Slide 1
Slide 1 text
でセキュリティ脅威分析をスマートに
2023/8/18
アライアンス事業部 佐久間昇吾
1
Slide 2
Slide 2 text
自己紹介 2
佐久間 昇吾(Sakuma Shogo)
● アライアンス事業部 テクニカルグループ
● セキュリティ系SaaS製品
○ Sumo Logic を担当
○ 好きな機能:AppCatalog
Slide 3
Slide 3 text
アジェンダ 3
1. セキュリティ脅威ハンティングと SIEM の重要性
○ 進化する巧妙なサイバー攻撃
○ サイバー攻撃について学ぶ
○ SIEM とは?
○ SIEM の重要性
○ まとめ
2. Sumo Logic について
○ Sumo Logic の特徴
○ プラットフォームのご紹介
■ Continuous Intelligence Platform
■ Cloud SIEM Enterprise
■ Cloud SOAR
○ まとめ
Slide 4
Slide 4 text
セキュリティ脅威ハンティングと SIEM の重要性
4
Slide 5
Slide 5 text
進化する巧妙なサイバー攻撃 5
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
Slide 6
Slide 6 text
進化する巧妙なサイバー攻撃 6
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
Slide 7
Slide 7 text
進化する巧妙なサイバー攻撃 7
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
シグネチャのような 0 / 1 判定だけでは対処が難しい
Slide 8
Slide 8 text
進化する巧妙なサイバー攻撃 8
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
シグネチャのような 0 / 1 判定だけでは対処が難しい
ニューノーマルな働き方
Slide 9
Slide 9 text
進化する巧妙なサイバー攻撃 9
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
シグネチャのような 0 / 1 判定だけでは対処が難しい
ニューノーマルな働き方
導入するシステムの増加 → 調査範囲も増加
Slide 10
Slide 10 text
進化する巧妙なサイバー攻撃 10
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
シグネチャのような 0 / 1 判定だけでは対処が難しい
ニューノーマルな働き方
導入するシステムの増加 → 調査範囲も増加
境界型セキュリティ → ゼロトラストへの移行
Slide 11
Slide 11 text
進化する巧妙なサイバー攻撃 11
IPA - 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
進化し続ける巧妙な攻撃テクニック
シグネチャのような 0 / 1 判定だけでは対処が難しい
ニューノーマルな働き方
導入するシステムの増加 → 調査範囲も増加
境界型セキュリティ → ゼロトラストへの移行
絶え間なく開発されているサイバー攻撃の回避技術
Slide 12
Slide 12 text
サイバー攻撃について学ぶ 12
攻撃プロセスと深度の理解:Matrices
各攻撃プロセスの達成目的を把握:Tactics
脅威ハンティングに必要なデータを選定:Data Sources
自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups
https://attack.mitre.org/
Slide 13
Slide 13 text
サイバー攻撃について学ぶ 13
https://attack.mitre.org/
目的に対する
アクション
攻撃の目的の完了
足がかりの構築
環境への確実で持続的
なアクセスの確保
初期侵害
初期アクセスを可能に
する弱点の特定と利用
攻撃
意図した被害者へ
の攻撃に送信
偵察
標的の技術、人、プロ
セスについての調査
水平移動
権限の昇格と追加の
システムの侵害
Slide 14
Slide 14 text
攻撃のプロセスと深度 14
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 15
Slide 15 text
SIME とは? 15
SIEM(Security Information and Event Management)
あらゆる製品のログを一元管理して、製品を横断した相関分析を行い、セキュリティイベントを監視する
ことで、潜在的な脅威や異常なアクティビティを検出
するログ分析基盤
相関分析とは、2つ以上のデータの関係性を調べる分析方法
SIEM に於いては、起こった事象の開始と終了及び、そのプロセスの全体像を把握
➢ セキュリティ脅威の早期発見
➢ 傾向データを用いて、事前にセキュリティを強化
➢ セキュリティインシデントの迅速な対応
Slide 16
Slide 16 text
攻撃のプロセスと深度(再掲) 16
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 17
Slide 17 text
SIEM の重要性 17
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 18
Slide 18 text
SIEM の重要性 18
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 19
Slide 19 text
SIEM の重要性 19
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 20
Slide 20 text
SIEM の重要性 20
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 21
Slide 21 text
SIEM の重要性 21
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 22
Slide 22 text
SIEM の重要性 22
$ net user /domain
フィッシングメール
の受信
C2サーバーを介し
た情報の持ち出し
ドメイン内アカウン
トの探索
MSドキュメント
を開く
ファイルのダウンロー
ドとペイロードの実行
重要サーバーへの
横感染
Slide 23
Slide 23 text
まとめ 23
攻撃を学ぶ(MITRE ATT&CK)
○ 攻撃プロセスと深度の理解:Matrices
■ 各攻撃プロセスの達成目的を把握:Tactics
○ 脅威ハンティングに必要なデータを選定:Data Sources
○ 自社の業種がどの攻撃団体にどんな攻撃を受ける可能性があるか:Groups
SIEM(Security Information and Event Management)
○ あらゆるログを一元管理
○ 製品を横断した相関分析を行い、サイバー攻撃を検出
