侵入検知の ファーストステップ 

自己紹介 2 桝谷 昌史 神戸デジタル・ラボ セキュリティ運用支援チーム OWASP Kansai Board Member 

No content

No content

OSSEC ホスト型のオープンソースIDSであり、ログ解析、ログ監視、ファイル 改ざん検知、rootkit検知、アクティブレスポンスなどの機能がある。 様々なOSをサポートしていて、混在環境でも１つのソフトでモニタリン グすることが可能「不正検知」と「異常検知」の両方を担う。 TrendMicroの総合サーバセキュリティ製品DeepSecurityには、OSSECの セキュリティログ監視エンジンが統合されています。標準のOSSECのセ キュリティログ監視ルールセットも付属しています。 

できること • ログ監視 • ログ解析 • ファイル改ざん検知 • アクティブレスポンス • Rootkit検知 • Webサイトログイン試行検知 • SSHログイン試行検知 • XSS、SQLインジェクション検知 etc… 

アクティブレスポンス アクティブなレスポンスは、特定のしきい値を超えた際に、脅威から監 視対象へのアクセスをブロックするなど、脅威に対処するためのさまざ まな対策を実行します。 ルールや対策の設定が悪いと、システムの脆弱性が増す可能性があるた め、注意が必要。 特定のアラート、アラートレベル、またはルールグループをトリガーと して、脅威を対処するためのスクリプトが実行されます。 

実装してみよう 守ってみせる！ 

Wpscanによるブルートフォース攻撃検知 

ファイル改ざん検知 /var/www/wordpress/wp-content/404.phpにバックドア配置 

検知結果の確認 検知ルール概要：CMS (WordPress or Joomla) brute force attempt アラート危険度：Lv10 

検知結果の確認 検知ルール概要：Integrity checksum changed アラート危険度：Lv7 

アクティブレスポンスを設定する あるルールにマッチした際に検知だけでなく、スクリプトを実行 ルール31510はwordpressに対 するブルートフォース攻撃を 検知するためのルール iptablesのdropリストにIPア ドレスを追加するスクリプト 

Wpscanによるブルートフォース攻撃防御 

WebUIにおけるXSS（2016年） 

WAZUH（ワザー） 2015年に、OSSECのメンテナンスが手薄なことから、OSSECをフォークし て立ち上がったプロジェクト。 OSSECとOpenSCAP（チェックリストによるセキュリティ検証ソフト）と ElasticSearchが統合され、進化を続けている。 

WAZUH = Kibana + Elasticsearch + Logstash 

Slack連携 

Security Onion でも導入 ネットワークセキュリティ監視・防御やログ管理のためのOSイメージ Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、 NetworkMinerなど多くのセキュリティツールが含まれている 最近ではOSSECの代わりにWAZUHが導入されている。 

10月27日(土)オープンソースHIDSOSSECハンズオン 

ご清聴ありがとうございました。 

OWASP Night Kansai アンケートQRコード https://goo.gl/forms/jXKFZR9pHorFzVgn2