOUFOUEBNGJSFFZFXXXQBSUOFSTQEGTTC.BSTI'JSF&ZFQEG ɾɾɾ;%/FU
   +BQBOʢIUUQTKBQBO[EOFUDPNBSUJDMFʣ

3. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ▶ TZTMPHαʔόʹอ؅ͯ͋͠Δ1SPYZϩάʢ̏ϲ݄෼ʣΛHSFQݕࡧ

   ▶ ݕࡧ݁Ռ͕ग़ἧ͏·Ͱɺ଴ͭ͜ͱ਺࣌ؒʙ൒೔ ▶ Πϯγσϯτ͸͋ͬͨͷ͔ɺͳ͔ͬͨͷ͔ɺෆ҆ͳ࣌ؒΛ଴ͬͯա͢͝ɻɻɻ ͜Μͳܦݧ͋Γ·ͤΜ͔ʁ 
   DBU
   BDDFTT@MPH
   c
   HSFQ
   IUUQYYYZZZDO *5ӡ༻୲౰ऀ"͞Μ ˓˓෦໳௕ ʮ͜ͷ63-ʹΞΫηεͨ͠ਓ͕͍ͳ͔͔ͬͨ ࢸٸௐࠪͯ͘͠Εʂʯ

4. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ༧๷తରࡦ͕͢Γൈ͚ΒΕΔࣄΛ૝ఆ͠ɺ֤εςοϓͰ৵ೖΛલఏͱͨ͠ൃݟతରࡦ͕ඞཁͰ͢ɻ Πϯλʔωοτ

   ಺෦޲͚%.; ಺෦ωοτϫʔΫ ߈ܸऀ ֎෦޲͚%.; ίϚϯυ ίϯτϩʔϧ αʔό ܭըཱҊ ߈ܸ४උ ॳظજೖ ج൫ߏங ಺෦ௐࠪɾ৵ೖ ໨త਱ߦ ࠶৵ೖ        *1"ʹΑΔରࡦɿηΩϡϦςΟઓུͱ߈ܸϧʔτ ൃݟతରࡦʹ༗ޮͳϩά෼ੳͷख๏Λ֤εςοϓ͝ͱʹ͝঺հ 参考元： IPA 「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開 / （https://www.ipa.go.jp/security/vuln/newattack.html ೖޱରࡦ ಺෦ରࡦ ग़ޱରࡦ ग़ޱରࡦ

5. © 2017 SPLUNK INC. © 2017 SPLUNK INC. Πϯλʔωοτ ಺෦޲͚%.;

   ಺෦ωοτϫʔΫ 'JSF8BMM 41". ϑΟϧλ ϝʔϧαʔό %/4 8FC
   1SPYZ ϑΝΠϧ αʔό "DUJWF
   %JSFDUPSZ %#αʔό ߈ܸऀ ֎෦޲͚%.; 8FCΞϓϦ αʔό *%4*14 8"' 8FCΞϓϦ αʔό 4BOECPY 1$ Ξϯν ΢Πϧε %-1 &%3 ίϚϯυ ίϯτϩʔϧ αʔό ग़ޱରࡦͷϩά෼ੳϙΠϯτྫ ܭըཱҊ ߈ܸ४උ ॳظજೖ ج൫ߏங ಺෦ௐࠪɾ৵ೖ ໨త਱ߦ ࠶৵ೖ        ग़ޱରࡦ ग़ޱରࡦ

6. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ▶ 8FC

   1SPYZαʔόͰ͸ɺ1$͔Βͷ8FCαΠτΛӾཡ͢ΔͨΊͷϦΫΤετΛه࿥͢Δ͜ͱ͕Ͱ ͖·͢ɻ ▶ ͦͷͨΊ)551ͳͲͷ௨৴ϓϩτίϧΛ༻͍ͯίϚϯυίϯτϩʔϧαʔόͱ௨৴͢ΔϚϧ΢ ΤΞͷ׆ಈͷه࿥ΛϞχλϦϯά͢Δ࠷ॳͷεςοϓͱͯ͠1SPYZϩάΛਖ਼͘͠ه࿥อ؅͠ɺ෼ ੳͰ͖Δ࢓૊ΈΛ༻ҙ͢Δ͜ͱΛਪ঑͠·͢ɻ ▶ ୅දతͳ1SPYZϩά෼ੳͷϢʔεέʔεͱ෼ੳํ๏ʹ͍ͭͯ͝঺հ͠·͢ɻ ࢀߟɿ1SPYZϩά෼ੳ͕ͳͥ༗ޮͳͷ͔ʁ Ϛϧ΢ΣΞ (&51045ϦΫΤετ 8FCΞΫηεϩά ίϚϯυίϯτϩʔϧ αʔό 8FC
   1SPYZ 参考元： JPCERT CC / 高度サイバー攻撃への対処におけるログの活用と分析方法 （https://www.jpcert.or.jp/research/APT-loganalysis_Report_20151117.pdf）

7. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ▶ #MVF
   $PBU
   1SPYZ4(

   TZNBOUFDࣾ ▶ *OUFS4DBO 8FC
   4FDVSJUZ 5SFOE
   .JDSPࣾ ▶ *OUFS4BGF 8FC'JMUFS "-4*ࣾ ▶ J'*-5&3
   %JHJUBM"SUTࣾ
   ͳͲ ୅දతͳ1SPYZ੡඼ ԼهΛ୅දͱ͢Δ1SPYZ੡඼ʢ࣌఺ʣΛ͝ར༻ͷ৔߹ɺຊϢʔεέʔε͕ར༻͍͚ͨͩ·͢ɻ

8. © 2017 SPLUNK INC. © 2017 SPLUNK INC. 1SPYZϩά෼ੳϢʔεέʔεྫ ؂ࢹਪ঑

   ໨త ෼ੳϢʔεέʔε ෼ੳํ๏ ஫ҙࣄ߲ ڧ͘ਪ঑ Ϛϧ΢ΣΞײછ1$ͷ ൃݟ ֎෦ػ͔ؔΒͷ௨ใ࣌ʹײછ୺຤ Λಛఆ 63-Λݕࡧ͠1SPYZϩάͱಥ߹  ڧ͘ਪ঑ Ϛϧ΢ΣΞ഑৴ݩ 63-ͷಛఆ 3FGFSFS஋͔ΒϦμΠϨΫτݩ 63-Λಛఆ ෆਖ਼63-ͷൃݟ࣌ʹ߹ΘͤͯϦμΠϨΫ τݩ63-΋֬ೝ͠ɺվ͟Μݩ63-΁ΞΫ ηεͨ͠୺຤Λચ͍ग़͢ɻ 1SPYZϩάͷग़ྗ಺༰ΛσϑΥϧτ͔Β มߋ͢Δඞཁ͋Γɻ ਪ঑ Ϛϧ΢ΣΞײછ1$ͷ ൃݟ 4BOECPYػثͳͲͰݕ஌ͨ͠63- ͱಥ߹͠ײછ୺຤Λಛఆ ࢀরϦετʢMPPLVQϑΝΠϧ ྫɿ CMBDLMJTUDTW ʣΛ༻ҙͯ͠ɺ1SPYZϩά ͷ63-ͱಥ߹ݕࡧΛߦ͏ɻ  ਪ঑ 63-ΞΫηε܏޲ͷ ՄࢹԽ 8FC௨৴ͷτϥϑΟοΫ܏޲෼ੳ 8FC
   "OBMZ[FS
   "QQͳͲΛ׆༻͠μο γϡϘʔυΛݩʹ܏޲ͷݟ͑ΔԽ  Ͱ͖Ε͹ Ϛϧ΢ΣΞײછ1$ͷ ൃݟ ෆ৹ͳ6TFS"HFOUͷݕ஌ ڐՄࡁΈ8FCϒϥ΢βҎ֎ͷ6TF"HFOU ར༻ͷݕ஌ɻ ࣄલʹࣾ಺1$ͱ8FCϒϥ΢βͷ૊Έ߹ Θͤຖʹར༻͞ΕΔ6TFS"HFOUΛϗϫ ΠτϦετԽ͢Δඞཁ͋Γɻ Ͱ͖Ε͹ Ϛϧ΢ΣΞײછ1$ͷ ൃݟ Ϛϧ΢ΣΞʹΑΔϏʔίχϯά௨ ৴ͷݕ஌ Ұఆ࣌ؒ಺ʹසൟʹΞΫηεΛ܁Γฦ͠ ͍ͯΔ֎෦υϝΠϯ63-Λݕ஌ɻ ਖ਼نͷΞοϓσʔτ௨৴΋ݕ஌͢Δࣄ͕ ଟ͍ͨΊɺ࠷ॳʹਖ਼نυϝΠϯͷϗϫΠ τϦετԽ࡞ۀΛซ༻͢Δɻ қ͍͠ ೉͍͠ ෼ੳ࡞ۀͷෛՙͷϨϕϧʹԠͨ͡୅දతͳ 1SPYZ෼ੳϢʔεέʔεྫΛԼهʹهࡌ͠·͢ɻ

9. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ֎෦͔Βͷ௨ใ4BOECPYػثͳͲͰݕ஌ͨ͠63-ͱಥ߹͠ײછ୺຤Λಛఆ ᶃ63-ΛࢀরϦετʢCMBDLMJTUDTWʣʹࣗಈొ࿥͠·͢ɻ

   ᶄ1SPYZϩάʹͯɺ௨৴੒ޭʢBDUJPOBMMPXFEʣʹͳ͍ͬͯΔ৔߹ɺϚϧ΢ΣΞʹײછ͠ίϚϯυΞϯυίϯτϩʔϧαʔόͱͷ ௨৴͕઀ଓ੒ޭ͍ͯ͠Δ͜ͱ͕Θ͔Γ·͢ɻ୺຤͕ಛఆͰ͖ͨޙ͸ 1$ͷִ཭ௐࠪ෮چΛߦ͍·͢ɻ αϯϓϧΠϝʔδ

10. © 2017 SPLUNK INC. © 2017 SPLUNK INC. 4QMVOLΛ࢖ͬͨ8FC
    1SPYZϩά෼ੳͷޮՌ ログ取得依頼受け付けました。

    共有サーバにアップロードする までお待ちください 
    DBU
    BDDFTT@MPH
    c
    HSFQ
    IUUQYYYZZZDO Splunk 有りのAさん (Proxy取得済み) ਺࣌ؒʙ೔ ʙ਺෼ ӡ༻αϙʔτ૭ޱ ڞ༗αʔό ݕࡧ ϩά%- Splunk 無しのBさん ௐࠪ։࢝ ௐࠪ։࢝ ௐ΂͍ͨΩʔϫʔυͰݕࡧ 報告書 作成 औಘґཔ ଴ͪ࣌ؒ ݕࡧ݁Ռ଴ͪ࣌ؒ ଴ͪ࣌ؒ 報告書 作成 4QMVOLΛ࢖ͬͨ৔߹ɺΠϯγσϯτௐࠪ࣌ؒͷѹ౗తͳ࡟ݮ͕ՄೳʹͳΓ·͢ɻ

11. © 2017 SPLUNK INC. © 2017 SPLUNK INC. ߋʹʂ1SPYZͱ૊Έ߹ΘͤΔࣄͰ༗ޮͳσʔλʹ͍ͭͯ Webアクセスログ、アラート、ITアセットなどを一元的に集約し繋ぎ合わせておく事で、インシデントの調査効

    率をあげることが可能です。 8FCΞΫηεϩά 8FC
    1SPYZ 4BOECPY੡඼ *5Ξηοτ৘ใ ɾ࣌ؒ ɾ*1ΞυϨε ɾ63- ɾϦεΫ ɾ࣌ؒ ɾ*1ΞυϨε ɾϢʔβʔ໊ ɾίϯϐϡʔλ໊ ɾ૊৫ Ϣʔβʔ໊ɿ5BSP
    :BNBEB ૊৫ɿ*5෦໳ ίϯϐϡʔλ໊ɿ8*/999 *1ΞυϨεɿ  ࣌ؒɿ
     ઀ଓઌ 63-ɿIUUQYYYZZZDO ΞΫγϣϯɿڐՄ ϦεΫɿߴ ϦμΠϨΫτݩ63-
    IUUQRB[DO ɾ࣌ؒ ɾ*1ΞυϨε ɾ63- ɾΞΫγϣϯ ɾϦμΠϨΫτݩ 63-

12. © 2017 SPLUNK INC. © 2017 SPLUNK INC. © 2017

    SPLUNK INC. © 2017 SPLUNK INC.