○ 検知 → アラート通知
○ ログの可視化
検知 → 調査(分析)→ 対応を迅速かつ正確に行うために
SIEM 製品の Sumo Logic をご紹介します。
Slide 24
Slide 24 text
Sumo Logic について
24
Slide 25
Slide 25 text
Sumo Logic の特徴 25
純 SaaS 型の SIEM / クラウドネイティブ
○ プロビジョニング、スケーリングが不要
あらゆるログ、イベントデータを収集
○ オンプレ / クラウド、SaaS 製品
○ Log、Metric、Trace データに対応
■ o11y、APM、SLI / SLO、PCI DSS4.0
高度な分析機能
○ 機械学習、組み込みのダッシュボード
○ CrowdStrike の脅威情報
チームでの活用を想定した設計
○ RBAC、コンテンツ共有
低コストな料金体系
○ データ量、保存期間に応じた課金体系
Slide 26
Slide 26 text
プラットフォームのご紹介 26
Continuous Intelligence
Platform (CIP)
Cloud SIEM Enterprise
(CSE)
Cloud SOAR
- ログ分析基盤の活用
- 閾値・脅威DBによる事前検知
- 横断的な検索
- 自動相関分析
- アラートの絞り込み・精度向上
- インシデントのリアルタイム分
析
- 検知後のアクションの自動化
- 検知〜対応全てのSOC運用自
動化
Slide 27
Slide 27 text
プラットフォームのご紹介 27
Continuous Intelligence
Platform (CIP)
Cloud SIEM Enterprise
(CSE)
Cloud SOAR
- ログ分析基盤の活用
- 閾値・脅威DBによる事前検知
- 横断的な検索
- 自動相関分析
- アラートの絞り込み・精度向上
- インシデントのリアルタイム分
析
- 検知後のアクションの自動化
- 検知〜対応全てのSOC運用自
動化
Slide 28
Slide 28 text
Continuous Intelligence Platform(CIP) 28
ログの一元管理 / 柔軟な保存期間
○ 保存期間、転送、データ層
高度な分析機能
○ LogReduce、LogCompare、CrowdStrike の脅威情報
豊富な組み込みダッシュボード
○ AppCatalog
シンプルなクエリ記法
○ | (パイプ)で区切る記法
定期的 / リアルタイムのアラート機能
○ Scheduled Search、Monitors
組織 / チームでの運用を前提としたアカウント管理
○ RBAC 制御、コンテンツ共有
Slide 29
Slide 29 text
CIP
Demonstration
29
● データ収集
● App Catalog
Slide 30
Slide 30 text
プラットフォームのご紹介 30
Continuous Intelligence
Platform (CIP)
Cloud SIEM Enterprise
(CSE)
Cloud SOAR
- ログ分析基盤の活用
- 閾値・脅威DBによる事前検知
- 横断的な検索
- 自動相関分析
- アラートの絞り込み・精度向上
- インシデントのリアルタイム分
析
- 検知後のアクションの自動化
- 検知〜対応全てのSOC運用自
動化
Slide 31
Slide 31 text
Cloud SIEM Enterprise(CSE) 31
大量のアラートを自動相関分析
○ INSIGHT 化
○ MITRE ATT&CK に準拠したタグ付け、トリアージ
機械学習機能
○ Global Confidence、Confidence Score
アラート通知
○ E-Mail、AWS SNS、Slack、Microsoft Teams、etc…
豊富なルール
○ 相関、外れ値、UEBA、etc..
脅威追跡
○ タイムライン、エンティティ関係グラフ
Slide 32
Slide 32 text
CSE
Demonstration
32
● 自動相関分析
Slide 33
Slide 33 text
プラットフォームのご紹介 33
Continuous Intelligence
Platform (CIP)
Cloud SIEM Enterprise
(CSE)
Cloud SOAR
- ログ分析基盤の活用
- 閾値・脅威DBによる事前検知
- 横断的な検索
- 自動相関分析
- アラートの絞り込み・精度向上
- インシデントのリアルタイム分
析
- 検知後のアクションの自動化
- 検知〜対応全てのSOC運用自
動化
Slide 34
Slide 34 text
Cloud SOAR 34
自動化 / 半自動化
○ Automation Bridge
インシデント対応とイベントの管理
○ Playbook
インシデント対応の KPI を可視化
○ KPI Reports
脅威インテリジェンスの機械学習機能
○ ARK (Automated Responder Knowledge)
カスタマイズ可能なルール作り
○ Rules
製品統合、組み込みプレイブックのダウンロード
○ App Central
Slide 35
Slide 35 text
Cloud SOAR
Demonstration
35
● 自動化 / 半自動化
Slide 36
Slide 36 text
まとめ 36
ログの一元管理
○ あらゆるログを集積、柔軟な保存期間、転送
ユースケースに沿った簡単な可視化
○ AppCatalog
高度な分析機能
○ LogReduce、LogCompare、CrowdStrike の脅威情報
チームでの活用を前提にした設計
○ RBAC、コンテンツ共有
定期的 / リアルタイムのアラート機能
○ Scheduled Search、Monitors
自動相関分析
○ Cloud SIEM Enterprise
対応の自動化 / 半自動化
○ Cloud SOAR
Slide 37
Slide 37 text
参考 URL 37
Continuous Intelligence Platform(CIP)
○ データ収集
https://help.sumologic.com/docs/send-data/
○ AppCatalog
https://help.sumologic.com/docs/integrations/
○ Alerts
https://help.sumologic.com/docs/alerts/
○ Log Search
https://help.sumologic.com/docs/search/
Cloud SIEM Enterprise(CSE)
https://help.sumologic.com/docs/cse/
Cloud SOAR
https://help.sumologic.com/docs/cloud-soar/
Slide 38
Slide 38 text
[PR] 38
機能説明、設定方法
アップデート情報、etc..
ブログを執筆しております。
是非、ご一読ください!
https://dev.classmethod.jp/tags/sumo-logic/
Slide 39
Slide 39 text
39