Slide 1

Slide 1 text

でセキュリティ脅威分析をスマートに 2023/8/18 アライアンス事業部 佐久間昇吾 1

Slide 2

Slide 2 text

自己紹介 2 佐久間 昇吾(Sakuma Shogo) ● アライアンス事業部 テクニカルグループ ● セキュリティ系SaaS製品 ○ Sumo Logic を担当 ○ 好きな機能:AppCatalog

Slide 3

Slide 3 text

アジェンダ 3 1. セキュリティ脅威ハンティングと SIEM の重要性 ○ 進化する巧妙なサイバー攻撃 ○ サイバー攻撃について学ぶ ○ SIEM とは? ○ SIEM の重要性 ○ まとめ 2. Sumo Logic について ○ Sumo Logic の特徴 ○ プラットフォームのご紹介 ■ Continuous Intelligence Platform ■ Cloud SIEM Enterprise ■ Cloud SOAR ○ まとめ

Slide 4

Slide 4 text

セキュリティ脅威ハンティングと SIEM の重要性 4

Slide 5

Slide 5 text

進化する巧妙なサイバー攻撃 5 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html

Slide 6

Slide 6 text

進化する巧妙なサイバー攻撃 6 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック

Slide 7

Slide 7 text

進化する巧妙なサイバー攻撃 7 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0 / 1 判定だけでは対処が難しい

Slide 8

Slide 8 text

進化する巧妙なサイバー攻撃 8 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0 / 1 判定だけでは対処が難しい ニューノーマルな働き方

Slide 9

Slide 9 text

進化する巧妙なサイバー攻撃 9 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0 / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加

Slide 10

Slide 10 text

進化する巧妙なサイバー攻撃 10 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0 / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行

Slide 11

Slide 11 text

進化する巧妙なサイバー攻撃 11 IPA - 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html 進化し続ける巧妙な攻撃テクニック シグネチャのような 0 / 1 判定だけでは対処が難しい ニューノーマルな働き方 導入するシステムの増加 → 調査範囲も増加 境界型セキュリティ → ゼロトラストへの移行 絶え間なく開発されているサイバー攻撃の回避技術

Slide 12

Slide 12 text

サイバー攻撃について学ぶ 12 攻撃プロセスと深度の理解:Matrices 各攻撃プロセスの達成目的を把握:Tactics 脅威ハンティングに必要なデータを選定:Data Sources 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups https://attack.mitre.org/

Slide 13

Slide 13 text

サイバー攻撃について学ぶ 13 https://attack.mitre.org/ 目的に対する アクション 攻撃の目的の完了 足がかりの構築 環境への確実で持続的 なアクセスの確保 初期侵害 初期アクセスを可能に する弱点の特定と利用 攻撃 意図した被害者へ の攻撃に送信 偵察 標的の技術、人、プロ セスについての調査 水平移動 権限の昇格と追加の システムの侵害

Slide 14

Slide 14 text

攻撃のプロセスと深度 14 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 15

Slide 15 text

SIME とは? 15 SIEM(Security Information and Event Management) あらゆる製品のログを一元管理して、製品を横断した相関分析を行い、セキュリティイベントを監視する ことで、潜在的な脅威や異常なアクティビティを検出 するログ分析基盤 相関分析とは、2つ以上のデータの関係性を調べる分析方法 SIEM に於いては、起こった事象の開始と終了及び、そのプロセスの全体像を把握 ➢ セキュリティ脅威の早期発見 ➢ 傾向データを用いて、事前にセキュリティを強化 ➢ セキュリティインシデントの迅速な対応

Slide 16

Slide 16 text

攻撃のプロセスと深度(再掲) 16 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 17

Slide 17 text

SIEM の重要性 17 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 18

Slide 18 text

SIEM の重要性 18 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 19

Slide 19 text

SIEM の重要性 19 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 20

Slide 20 text

SIEM の重要性 20 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 21

Slide 21 text

SIEM の重要性 21 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 22

Slide 22 text

SIEM の重要性 22 $ net user /domain フィッシングメール の受信 C2サーバーを介し た情報の持ち出し ドメイン内アカウン トの探索 MSドキュメント を開く ファイルのダウンロー ドとペイロードの実行 重要サーバーへの 横感染

Slide 23

Slide 23 text

まとめ 23 攻撃を学ぶ(MITRE ATT&CK) ○ 攻撃プロセスと深度の理解:Matrices ■ 各攻撃プロセスの達成目的を把握:Tactics ○ 脅威ハンティングに必要なデータを選定:Data Sources ○ 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups SIEM(Security Information and Event Management) ○ あらゆるログを一元管理 ○ 製品を横断した相関分析を行い、サイバー攻撃を検出 ○ 検知 → アラート通知 ○ ログの可視化 検知 → 調査(分析)→ 対応を迅速かつ正確に行うために SIEM 製品の Sumo Logic をご紹介します。

