Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI WAFのログ分析

140494d272a4d89883a94fdfdb29dea2?s=47 oracle4engineer
PRO
November 18, 2021
Technology
0
41

OCI WAFのログ分析

OCI WAFのログを分析するための環境構築手順についての説明資料です

140494d272a4d89883a94fdfdb29dea2?s=128

oracle4engineer
PRO

November 18, 2021
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
10
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
12
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
38
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
1
130
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
120
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
10
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
2
520
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
18
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
0
48

Other Decks in Technology

See All in Technology
2fc2b837317cbe7048316e798a774952?s=48 ntsolutions
0
290
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
110
9cc3d9dc67c048c3820f26f30168076e?s=48 jsaseminar
0
150
48a913a2e3bb5e68aae6f73079648e84?s=48 jnchito
2
270
A49d01c48e10d19feb8e61310bceabab?s=48 _kensh
1
200
3cb071df50ed06febdfb3262fb5a67a3?s=48 hiashisan
1
110
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
230
52d9c2096956a1fd886e1abe1cdf4db2?s=48 hashitokyo
2
270
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
2
320
36c940c1761f55495077121a88570a65?s=48 torutakahashi
0
120
0dbafc17e04503dfef253274853b2c8a?s=48 terapyon
0
100
50bc42471d197d0dbef7171f2ef85bb6?s=48 comucal
PRO
0
3.6k

Featured

See All Featured
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
82
4.5k
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
449
36k
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
289
47k
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
129
22k
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
149
12k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
44
3.7k
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
210
11k
1ce0eb06fd6a9e9566a0cb310cfee635?s=48 jrick
PRO
2
20k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
91
9k
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
364
63k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
14k

Transcript

  1. OCI WAFのログ分析 手順資料 Name 日本オラクル株式会社 テクノロジー・クラウド・エンジニアリング本部 セキュリティー&マネジメント ソリューション部 2021年11月18日

  2. 本資料は、「How to send OCI WAF Logs to OCI Logging Analytics

    and get Security Insights」を 動作検証し、和訳したものです。 本資料ではサポート・リクエストを作成してOCI WAFのログをObject Storageに自動的に転送するように設 定をします。Object StorageにWAFのログが格納されたら、Object Collection RuleによってObject Storageに格納されているログをOCI Logging Analyticsに転送することで、OCI Logging Analyticsを使 用してWAFのログを分析することができます。一度サポート・リクエストを作成すると、その後はWAFのログが自 動的にObject Storageに転送されるように構成されるため、都度APIやOCI CLIでログを出力するなどの手間 を省くことができます。 本資料の概要 Copyright © 2020, Oracle and/or its affiliates 2

  3. 手順概要 1 リソース情報の収集 2 OCI WAFログをOCI Object Storageに転送 3 Logging

    Analyticsを使用するためのIAMポリシーの作成 4 OCI Logging Analyticsの環境の準備 5 OCI Object StorageからログをLogging Analyticsへ転送 3 Copyright © 2020, Oracle and/or its affiliates ※各リソースへのアクセス、IAMポリシーの作成、ログ・ソース、ログ・パーサーの作 成などの操作が必要になるため、手順1~4は、テナンシレベルの管理者、もしくは 相当の権限を持つ管理者が操作を実行することを前提とします。

  4. 本資料では、以下のリソースが既に作成・構成されていることを前提とします。 • Logging Analyticsを利用するユーザー • Logging Analyticsを利用するユーザーが属するIAMグループ • WAFのログを格納するためのOCI Object

    Storage • OCI WAFポリシー • Logging Analyticsサービスのログ・グループ • OCI CLI なお、WAFのログを格納するためのOCI Object Storageがあるコンパートメントは、Logging Analyticsを使用するコン パートメントと同じであることを想定しています。 前提条件 Copyright © 2020, Oracle and/or its affiliates 4

  5. 2 手順概要 OCI WAFログをOCI Object Storageに転送 OCI Logging Analyticsの環境の準備 3

    5 Logging Analyticsを使用するためのIAMポリシーの作成 OCI Object StorageからログをLogging Analyticsへ転送 5 Copyright © 2020, Oracle and/or its affiliates 4 1 リソース情報の収集

  6. 必要となるリソースの情報一覧 ① Tenancy OCID ② Region Identifier ③ Logging Analyticsを利用するユーザーのAPI公開鍵とフィンガープリント

    ④ Logging Analyticsを利用するユーザーのOCID ⑤ Logging Analayticsを利用するユーザーの顧客秘密キーとアクセス・キー ⑥ IAMグループのOCIDとIAMグループ名 ⑦ WAFポリシーのOCID、CNAME、ドメイン ⑧ Object StorageのOCID、バケット名、ネームスペース ⑨ コンパートメントのOCIDとコンパートメント名 6 Copyright © 2020, Oracle and/or its affiliates

