吉⼭ 遼太 CSIRTによるインシデント対応を⽀える ログ集約と分析の取り組み STAGE 1 CSIRT SESSION TAG

技術本部 CSIRTグループ セキュリティエンジニア 2020年にセキュリティエンジニアとしてSansanへ⼊社。 ⼊社後は CSIRT の SOC チームのメンバーとしてログ基盤の構築や運⽤、 サービスのセキュリティチェックなどの業務に携わっている。 吉⼭ 遼太 img

• Sansan では様々なクラウドサービスや SaaS を利⽤している • 業務基盤が SaaS によっている • ログが各所に散っているため横断的に検索することが困難 • インシデント対応時に CSIRT が直接ログを確認し調査することができない 今まで持っていた課題感 基盤概要

• 安価に膨⼤なログを処理・分析できる基盤が存在しない • コストが⾼く導⼊が難しい製品が多い 今まで持っていた課題感 基盤概要 全社のログを安価に蓄積・分析することができるログ基盤が欲しい！ → 偶然 AWS の⽅と話した時に SIEM ソリューションのプロトタイプがあることを知る → 試したところ課題を解決できるソリューションだった

• Amazon OpenSearch を軸にしたログ基盤 • ⽣ログは S3 に保存し⻑期保管 • S3 からのログの取り込みに es-loader [1] を使⽤ • 1.5TB/day ものログを収集と検索が可能 S3 へログを配置すると勝⼿にログ基盤へインデックスされる ログ基盤 on OpenSearch 基盤概要 [1] https://github.com/aws-samples/siem-on-amazon-opensearch-service/tree/main/source/lambda/es_loader

• OpenSearch の機能を使う事でアラートを設置できる • 簡単な設定を⼊れるだけ • Slack をはじめとするいくつかの送信先へ通知を送れる • 基盤へ格納しているログをソースにしてアラーティング可能 • バリエーションは無限⼤ • SaaS の監査ログを使ってコンソールへのログインを通知 • フローログを使って特定 IP への通信を通知 • などなど… OpenSearch を使ったアラート アラーティング

OpenSearch を使ったアラート アラーティング

• 不正ログインが疑われる事象などで迅速に調査が可能 • ユーザーのアクティビティを複数のサービス横断で検索 • 不審な操作をしていないかの裏取りができる 社員からの問い合わせ対応 活⽤事例

社員からの問い合わせ対応 活⽤事例 • 対象のメールアドレスを軸に複数のログを横断的に検索 • 送信元の IP やアクティビティなどに不審な点がないか調査

• 本家への es–loader への貢献 • 独⾃に対応しているログについてコミットしていく • より幅広いログ種の対応 • まだ取り込めていない SaaS やクラウドサービスのログを取り込む • コスト削減 • 既存製品より安いとはいえコストは気になる • ストレージでのログの保管の仕⽅など、⼯夫してコスト削減できる余地が多い • 開発環境の改善 • エラー対応の効率化 • ダッシュボードなどのオブジェクト管理の改善 今後の展望 まとめ

CSIRT 8card.net/p/39965681348 Eight Virtual Card 吉⼭ 遼太