Slide 24

Slide 24 text

Sumo Logic について 24

Slide 25

Slide 25 text

Sumo Logic の特徴 25 純 SaaS 型の SIEM / クラウドネイティブ ○ プロビジョニング、スケーリングが不要 あらゆるログ、イベントデータを収集 ○ オンプレ / クラウド、SaaS 製品 ○ Log、Metric、Trace データに対応 ■ o11y、APM、SLI / SLO、PCI DSS4.0 高度な分析機能 ○ 機械学習、組み込みのダッシュボード ○ CrowdStrike の脅威情報 チームでの活用を想定した設計 ○ RBAC、コンテンツ共有 低コストな料金体系 ○ データ量、保存期間に応じた課金体系

Slide 26

Slide 26 text

プラットフォームのご紹介 26 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE) Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

Slide 27

Slide 27 text

プラットフォームのご紹介 27 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE) Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

Slide 28

Slide 28 text

Continuous Intelligence Platform(CIP) 28 ログの一元管理 / 柔軟な保存期間 ○ 保存期間、転送、データ層 高度な分析機能 ○ LogReduce、LogCompare、CrowdStrike の脅威情報 豊富な組み込みダッシュボード ○ AppCatalog シンプルなクエリ記法 ○ | (パイプ)で区切る記法 定期的 / リアルタイムのアラート機能 ○ Scheduled Search、Monitors 組織 / チームでの運用を前提としたアカウント管理 ○ RBAC 制御、コンテンツ共有

Slide 29

Slide 29 text

CIP Demonstration 29 ● データ収集 ● App Catalog

Slide 30

Slide 30 text

プラットフォームのご紹介 30 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE) Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

Slide 31

Slide 31 text

Cloud SIEM Enterprise(CSE) 31 大量のアラートを自動相関分析 ○ INSIGHT 化 ○ MITRE ATT&CK に準拠したタグ付け、トリアージ 機械学習機能 ○ Global Confidence、Confidence Score アラート通知 ○ E-Mail、AWS SNS、Slack、Microsoft Teams、etc… 豊富なルール ○ 相関、外れ値、UEBA、etc.. 脅威追跡 ○ タイムライン、エンティティ関係グラフ

Slide 32

Slide 32 text

CSE Demonstration 32 ● 自動相関分析

Slide 33

Slide 33 text

プラットフォームのご紹介 33 Continuous Intelligence Platform (CIP) Cloud SIEM Enterprise (CSE) Cloud SOAR - ログ分析基盤の活用 - 閾値・脅威DBによる事前検知 - 横断的な検索 - 自動相関分析 - アラートの絞り込み・精度向上 - インシデントのリアルタイム分 析 - 検知後のアクションの自動化 - 検知〜対応全てのSOC運用自 動化

Slide 34

Slide 34 text

Cloud SOAR 34 自動化 / 半自動化 ○ Automation Bridge インシデント対応とイベントの管理 ○ Playbook インシデント対応の KPI を可視化 ○ KPI Reports 脅威インテリジェンスの機械学習機能 ○ ARK (Automated Responder Knowledge) カスタマイズ可能なルール作り ○ Rules 製品統合、組み込みプレイブックのダウンロード ○ App Central

Slide 35

Slide 35 text

Cloud SOAR Demonstration 35 ● 自動化 / 半自動化

Slide 36

Slide 36 text

まとめ 36 ログの一元管理 ○ あらゆるログを集積、柔軟な保存期間、転送 ユースケースに沿った簡単な可視化 ○ AppCatalog 高度な分析機能 ○ LogReduce、LogCompare、CrowdStrike の脅威情報 チームでの活用を前提にした設計 ○ RBAC、コンテンツ共有 定期的 / リアルタイムのアラート機能 ○ Scheduled Search、Monitors 自動相関分析 ○ Cloud SIEM Enterprise 対応の自動化 / 半自動化 ○ Cloud SOAR

Slide 37

Slide 37 text

参考 URL 37 Continuous Intelligence Platform(CIP) ○ データ収集 https://help.sumologic.com/docs/send-data/ ○ AppCatalog https://help.sumologic.com/docs/integrations/ ○ Alerts https://help.sumologic.com/docs/alerts/ ○ Log Search https://help.sumologic.com/docs/search/ Cloud SIEM Enterprise(CSE) https://help.sumologic.com/docs/cse/ Cloud SOAR https://help.sumologic.com/docs/cloud-soar/

Slide 38

Slide 38 text

[PR] 38 機能説明、設定方法 アップデート情報、etc.. ブログを執筆しております。 是非、ご一読ください! https://dev.classmethod.jp/tags/sumo-logic/

Slide 39

Slide 39 text

39