  7. ①Tenancy OCID OCIコンソール右上の アイコン -> テナンシ -> テナンシ情報 7 Copyright

    © 2020, Oracle and/or its affiliates

  8. ②Region Identifier OCI左上の🈪 -> 管理 -> リージョン管理 -> インフラストラクチャ・リージョン ->

    ホームリージョンのリージョン識別子 8 Copyright © 2020, Oracle and/or its affiliates

  9. ③ユーザーのAPI公開鍵とフィンガープリント OCIコンソール右上の アイコン -> ユーザー -> ユーザーの詳細 -> APIキー ->

    APIキーの追加 9 Copyright © 2020, Oracle and/or its affiliates ダウンロードした秘密キーはセキュアな場所に保 存してください。API公開キーと、APIキーの追加 時に生成されるフィンガープリントは手順2で必要 になりますので、手元にメモしてください。

  10. ④ユーザーのOCID OCIコンソール右上の アイコン -> ユーザー -> ユーザーの詳細 -> OCID 10

    Copyright © 2020, Oracle and/or its affiliates

  11. ➄ユーザーの顧客秘密キーとアクセス・キー OCIコンソール右上の アイコン -> ユーザー -> ユーザーの詳細 -> 顧客秘密キー ->

    秘密キーの生成 11 Copyright © 2020, Oracle and/or its affiliates 作成した秘密キーのアクセス・キーは手順2で 必要になりますので、手元にメモしてください。

  12. ⑥IAMグループのOCIDとIAMグループ名 OCIコンソール左上の🈪 -> ガバナンスと管理 -> アイデンティティ -> グループ -> グループ詳細

    -> OCID&IAM グループ名 12 Copyright © 2020, Oracle and/or its affiliates

  13. ⑦WAFポリシーのOCID、CNAME、ドメイン OCIコンソール左上の🈪 -> ガバナンスと管理 -> セキュリティ -> Webアプリケーション・ファイアウォール -> WAFポリ

    シー -> WAFポリシー詳細 13 Copyright © 2020, Oracle and/or its affiliates

  14. ⑧Object StorageのOCID、バケット名、ネームスペース OCIコンソール左上の🈪 -> コア・インフラストラクチャ -> オブジェクト・ストレージ -> オブジェクト・ストレージ ->

    バケット の詳細 14 Copyright © 2020, Oracle and/or its affiliates

  15. ➈コンパートメントのOCIDとコンパートメント名 OCIコンソール左上の🈪 ->ガバナンスと管理 -> アイデンティティ -> コンパートメント -> コンパートメント詳細 15

    Copyright © 2020, Oracle and/or its affiliates

  16. 手順概要 1 リソース情報の収集 2 OCI WAFログをOCI Object Storageに転送 3 Logging

    Analyticsを使用するためのIAMポリシーの作成 4 OCI Logging Analyticsの環境の準備 5 OCI Object StorageからログをLogging Analyticsへ転送 16 Copyright © 2020, Oracle and/or its affiliates

  17. 必要な操作 ① IAMポリシーの作成 ② サポート・リクエストの作成(OCI WAFコンソール/My Oracle Support) ※サポート・リクエストはOCIのWAFのコンソール、またはMy Oracle

    Supportから作成することができます。 17 Copyright © 2020, Oracle and/or its affiliates

  18. ①IAMポリシーの作成 • Logging Analyticsを使用するユーザーにObject Storageへの操作権限を付与 Allow group <group_name_from_p.12> to manage

    object-family in compartment <compartment_name_from_p.15> 18 Copyright © 2020, Oracle and/or its affiliates

  19. ②サポート・リクエストの作成(OCI WAFコンソールの場合) 19 Copyright © 2020, Oracle and/or its affiliates

    OCIコンソール左上の🈪 -> ガバナンスと管理 -> セキュリティ -> Webアプリケーション・ファイアウォール -> WAFポリ シー -> サポートリクエストの作成

  20. ②サポート・リクエストの作成(OCI WAFコンソールの場合) • 「問題の説明」に以下の情報を記入 1. WAFのログをObject Storageに格納してほしいという主旨のメッ セージ 2. 参考となるサイトの

