Upgrade to Pro — share decks privately, control downloads, hide ads and more …

無償のセキュリティ神Apps10選

 無償のセキュリティ神Apps10選

2019.09.08のSplunk Live Tokyoにて講演した資料になります。

odorusatoshi

August 08, 2019
Tweet

More Decks by odorusatoshi

Other Decks in Technology

Transcript

  1. © 2019 SPLUNK INC. © 2019 SPLUNK INC. [A-2] 無償のセキュリティ神Apps10選

    今日から使える。セキュリティ監視の第一歩 Splunk Services Japan 合同会社 Senior Sales Engineer 横田 聡, CISSP 2019.09.06 Ver1.0
  2. © 2019 SPLUNK INC. During the course of this presentation,

    we may make forward-looking statements regarding future events or the expected performance of the company. We caution you that such statements reflect our current expectations and estimates based on factors currently known to us and that actual events or results could differ materially. For important factors that may cause actual results to differ from those contained in our forward-looking statements, please review our filings with the SEC. The forward-looking statements made in this presentation are being made as of the time and date of its live presentation. If reviewed after its live presentation, this presentation may not contain current or accurate information. We do not assume any obligation to update any forward-looking statements we may make. In addition, any information about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. Splunk undertakes no obligation either to develop the features or functionality described or to include any such feature or functionality in a future release. Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light and SPL are trademarks and registered trademarks of Splunk Inc. in the United States and other countries. All other brand names, product names, or trademarks belong to their respective owners. © 2019 Splunk Inc. All rights reserved. Forward-Looking Statements
  3. © 2019 SPLUNK INC. ► 対象: これからSplunkを使ってセキュリティ運用を始めよう としている方へ ► 内容:

    無償でセキュリティ運用に使えるSplunkのApps 10選を ご紹介 本セッションについて
  4. © 2019 SPLUNK INC. 豊富なSplunk Apps・他社製品との連携 Splunk Appsサイトで約1500種類のアプリケーションが利用可能 モニタリング API

    SDK UI サーバー・ストレージ ネットワーク サーバー 仮想化 オペレーション システム カスタム アプリケーション ビジネス アプリケーション クラウドサービス トラブルチケット ヘルプデスク モバイル アプリケーション Web Intelligence Stream 固定スキーマなし – どんなデータでもそのまま投入
  5. © 2019 SPLUNK INC. ► Splunk Apps は、Splunk に適用すれば多くの 業務や役割ですぐに効果を得られるように

    設計されています。Apps によって、ユー ザーの操作は簡素化と最適化が行われると 同時に、Splunk プラットフォームのデータ や機能はフルにアクセスできます。 • ビルトインダッシュボード、レポート、アラート、 ワークフロー • パワーユーザー向けの綿密なデータ分析 • ポイント アンド クリックの分析をビジネスユーザー へ ► Splunk Add onは、あらゆるソースからデータ をインポートして拡充し、充実したデータ セットを作成。Apps 内で直接分析したり利 用したりできる状態となります。また、Add onを使うと、Splunk プラットフォームを特 定のニーズに応じて拡張することもできま す。 • 何百もの共通ソースによるオンボードデータ • フィールドを自動選択、特定、タグ付け • 別の情報ソースを用いてデータを拡充 AppsとAdd-Onの違い https://www.splunk.com/ja_jp/products/apps-and-add-ons.html ダッシュボード フィールド定義&取込モジュール
  6. © 2019 SPLUNK INC. 身近な課題別にAppsをご紹介 セキュリティ監視設計の各ステップに有効なAppsを紹介 データ取り込み データ保存 可視化 分析とレポート

    アラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用 対象データ毎のAdd-On活用 「UF(転送Agent)をインストールできないか らネットワーク上でモニターして収集した い」 高速検索可能なサマリを作成 「中長期に渡る傾向を分析するための 集計サマリを作成したい」 既存ダッシュボードの活用 「ゼロからダッシュボード作るにもヒ ントがほしい!」 分析ルール/レポートの作成 「セキュリティの監視ルールはできる所から始め たい。」 「トポロジーを使った関連マップを作りたい。」 アラート連携 「アラート管理したい」 「モバイルから見たい」 管理/メンテナンス 「社内アセットリス トをGUIで更新した い」
  7. © 2019 SPLUNK INC. 無償のセキュリティ神Apps 10選 監視設計の各ステップに有効なAppを紹介 データ取り込み データ保存 可視化

    分析とレポート アラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用 対象データ毎のAdd-On活用 高速検索可能なサマリを作成 既存ダッシュボードの活用 分析ルール/レポートの作成 アラート連携 管理/メンテナンス
  8. © 2019 SPLUNK INC. ► How to use • Splunkのstream

    appを使ってWireデータを可視化 ► 推奨利用シーン • webサーバには直接UFを導入できないがWebリクエストをリアルタイムに取得したい • dnsサーバに対するクエリログをリアルタイムに取得したい ► 関連App • Splunk Essentials for Wire Data ► 参考記事 • Splunk Streamを使って http通信のWire Dataを可視化 https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454 ①Splunk Stream 「UF(転送Agent)をインストールできないからネットワーク上でモニターしてデータを収集したい」
  9. © 2019 SPLUNK INC. What is stream? Flow Data vs

