Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Network Firewallのログ分析 ~ OCI Log Analyticsを利...

OCI Network Firewallのログ分析 ~ OCI Log Analyticsを利用したログ分析(基礎編)~

Network Firewallを初めて利用される方で、かつログ分析やセキュリティ監視などを自社組織にて実施されたことがない方向けに、Network Firewallのログ分析に関する基本的な考え方をまとめた資料です。

Avatar for oracle4engineer

oracle4engineer PRO

May 15, 2024
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 目次 2 Copyright © 2025, Oracle and/or its affiliates 1

    2 3 4 5 はじめに(p3) ネットワーク・ファイアウォールのログ分析強化(p4) ネットワーク・ファイアウォールのログについて(p8) Trafficログの分析ポイント(p9) Threatログの分析ポイント(p14)
  2. はじめに 3 Copyright © 2025, Oracle and/or its affiliates 本資料の位置付け

    ネットワーク・ファイアウォールを初めて利用される方で、且つログ分析やセキュリティ監視などを自社組織にて実施されたこと がない方向けに、ネットワーク・ファイアウォールのログ分析に関する基本的な考え方をまとめた資料です。 既に自社組織にて、ログ分析やセキュリティ監視などを実施されている方につきましては、本資料で記載しているログ分析 の検索文などをカスタマイズ頂き、利用ください。 前提条件 ◼ OCI Network Firewallのログを有効化済み ◼ OCI Log Analyticsを有効化済み ◼ Connector Hubを経由してOCI Log Analyticsにデータ連携済み 設定方法に関しては、 P.23記載の “OCI チュートリアル 「OCI Network Firewallのログを分析する」” をご確認ください。
  3. ネットワーク・ファイアウォールのログ分析強化 OCI Log Analyticsへのログ連携 ◼ ネットワーク・ファイアウォールのログを、Connector Hubを経 由してOCI Log Analyticsにデータ連携することで、高度な

    ログ分析が可能 ◼ ネットワーク・ファイアウォールにおける “平時のトラフィック 量”および“脅威の検知・防止状況”を知ることで不正な兆 候を把握でき、プロアクティブなインシデント管理が可能 ◼ OCI Log Analyticsは機械学習を活用した横断的なログ 分析やダッシュボード機能による可視性を提供 ✓ OCIやオンプレミスにある様々なOSやミドルウェアのログに 対応して、ログの取り込みからビジュアライズをサポート ✓ 異常値の検出、クラスタ分析、トレンド分析など経験や スキルを問わず高度な分析 ✓ ログの検知条件に基づいて、管理者へのアラート通知 4 Copyright © 2025, Oracle and/or its affiliates
  4. ネットワーク・ファイアウォールのログ分析強化 OCI Log Analyticsへのログ連携 ◼ ネットワーク・ファイアウォールのログを、Connector Hubを経由してOCI Log Analyticsに連携することで、高度なログ分析が可能 ◼

    ネットワーク・ファイアウォールにおける “平時のトラフィック量”および“脅威の検知・防止状況”を知ることで不正な兆候を把握でき、 プロアクティブなインシデント管理が可能 ◼ OCI Log Analyticsは機械学習を活用した横断的なログ分析やダッシュボード機能による可視性を提供 ✓ OCIやオンプレミスにある様々なOSやミドルウェアのログに対応して、ログの取り込みからビジュアライズをサポート ✓ 異常値の検出、クラスタ分析、トレンド分析など経験や スキルを問わず高度な分析 ✓ ログの検知条件に基づいて、管理者へのアラート通知 5 Copyright © 2025, Oracle and/or its affiliates
  5. ネットワーク・ファイアウォールのログ分析強化 OCI Log Analyticsへのログ連携 ◼ Connector Hubを経由して、OCI Log Analyticsにデータ連携することで詳細なログ分析が可能 ◼

