OCI Network Firewallのログ分析 2024年2⽉27⽇ ⽇本オラクル株式会社 クラウド事業統括 クラウド・エンジニアリング統括 COE本部 セキュリティ&マネージメント・ソリューション部 O&M Logging Analyticsを利⽤したログ分析 〜 基礎編 〜

はじめに Copyright © 2023, Oracle and/or its affiliates. 2 本資料の位置付け ネットワーク・ファイアウォールを初めて利⽤される⽅で、且つログ分析やセキュリティ監視などを⾃社組織にて実施されたこと がない⽅向けに、ネットワーク・ファイアウォールのログ分析に関する基本的な考え⽅をまとめた資料です。 既に⾃社組織にて、ログ分析やセキュリティ監視などを実施されている⽅につきましては、本資料で記載しているログ分析 の検索⽂などをカスタマイズ頂き、利⽤ください。 前提条件 n ネットワワーク・ファイアウォールのログ有効化済み n O&M Logging Analyticsを有効化済み n Service Connector Hubを経由してO&M Logging Analyticsにデータ連携済み 設定⽅法に関しては、 P.21に記載している “OCIチュートリアル（OCI Network Firewallのログを分析する）” をご確認ください。

Trafficログ Trafficログを有効にすることで、“OCI Logging”にてログの 管理および簡易的な監視が可能となり、ネットワーク・ファイア ウオールで受信したトラフィックを把握することができる。（ルール・ アクションで「トラフィックの許可・削除・拒否」を選択した場合） Here Threatログ Threatログを有効にすることで、“OCI Logging”にてログの 管理および簡易的な監視が可能となり、ネットワーク・ファイア ウオールの脅威シグネチャ（IDS/IPS）で検知・防⽌した通信 を把握することができる。 Here ２種類のログ（Trafficログ と Threatログ） ネットワーク・ファイアウォールのログについて Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 3 Logging Logging

O&M Logging Analyticsへのログ連携 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 4 n ネットワーク・ファイアウォールのログをService Connector Hubを経由してO&M Logging Analyticsにデータ連携 することで⾼度なログ分析が可能 n ネットワーク・ファイアウォールにおける “平時のトラフィック量” および“脅威の検知・防⽌状況”を知ることで不正な兆候を 把握でき、プロアクティブなインシデント管理が可能 n O&M Logging Analyticsは機械学習を活⽤した横断的 なログ分析やダッシュボード機能による可視性を提供 ü OCIやオンプレミスにある様々なOSやミドルウェアのログに 対応して、ログの取り込みからビジュアライズをサポート ü 異常値の検出、クラスタ分析、トレンド分析など経験や スキルを問わず⾼度な分析 ü ログの検知条件に基づいて、管理者へのアラート通知 ネットワーク・ファイアウォールのログ分析強化

5 n Service Connector Hubを経由して、O&M Logging Analyticsにデータ連携することで詳細なログ分析が可能 n O&M Logging Analyticsは、機械学習のテクノロジーを活⽤した横断的なログ分析やダッシュボードを提供 ü OCIのリソースおよびオンプレミスにあるOSやミドルウェアなどのログにも対応 ü 各種ログの取り込みからビジュアライズまでをサポート ü 異常値の検出、クラスタ分析、トレンド分析など経験やスキルを問わず⾼度な分析が可能 ü OCI Notificationサービスと連携して、ログデータに応じたアラート通知が可能 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログ管理 Loggingのログを Logging Analyticに転送 可読性の⾼いログのビジュアライズと ダッシュボードによる網羅的なログ分析 O&M Logging Analyticsへのログ連携 ネットワーク・ファイアウォールのログ分析強化

Logging Analyticsによるログ分析 横断的な分析およびダッシュボード機能を⽤いて、⾼度なログ 分析が可能。 Loggingとの違いは、分析データをグラフや表など視覚的に 表⽰することができる為、セキュリティ監視などのプロアクティブな インシデント管理が可能です。 Loggingによるログ分析 ログの管理※および簡易的なログ分析が可能。 「カスタム・フィルタ」機能を利⽤することで、Loggingで定義され たラベルを基に、SrcIP、DstIP、Action（許可/拒否）などで ログの絞り込みが可能です。 検索したいラベルを選択 Logging および Logging Analyticsの特徴 ネットワーク・ファイアウォールのログ分析強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 6 ※ JSONフォーマットにて最⼤6カ⽉保存（デフォルトは1カ⽉保存） ログ・エクスプローラ 検索⽂からダッシュボード化 検索⽂を利⽤してログ分析

Trafficログの分析ポイント O&M Logging Analyticsを利⽤したログ分析 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 7

Trafficログの分析ポイント 1. 平時のトラフィック量（トラフィックの許可・削除・拒否）を 把握 2. 平時のトラフィック量を把握することで、緊急時における トラフィック量の判断が可能 3. Logging Analyticsのビジュアライゼーションを「線」に変更 することで、各トラフィックを線別で確認することが可能 （トラフィック毎の調査に有効） ネットワーク・ファイアウォールのログ分析強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 8 【ビジュアライゼーション】︓ ヒストグラム付きレコード 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Traffic Logs' | timestats count as logrecords by Action 【ビジュアライゼーション】︓ 線 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Traffic Logs' | timestats count as logrecords by Action ※ 必要に応じて「対数⽬盛の表⽰」を利⽤