    Splunk Stream Flow-type Data 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Splunk Stream 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical ▶ ホストとホスト間の接続を示すことができますが、これら の会話の内容は記録されていない イメージは、発着信履歴 ▶ Splunk Streamは、 Wireデータをフルレイヤーを対 象にすべて解析し、詳細な情報を含むイベントを生 成します イメージは、通話内容記録 ポイント:Splunk Streamは 全レイヤー層から必要なフィールドに限定して抽出することが可能
  10. © 2017 SPLUNK INC. 収集方法は? I see data everywhere (推奨)Stream専用ForwarderServerへ導入

    End Users SPAN or TAP Firewall Splunk Indexers Search head Linux - Universal Forwarder (Splunk_TA_Stream) Servers Internet
  11. © 2019 SPLUNK INC. ► How to use • CIMに準拠した高速化データモデルを新たに作成

    ► 推奨利用シーン • 過去1年分のVPNやActive Directoryなどのあらゆる認証イベントの成功/失敗件数の傾向レポート を高速作成したい。 ► 関連App • - ► 参考記事 • SplunkのData Model Accelerationは何故早いのか https://speakerdeck.com/odorusatoshi/splunkfalsedata-model-accelerationhahe-gu-zao-ifalseka ② CIM(Common Information Model) 「中長期に渡る傾向を分析するための集計サマリを作成したい」
  12. © 2019 SPLUNK INC. What is CIM? 各レイヤー、各社で異なる製品を使っていても標準化(CIM化)によって相関検索が可能 NW Server

    Endpoint 国産ベンダProxy 国産ベンダProxy EDR(Sysmon) 本社(インターネット統合) … … … グループ統合 アラート管理 インシデント 調査効率化 Threat Intelligence 連携 グループA DB ファイル サーバ IT Security, Compliance & Fraud Monitor Detect Investigate Respond Enterprise ES 3rd Party SIEM Augment& Replace On-Premise, Cloud, Hybrid Machine Data グループB グループC src_ipが「10.1.0.2」を含むログをNW、 サーバ、エンドポイント横断で検索。 グループBのパソコンがウイルス感染し、 C&Cサーバと接続していることが判明
  13. © 2019 SPLUNK INC. CIMに準拠した高速化データモデルの作成方法 各データモデルごとに高速化オプションを有効化するとデータモデルサマリが作成される サマリー範囲 指定期間分のデータモデルサマリを作成する。 期間を超えたサマリは自動的に削除される。 高速化のステータス確認

    • ステータスが100%になれば、サマリー範囲期間分の データモルサマリが作成されている。 • データモデルサマリは46.12MBのディスクを消費してい る事がわかる。 [設定] – [データモデル]に移動しAuthenticationデータモデルを編集
  14. © 2019 SPLUNK INC. ► How to use • 高速化データモデルを事前に作成しておき、InfoSec

    Appを追加するだけで可視化が可能。 ► 推奨利用シーン • ユーザ名、ホスト名を元にした調査ダッシュボードを手早く用意したい • ネットワークトラフィックの傾向監視ダッシュボードを手早く用意したい ► 関連App • Force Directed Visualization • Punchcard visualization • Splunk Common Information Model (CIM) ► 参考URL • https://www.youtube.com/watch?v=v_po-rPjZfg ③ InfoSec App for Splunk 「ゼロからダッシュボード作るにもヒントがほしい!」
  15. © 2019 SPLUNK INC. ► How to use • AWSのログ(cloudtrail)をAdd-onを使って収集し、Appを使った可視化

    ► 推奨利用シーン • AWSサービス内のコンポーネントの関連をトポロジーマップで可視化したい • 不正なアクセスキーの利用が無いか可視化したい ► 関連App • Splunk Add-on for Amazon Web Services ► 参考記事 • SplunkのAWS統合サービス「Splunk App for AWS」を試してみた by ハマコーさん https://dev.classmethod.jp/cloud/aws/splunk-app-for-aws/ ④ Splunk App for AWS 「 AWS環境のセキュリティ監視のためのダッシュボードがほしい!」
  16. © 2019 SPLUNK INC. 推奨セキュリティ監視ポイント トポロジー機能 Insights機能 確認のポイント 野良インスタンスが存在していないか?(ポリ シーのゆるいセキュリティグループに紐づく)

    Problem: Security groups with rules that allow unrestricted access (0.0.0.0/0) to specific ports. Solution: Restrict access to only those IP addresses that require it. To restrict access to a specific IP address, set the suffix to /32 (for example, 192.0.2.10/32). Be sure to delete overly permissive rules after creating rules that are more restrictive. Details: Accessing to port 20 - 22 is unrestricted. 確認のポイント 接続元IP制限が緩いセキュリティグループポリ シーが存在しないか?
  17. © 2019 SPLUNK INC. ► How to use • データソースを元に絞込んで有効なサーチ文を選択。試した後にスケジュールサーチに保存