    URL(https://blogs.oracle.com/cloudsecurity/how-to- send-oci-waf-logs-to-oci-logging-analytics-and-get- security-insights-v3) 3. 手順1で収集した情報 • Tenancy OCID • Region Idntifier • ユーザーのAPI公開鍵とフィンガープリント • ユーザーのOCID • ユーザーの顧客秘密キーとアクセス・キー • IAMグループのOCIDとIAMグループ名 • WAFポリシーのOCID、CNAME、ドメイン • Object StorageのOCID、バケット名、ネームスペース • コンパートメントのOCIDとコンパートメント名 • 「サポートが必要ですが、緊急ではありません(標準)」に チェックし、作成 20 Copyright © 2020, Oracle and/or its affiliates

  21. ②サポート・リクエストの作成(My Oracle Supportの場合) ・My Oracle Supportにログイン -> Service Requests ->

    Create Technical SR 21 Copyright © 2020, Oracle and/or its affiliates ・各フィールドに以下の情報を記入し、Nextをクリック Problem:「WAFのログをObject Storageに格納してほし い」という主旨のメッセージ Problem Description : 「WAFログの分析をOCI Logging Analyticsで行いたいため、Object Storageにロ グを格納してほしい」という主旨のメッセージ Service Type : “Oracle Cloud Infrastructure” を 選択 Service : 該当テナンシを選択 Problem Type: “22. Edge Services – Web Application Firewall(WAF) > Logs” を選択 Support Identifier : 該当テナンシのIdentifierを選択 Severity : “3 – Minor loss of service”を選択

  22. ②サポート・リクエストの作成(My Oracle Supportの場合) • More Detailsのステップの各設問に以下情報を記入し、作成 1. 質問で聞かれているa~eの情報を記入 2. 手順1で収集したリソースの情報と、参考となるサイトのURL

    を記入 • 参考となるサイトのURL (https://blogs.oracle.com/cloudsecurity/how-to -send-oci-waf-logs-to-oci-logging-analytics-and- get-security-insights-v3) • Tenancy OCID • Region Idntifier • ユーザーのAPI公開鍵とフィンガープリント • ユーザーのOCID • ユーザーの顧客秘密キーとアクセス・キー • IAMグループのOCIDとIAMグループ名 • WAFポリシーのOCID、CNAME、ドメイン • Object StorageのOCID、バケット名、ネームスペース • コンパートメントのOCIDとコンパートメント名 3. その他は、Not Applicableを選択、もしくはN/Aを記入 22 Copyright © 2020, Oracle and/or its affiliates

  23. 動作の確認 サポート・リクエストを作成して一週間程度待つと、OCI Object StorageにWAFのログが格納されます。 23 Copyright © 2020, Oracle and/or

    its affiliates

  24. 手順概要 1 リソース情報の収集 2 OCI WAFログをOCI Object Storageに転送 3 Logging

    Analyticsを使用するためのIAMポリシーの作成 4 OCI Logging Analyticsの環境の準備 5 OCI Object StorageからログをLogging Analyticsへ転送 24 Copyright © 2020, Oracle and/or its affiliates

  25. 作成するIAMポリシー一覧 • Allow service loganalytics to read lofanalytics-features-family in tenancy

    • Allow group <group_name_from _p.12> to manage all-resources in tenancy where any {request.permission=‘LOG_ANALYTICS_OBJECT_COLLECTION_RULE_CREATE’, request.permission=‘LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS’, request.permission=‘LOG_ANALYTICS_ENTITY_UPLOAD_LOGS’, request.permission=‘LOG_ANALYTICS_SOURCE_READ’, request.permission=‘BUCKET_UPDATE’, request.permission=‘LOG_ANALYTICS_OBJECT_COLLECTION_RULE_DELETE’} • Allow service loganalytics to read buckets in tenancy • Allow service loganalytics to read objects in tenancy • Allow service loganalytics to manage cloudevents-rules in tenancy • Allow service loganalytics to inspect compartments in tenancy • Allow service loganalytics to use tag-namespaces in tenancy where all {target.tag- namespace.name=/oracle-tags/} 25 Copyright © 2020, Oracle and/or its affiliates

  26. 手順概要 1 リソース情報の収集 2 OCI WAFログをOCI Object Storageに転送 3 Logging

    Analyticsを使用するためのIAMポリシーの作成 4 OCI Logging Analyticsの環境の準備 5 OCI Object StorageからログをLogging Analyticsへ転送 26 Copyright © 2020, Oracle and/or its affiliates

  27. 必要な操作 ① 構成コンテンツファイルのダウンロード ② 構成コンテンツファイルをLogging Analyticsにインポート (※構成コンテンツファイルをインポートするユーザーは、テナンシレベルでloganalytics-features-familyのuse権限を 持っている必要があります。) 27 Copyright