Trafficログの分析ポイント 1. 許可されたトラフィックより特定ソースからのアクセスが集中 していないか、且つ不正な振る舞いがないかなどを調査 2. 検索条件として、「トラフィックの許可」および「SrcIPアドレ ス」を指定 1. 削除・拒否されたトラフィックより特定ソースからのアクセスが 集中していないか、且つ不正な振る舞いがないかなどを調査 2. 検索条件として、 「トラフィックの削除・拒否」※および 「SrcIPアドレス」を指定 ※allow以外を指定（!マークを使⽤） ネットワーク・ファイアウォールのログ分析強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 9 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Traffic Logs' and Action = allow | stats count as logrecords by 'Source IP', Action | sort -logrecords 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Traffic Logs' and Action != allow | stats count as logrecords by 'Source IP', Action | sort -logrecords 不正通信と思われるアクティビティを調査し、 インシデントに繋がる振る舞いを抑⽌ 削除・拒否されたトラフィックを分析し、 セキュリティ・ルールの効果を確認

ダッシュボードイメージ 〜 Trafficログ（例） 〜 ネットワーク・ファイアウォールのログ分析強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 10

ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 11 Trafficログの分析ポイント Trafficログの分析ポイントのまとめ 📌 平時のトラフィック量を把握することで、緊急時におけるトラフィック量の判断が可能 📌 許可しているトラフィックにおいて、不正通信と思われるアクティビティを調査・分析し、セキュリティ インシデントに繋がる振る舞いを抑⽌ 📌 許可していないトラフィックにおいて、正常通信に影響を及ぼしていないかを調査・分析し、必要に 応じてセキュリティ・ルールを最適化

Threatログの分析ポイント O&M Logging Analyticsを利⽤したログ分析 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 12

3. Logging Analyticsのビジュアライゼーションを「線」に変更 することで、検知・防⽌状況を線別で確認することが可能 （IDSおよびIPS毎の調査に有効） 【ビジュアライゼーション】︓ 線 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Traffic Logs' | timestats count as logrecords by Action ※ 必要に応じて「対数⽬盛の表⽰」を利⽤ 1. 平時より脅威シグネチャの検知・防⽌状況を把握 2. 攻撃動向を把握して、インシデントに繋がる振る舞いへの を実施（特にIDSで利⽤されてる場合） 【ビジュアライゼーション】︓ ヒストグラム付きレコード 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' | timestats count as logrecords by Action Threatログの分析ポイント ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 13 検知・防⽌状況の全体概要を把握 検知・防⽌状況の全体概要を把握

3. 重⼤度レベルに対して、脅威の種類を⽰す「Threat Category」を検索条件に追加 4. 重⼤度レベル毎に検知・防⽌されている脅威の種類を確認 することが可能 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count by Severity, 'Threat Category' 1. 重⼤度レベルを基に検知・防⽌されている脅威シグネチャの 動向や内容を調査（必要に応じて対応） 2. 検索条件として、脅威シグネチャの重⼤度レベルを⽰す 「Severity」を指定 【ビジュアライゼーション】︓ 円 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by Severity Threatログの分析ポイント（重⼤度レベルで分析） ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 14 【補⾜説明】︓ 事前にセキュリティインシデント対応する為の対応基準を定義しておくと良いでしょう。 例えば、重⼤度レベルを⽰す「Severity」において、“Critical” や “High”を中⼼に 対応するなどの運⽤・監視プロセスを定義します。 重⼤度レベルで 検知・防⽌状況を把握 重⼤度レベル＋脅威カテゴリで 検知・防⽌状況を把握

1. 重⼤度レベルの“High”に対する調査・対応 2. 検索条件として、脅威シグネチャの重⼤度レベルを⽰す 「Severity=High」および脅威シグネチャの「Threat」を 指定 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' and Severity = high | stats count by Severity, Threat 1. 重⼤度レベルの“Critical”に対する調査・対応 2. 検索条件として、脅威シグネチャの重⼤度レベルを⽰す 「Severity=Critical」および脅威シグネチャの「Threat」を 指定 n 「Severity」 を「Critical」に指定 n 「Threat」として検索 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' and Severity = critical | stats count by Severity, Threat Threatログの分析ポイント（重⼤度レベルで分析） ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 15 重⼤度レベル “High”で 検知・防⽌状況を把握 重⼤度レベル ”Critical”で 検知・防⽌状況を把握