    ► 推奨利用シーン • Active Directoryに対する不正アクセスの兆候を気づくための監視ルールを適用したい • エンドポイント上での通常と異なる不審なプロセスを検知したい ► 関連App • - ► 参考記事 • 無償のSplunk Security Essentialの使い方! https://qiita.com/odorusatoshi/items/201af5bb1bbc40b832bc ⑤ Splunk Security Essential 「 セキュリティの監視ルールはできる所から始めたい。」
  18. © 2019 SPLUNK INC. ► How to use • 機械学習(MLTK)と関連Appsをインストールしdns/proxy

    ログからdomain情報を分析 ► 推奨利用シーン • マルウェアが外部通信に利用する際に利用するDGA生成ド メインを検知したい ► 関連App • Splunk Machine Learning Toolkit 2.4 • URL Toolbox App • 3D Scatterplot • Parallel coordinates ► 参考記事 • DGA App for Splunk: Japanese (HowTo解説動画) https://youtu.be/8qwm79fGT20 ⑥ DGA App for Splunk 「 セキュリティの監視ルールはできる所から始めたい。」 Advanced
  19. © 2019 SPLUNK INC. ► How to use • src、destの関係を含むデータを用意して、サーチ結果のビジュアライゼーションを利用

    ► 推奨利用シーン • 不審なURLへの接続状況をトポロジーで可視化。更にトポロジーをクリックしてドリルダウン 調査を行いたい ► 関連App • - ⑦ Network Topology - Custom Visualization 「トポロジーを使った関連マップを作りたい。」
  20. © 2019 SPLUNK INC. ► How to use • Alert

    Manager Add-onとAlert Managerをイ ンストールして、スケジュールサーチ結 果のアラートアクション先に指定 ► 推奨利用シーン • スケジュールサーチのアラート発生時の 簡易チケッティング機能として利用 ► 関連App • Alert Manager Add-on ⑧ Alert Manager 「アラートを一元管理したい」
  21. © 2019 SPLUNK INC. ► How to use • 本Appをインストールして、iOSモバイルにSplunk

    Mobileをインストール。 ► 推奨利用シーン • 外出時のアラートチェックをパソコン開かずにmobileから確認したい ► 関連App • Splunk Mobile (iOS) https://itunes.apple.com/us/app/splunk-mobile/id1420299852?mt=8 ► 参考記事 • Splunk Mobile(Splunk Cloud Gateway)を使って旅先でPC開かずにアラートチェック https://qiita.com/odorusatoshi/items/779d3302cf73996a83e8 ⑨ Splunk Cloud Gateway 「モバイルからアラートを見たい」
  22. © 2019 SPLUNK INC. ► How to use • csvファイル(UTF-8)をLookup

    File Editorにアッ プロードして、GUIからも直接編集。 ► 推奨利用シーン • 社内のアセット情報のレコード修正をGUIから行 いたい(IPアドレスレンジと利用グループの紐 付け*比較的更新頻度は少ない*) ► 関連App • - ► 参考記事 • Lookup Editorの使い方 by じゅのぶろさん http://jnox.hatenablog.com/entry/splunk/using- lookup-editor ⑩ Lookup File Editor 「社内アセットリストをGUIで更新したい」
  23. © 2019 SPLUNK INC. 本日紹介したApps 最初の一歩に有効な無償Appsは抑えられましたか? データ取り込み データ保存 可視化 分析とレポート

    アラート Step1: Add-Onの活用 Step2: Appの活用 Step3: Utilityの活用 ①対象データ毎のAdd-Onの活用 ②データの正規化(スキーマ定義) ③既存ダッシュボードの活用 ④分析ルール/レポートの作成 ⑤アラート連携 ⑥管理/メンテナンス
  24. © 2019 SPLUNK INC. Next Security Session [A-3] 16:30〜 導入効果(検知力、調査効率)

    投 資 ( ラ イ セ ン ス 、 リ ソ ー ス ) 事後調査 アラート &傾向分析 継続的な脅威検知 ルールの適用 機械学習による 振る舞い検知 インシデント統合管理& チケッティング 自動化/ オーケストレーション Enterprise Security User Behavior Analytics Phantom Premium Solution(有償) ES Content Update 投 資 ( ラ イ セ ン ス 、 リ ソ ー ス )
  25. © 2019 SPLUNK INC. 4 Days of Innovation 350 Education

    Sessions 20 Hours of Networking “Hands down the most beneficial and attendee focused conference I have attended!” – Michael Mills, Senior Consultant, Booz Allen Hamilton 本日、登録をお願いします! conf.splunk.com .conf19 October 21-24, 2019 Splunk University October19-21, 2019 Las Vegas, NV The Venetian Sands Expo October 21-24
  26. © 2019 SPLUNK INC. ► 日付:11/7(木) 10:00-17:30 ► 参加人数: 1チームあたり3-5名、全体100名程度

    ► 参加に必要なスキル • セキュリティ運用における実務経験(SOC Tier3クラス) • Splunk Enterpriseの操作(簡単なサーチコマンド) ► 参加費:無料 MEGA BOTS Tokyo (CTF)を開催します! 日本一のセキュリティSplunk使いを決めます 詳細は近日公開予定 Global No1を 決めるぜ!