    © 2020, Oracle and/or its affiliates

  28. ①構成コンテンツファイルのダウンロード • ログ・ソース、ログ・パーサーを作成するための構成コンテンツファイルを以下URLからダウンロード https://blogs.oracle.com/content/published/api/v1.1/assets/CONT05B0EF1B440241CBA74E 73543C5D2644/Medium?cb=_cache_ae51&format=jpg&channelToken=32b6159b1a584abfbf 8cc69776aefcb0 28 Copyright © 2020,

    Oracle and/or its affiliates

  29. ②構成コンテンツファイルをLogging Analyticsにインポート OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> 管理 -> 構成コンテンツのインポート

    29 Copyright © 2020, Oracle and/or its affiliates ダウンロードしたlog_source.zipファイ ルを選択し、インポート

  30. 動作の確認① OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> 管理 -> ソース 30

    Copyright © 2020, Oracle and/or its affiliates “WAF”で検索し、WAF_LOGSという ソースが追加されていることを確認

  31. 動作の確認② OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> 管理 -> パーサー 31

    Copyright © 2020, Oracle and/or its affiliates “WAF”で検索し、waf_cachinglog とwaf_lualogが追加されていることを 確認

  32. 手順概要 1 リソース情報の収集 2 OCI WAFログをOCI Object Storageに転送 3 Logging

    Analyticsを使用するためのIAMポリシーの作成 4 OCI Logging Analyticsの環境の準備 5 OCI Object StorageからログをLogging Analyticsへ転送 32 Copyright © 2020, Oracle and/or its affiliates

  33. 必要な操作 ① Object Collection Ruleの作成 (※OCI CLIコマンドを使用します。OCI CLIのインストール・構成方法については本資料のP.37にドキュメントのリンクが記載されていま す。) 33

    Copyright © 2020, Oracle and/or its affiliates

  34. ①Object Collection Ruleの作成 • OCI CLIがインストール・構成されているインスタンスにログインし、以下のコマンドを実行します。コマンドの詳細、その 他オプションは本資料のReferenceページに記載のリンクからご確認ください。 $oci log-analytics object-collection-rule

    create –-name <ルール名> --compartment-id < コンパートメントのOCID(p.15)> --os-namespace <バケットのネームスペース(p.14)> --os-bucket-name < バケット名(p.14)> --log-group-id <ログ・グループのOCID(p.39)> --log-source-name WAF_LOGS -- namespace-name <Logging Analyticsサービスのネームスペース(p.40)> --collection-type HISTORIC_LIVE –-poll-since BEGINNING 34 Copyright © 2020, Oracle and/or its affiliates ログ・グループのOCID、およびLogging Analayticsのネームスペースの確認方法は本資 料の巻末に補足として記載しています。

  35. 動作の確認① • 以下のようなResponse Bodyが返ってきます。 { "data": { "char-encoding": null, "collection-type":

    "HISTORIC_LIVE", "compartment-id": "ocid1.compartment.oc1 "is-enabled": true, "lifecycle-details": null, "lifecycle-state": "ACTIVE”, “name”: “waflogupload”, …………………… …………………… “os-bucket-name”: “WAFLog_bucket”, “os-namespace”: “orasejapan”, “overrides”: null, “poll-since”: “1970-01-01T00:00:00.000Z”, “poll-till”: null, “time-created”: “2021-03-10T06:37:30.686000+00:00”, “time-updated”: “2021-03-10T06:37:30.686000+00:00” }, “etag”: “1f78f2672c639f754f29b60b824b759c1299b6724f35046fc908541a55da56e9” } 35 Copyright © 2020, Oracle and/or its affiliates

  36. 動作の確認② OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> ログ・エクスプローラ 36 Copyright ©

    2020, Oracle and/or its affiliates WAF_LOGSというログソースが、ログ・ エクスプローラーから確認できるようにな ります。

  37. Reference ・OCI CLIインストール方法 https://docs.oracle.com/ja-jp/iaas/Content/API/SDKDocs/cliinstall.htm ・OCI CLIコマンド https://docs.oracle.com/en-us/iaas/tools/oci-cli/2.14.3/oci_cli_docs/cmdref/log- analytics/object-collection-rule/create.html 37 Copyright

    © 2020, Oracle and/or its affiliates

  38. Copyright © 2020, Oracle and/or its affiliates 38 補足 Object

    Collection Rule作成時のリソース情報の収集

  39. ログ・グループのOCID OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> 管理 -> ログ・グループ ->

    ログ・グループ詳細 39 Copyright © 2020, Oracle and/or its affiliates

  40. Logging Analyticsサービスのネームスペース OCIコンソール左上の🈪 ->モニタリングと診断 -> ログ・分析 -> 管理 -> サービス詳細

    40 Copyright © 2020, Oracle and/or its affiliates

  41. 41 Copyright © 2020, Oracle and/or its affiliates