1. 検知・防⽌数の多い脅威シグネチャに対する調査・対応 2. 検索条件として、脅威シグネチャの種類を⽰す「Threat Category」および検知・防⽌（IDS/IPS）の動作を⽰す 「Action」、且つ検知数の多い順に表⽰する「sort」を指定 n 「Severity」 を「Critical」に指定 n 「Threat」として検索 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by 'Threat Category', Action | sort -logrecords 脅威シグネチャの種類（Spyware, Info-leak, 等）で 検知・防⽌状況を把握 1. 検知・防⽌数の多い脅威シグネチャに対する調査・対応 2. 検索条件として、脅威シグネチャを⽰す「Threat」および 検知・防⽌（IDS/IPS）の動作を⽰す「Action」、且つ検 知数の多い順に表⽰する「sort」を指定 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' | stats count as logrecords by Threat, Action | sort -logrecords 脅威シグネチャで 検知・防⽌状況を把握 Threatログの分析ポイント（脅威シグネチャで分析） ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 16

1. Threat Intelligenceサービスより提供する脅威IPアドレス に基づいた調査・対応 2. 条件として、「Threat IPs」および検知・防⽌（IDS/IPS） の動作を⽰す「Action」を指定 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' and Action | stats count as logrecords by 'Threat IPs', Action | sort -logrecords 脅威IPアドレスで 検知・防⽌状況を把握 1. 検知・防⽌数の多いSrcIPアドレスに対する調査・対応 2. 条件として、接続元となる「Source IP」および検知・防⽌ （IDS/IPS）の動作を⽰す「Action」、且つ検知数の 多い順に表⽰する「sort」を指定 n 「Severity」 を「Critical」に指定 n 「Threat」として検索 【ビジュアライゼーション】︓ 横棒 【検索⽂（例）】︓ 'Log Source' = 'OCI Network Firewall Threat Logs' and Action | stats count as logrecords by 'Source IP', Action | sort -logrecords 接続元のIPアドレスで 検知・防⽌状況を把握 Threatログの分析ポイント（IPアドレスで分析） ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 17 【補⾜説明】︓ Threat Intelligenceサービスより提供する脅威IPアドレスは、過去のサイバー攻撃 などから得られたIPアドレスとなります。Threat IntelligenceよりIPアドレスに関する 信頼度スコアを確認することで、調査・分析する際の判断基準となります。

ログ・エクスプローラより該当項⽬をクリックしてブレイクダウンすることで、検知・防⽌したログの詳細について確認することができます。 SrcIP, DstIP, Threat Category, Threatなどの情報を確認し、攻撃によるシステムへの影響範囲を調査・分析します。 攻撃対象に影響を及ぼす場合、“IDSからIPSへの変更“ や ”脆弱性に対するパッチ適⽤”などを対応を検討します。 重⼤度レベルの“Critical”に対する調査・対応。 右上にある該当の脅威シグネチャ名をクリックすること で、検知・防⽌した内容を確認。 SrcIP, DstIP, Threat Category, Threat関連などを 確認して、攻撃によるシステムへの影響範囲を調査・分析。 IDSで利⽤しており、且つOCIリソースへの攻撃検知に 関しては、必要に応じてリソース側のログ調査（例︓OS, アプリケーション, 等）や脆弱性の対応状況なども確認。 パロアルトネットワークスのサイト 「Threat Vault」を参考に検知・ 防⽌している脅威シグネチャ（脅威 概要、影響を受けるシステム、等） を把握。 https://threatvault.paloalton etworks.com ※ 事前にID登録が必要 例えば、sshなどのログイン試⾏に 関する脅威が検知されている場合、 リソース側のSecureログなどで実際 のログイン状況について調査・分析。 調査・分析結果に基づいた対応を 実施。 ※ リ ソ ー ス 側 の ロ グ も Logging Analyticsに取り込んでおく事で ⼀つの管理コンソールより調査・ 分析が可能。 ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 18 Threatログの分析ポイント Here Linux Secure log

ダッシュボードイメージ 〜 Threatログ（例） 〜 ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 19

ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 20 Trafficログの分析ポイント Threatログの分析ポイントのまとめ 📌 平時の検知・防⽌状況を把握することで、緊急時における攻撃状況の判断が可能 📌 【IDSで利⽤】︓ 攻撃の検知のみとなる為、検知した脅威シグネチャの内容（脅威概要、重⼤度、影響を受ける システム、等）や接続元/接続先のIPアドレスなどを確認し、該当システムにおける影響範囲を調査 ・分析。また、OCIリソースへの攻撃検知に関しては、リソース側のログおよび脆弱性の対応状況など も確認して、必要に応じて対応を講じる 📌 【IPSで利⽤】︓ ブロックした脅威シグネチャを調査・分析し、業務利⽤している正常通信をブロックしていないか等を 確認して、必要に応じてセキュリティ・ルールを最適化

ネットワーク・ファイアウォールのログ分析を強化 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 21 OCIチュートリアル 〜 OCI Network Firewallのログを分析する 〜 OCIチュートリアルに、“ネットワーク・ファイアウォールのログ分析（設定・操作⽅法）”に関する記事を掲載しております。 O&M Logging Analyticsにてログ分析を⾏う際は、ご確認ください。 【参考】︓ https://oracle-japan.github.io/ocitutorials/id-security/networkfirewall-la/

No content