    OCI Log Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 ✓ OCIのリソースおよびオンプレミスにあるOSやミドルウェアなどのログにも対応 ✓ 各種ログの取り込みからビジュアライズまでをサポート ✓ 異常値の検出、クラスタ分析、トレンド分析など経験やスキルを問わず高度な分析が可能 ✓ OCI Notificationサービスと連携して、ログデータに応じたアラート通知が可能 6 Copyright © 2025, Oracle and/or its affiliates Logging Log Analytics JSON形式の Traffic と Threatログ Network Firewall ログ管理 Loggingのログを Log Analyticに転送 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析 Connector Hub
  6. ネットワーク・ファイアウォールのログ分析強化 Logging および Log Analytics の特徴 OCI Loggingによるログ分析 ログの管理※および簡易的なログ分析が可能。 「カスタム・フィルタ」機能を利用することで、Loggingで定義され

    たラベルを基に、SrcIP、DstIP、Action(許可/拒否)などで ログの絞り込みが可能です。 OCI Log Analyticsによるログ分析 横断的な分析およびダッシュボード機能を用いて、高度なログ分 析が可能。 Loggingとの違いは、分析データをグラフや表など視覚的に表 示することができる為、セキュリティ監視などのプロアクティブなイン シデント管理が可能です。 7 Copyright © 2025, Oracle and/or its affiliates 検索したいラベルを選択 ※ JSONフォーマットにて最大6カ月保存(デフォルトは1カ月保存) ログ・エクスプローラ 検索文からダッシュボード化 検索文を利用してログ分析
  7. ネットワーク・ファイアウォールのログについて 3種類のログ(Trafficログ・Threatログ・Tunnel Inspectionログ) ◼ Trafficログ ネットワーク・ファイアウォールで受信したトラフィックを把握することが できます。(ルール・アクションで「トラフィックの許可・削除・拒否」 を選択した場合) ◼ Threatログ

    ネットワーク・ファイアウォールの脅威シグネチャ(IDS/IPS)で検 知・防止した通信を把握することができます。 ◼ Tunnel Inspectionログ OCI 仮想テストアクセスポイント(VTAP)サービスによってミラーリ ングされたVXLANトラフィックを把握することができます。 8 Copyright © 2025, Oracle and/or its affiliates 各ログを有効にすることで OCI Loggingサービス にてログの管理および簡易的な監視が可能になります 【参考】 https://docs.oracle.com/ja-jp/iaas/Content/Logging/Reference/details_for_networkfirewall.htm
  8. 【ビジュアライゼーション】: 線 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Traffic

    Logs' | timestats count as logrecords by Action ネットワーク・ファイアウォールのログ分析強化 Trafficログの分析ポイント 1. 平時のトラフィック量(トラフィックの許可・削除・拒否)を把握 2. 平時のトラフィック量を把握することで、緊急時における トラフィック量の判断が可能 3. Logging Analyticsのビジュアライゼーションを「線」に変更 することで、各トラフィックを線別で確認することが可能 (トラフィック毎の調査に有効) 10 Copyright © 2025, Oracle and/or its affiliates ※ 必要に応じて「対数目盛の表示」を利用 【ビジュアライゼーション】: ヒストグラム付きレコード 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Traffic Logs' | timestats count as logrecords by Action
  9. ネットワーク・ファイアウォールのログ分析強化 Trafficログの分析ポイント 1. 許可されたトラフィックより特定ソースからのアクセスが 集中していないか、かつ不正な振る舞いがないかなどを調査 2. 検索条件として、「トラフィックの許可」および「SrcIPアドレス」 を指定 1. 削除・拒否されたトラフィックより特定ソースからのアクセスが

    集中していないか、かつ不正な振る舞いがないかなどを調査 2. 検索条件として、 「トラフィックの削除・拒否」※および 「SrcIPアドレス」を指定 ※allow以外を指定(!マークを使用) 11 Copyright © 2025, Oracle and/or its affiliates 不正通信と思われるアクティビティを調査し、 インシデントに繋がる振る舞いを抑止 削除・拒否されたトラフィックを分析し、 セキュリティ・ルールの効果を確認 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Traffic Logs' and Action = allow | stats count as logrecords by 'Source IP', Action | sort -logrecords 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Traffic Logs' and Action != allow | stats count as logrecords by 'Source IP', Action | sort -logrecords
  10. ネットワーク・ファイアウォールのログ分析強化 Trafficログの分析ポイントのまとめ 13 Copyright © 2025, Oracle and/or its affiliates

    📌 平時のトラフィック量を把握することで、緊急時におけるトラフィック量の判断が可能 📌 許可しているトラフィックにおいて、不正通信と思われるアクティビティを調査・分析し、セキュリティ・イン シデントに繋がる振る舞いを抑止 📌 許可していないトラフィックにおいて、正常通信に影響を及ぼしていないかを調査・分析し、必要に応 じてセキュリティ・ルールを最適化
  11. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント 1. 平時より脅威シグネチャの検知・防止状況を把握 2. 攻撃動向を把握して、インシデントに繋がる振る舞いへの 分析を実施(特にIDSで利用されてる場合) 3. Log Analyticsのビジュアライゼーションを「線」に変更するこ

    とで、検知・防止状況を線別で確認することが可能 (IDSおよびIPS毎の調査に有効) 15 Copyright © 2025, Oracle and/or its affiliates ※ 必要に応じて「対数目盛の表示」を利用 検知・防止状況の全体概要を把握 検知・防止状況の全体概要を把握 【ビジュアライゼーション】: ヒストグラム付きレコード 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | timestats count as logrecords by Action 【ビジュアライゼーション】: 線 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | timestats count as logrecords by Action
  12. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント(重大度レベルで分析) 1. 重大度レベルを基に検知・防止されている脅威シグネチャの 動向や内容を調査(必要に応じて対応) 2. 検索条件として、脅威シグネチャの重大度レベルを示す 「Severity」を指定 3. 重大度レベルに対して、脅威の種類を示す「Threat

    Category」を検索条件に追加 4. 重大度レベル毎に検知・防止されている脅威の種類を確認 することが可能 16 Copyright © 2025, Oracle and/or its affiliates 【補足説明】: 事前にセキュリティインシデント対応する為の対応基準を定義しておくと良いでしょう。 例えば、重大度レベルを示す「Severity」において、“Critical” や “High”を中心に 対応するなどの運用・監視プロセスを定義します。 【ビジュアライゼーション】: 円 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by Severity 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count by Severity, 'Threat Category'
  13. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント(重大度レベルで分析) 1. 重大度レベルの“Critical”に対する調査・対応 2. 検索条件に、脅威シグネチャの重大度レベルを示す 「Severity=Critical」および脅威シグネチャの「Threat」を 指定 ◼ 「Severity」

    を「Critical」に指定 ◼ 「Threat」として検索 1. 重大度レベルの“High”に対する調査・対応 2. 検索条件として、脅威シグネチャの重大度レベルを示す 「Severity=High」および脅威シグネチャの「Threat」を指定 17 Copyright © 2025, Oracle and/or its affiliates 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' and Severity = critical | stats count by Severity, Threat 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' and Severity = high | stats count by Severity, Threat
  14. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント(脅威シグネチャで分析) 1. 検知・防止数の多い脅威シグネチャに対する調査・対応 2. 検索条件として、脅威シグネチャの種類を示す「Threat Category」および検知・防止(IDS/IPS)の動作を示す 「Action」、且つ検知数の多い順に表示する「sort」を指定 ◼ 「Severity」

    を「Critical」に指定 ◼ 「Threat」として検索 1. 検知・防止数の多い脅威シグネチャに対する調査・対応 2. 検索条件として、脅威シグネチャを示す「Threat」および検 知・防止(IDS/IPS)の動作を示す「Action」、かつ検知数の 多い順に表示する「sort」を指定 18 Copyright © 2025, Oracle and/or its affiliates 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by 'Threat Category', Action | sort -logrecords 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by Threat, Action | sort -logrecords
  15. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント(IPアドレスで分析) 1. 検知・防止数の多いSrcIPアドレスに対する調査・対応 2. 条件として、接続元となる「Source IP」および検知・防止 (IDS/IPS)の動作を示す「Action」、かつ検知数の多い 順に表示する「sort」を指定 ◼

    「Severity」 を「Critical」に指定 ◼ 「Threat」として検索 1. Threat Intelligenceサービスより提供する脅威IPアドレス に基づいた調査・対応 2. 条件として、「Threat IPs」および検知・防止(IDS/IPS) の動作を示す「Action」を指定 19 Copyright © 2025, Oracle and/or its affiliates 【補足説明】: Threat Intelligenceサービスより提供する脅威IPアドレスは、過去のサイバー攻撃 などから得られたIPアドレスとなります。Threat IntelligenceよりIPアドレスに関する 信頼度スコアを確認することで、調査・分析する際の判断基準となります。 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' and Action | stats count as logrecords by 'Source IP', Action | sort -logrecords 【ビジュアライゼーション】: 横棒 【検索文(例)】: 'Log Source' = 'OCI Network Firewall Threat Logs' and Action | stats count as logrecords by 'Threat IPs', Action | sort -logrecords
  16. ネットワーク・ファイアウォールのログ分析を強化 Threatログの分析ポイント ログ・エクスプローラより該当項目をクリックしてブレイクダウンすることで、検知・防止したログの詳細について確認することができます。 SrcIP, DstIP, Threat Category, Threatなどの情報を確認し、攻撃によるシステムへの影響範囲を調査・分析します。 攻撃対象に影響を及ぼす場合、“IDSからIPSへの変更“ や

    ”脆弱性に対するパッチ適用”などを対応を検討します。 20 Copyright © 2025, Oracle and/or its affiliates 重大度レベルの“Critical”に対する調査・対応。 右上にある該当の脅威シグネチャ名をクリックすること で、検知・防止した内容を確認。 SrcIP, DstIP, Threat Category, Threat関連などを 確認して、攻撃によるシステムへの影響範囲を調査・分析。 IDSで利用しており、かつOCIリソースへの攻撃検知に 関 しては、必要に応じてリソース側のログ調査(例:OS, ア プリケーション, 等)や脆弱性の対応状況なども確認。 パロアルトネットワークスのサイト 「Threat Vault」を参考に検知・防 止している脅威シグネチャ(脅威概 要、影響を受けるシステム、等)を 把握 https://threatvault.paloalton etworks.com ※ 事前にID登録が必要 例えば、sshなどのログイン試行に 関する脅威が検知されている場合、 リソース側のSecureログなどで実際 のログイン状況について調査・分析。 調査・分析結果に基づいた対応を 実施。 ※ リソース側のログもLogging Analyticsに取り込んでおく事で 一つの管理コンソールより調査・ 分析が可能。 Here
  17. ネットワーク・ファイアウォールのログ分析強化 Threatログの分析ポイントのまとめ 22 Copyright © 2025, Oracle and/or its affiliates

    📌 平時の検知・防止状況を把握することで、緊急時における攻撃状況の判断が可能 📌 【IDSで利用】: 攻撃の検知のみとなる為、検知した脅威シグネチャの内容(脅威概要、重大度、影響を受けるシ ステム、等)や接続元/接続先のIPアドレスなどを確認し、該当システムにおける影響範囲を調査・ 分析。また、OCIリソースへの攻撃検知に関しては、リソース側のログおよび脆弱性の対応状況なども 確認して、必要に応じて対応を講じる 📌 【IPSで利用】: ブロックした脅威シグネチャを調査・分析し、業務利用している正常通信をブロックしていないか等を 確認し、必要に応じてセキュリティ・ルールを最適化