SIEM って何︖ 〜 Amazon OpenSearch で始める SIEM 〜 7/29 (土) [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎]

⾃⼰紹介 鈴木健斗 所属 アイレット株式会社（東京） 業務 AWSのインフラ構築・運用 → 提案 ・Japan AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder（Cloud Operations） ・iret テクニカルアンバサダー (2023) 2 @k_suzuki_pnx

アジェンダ ◉ テーマ選定の経緯 ◉ SIEMとは ◉ Amazon OpenSearch とは ◉ SIEM に関する AWS 公式ハンズオンをやってみる ◉ まとめ 3

テーマ選定の経緯 Background of theme selection 1 4

Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 5 ※注意 本日確認したところ 48 種類に増えている模様 「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」 という⽅に向けて、全AWS公式セキュリティワークショップの中から、 個⼈的にお薦めのワークショップを紹介（CfP 応募時点では全45種類） 参考︓AWS Security Workshop https://workshops.aws/categories/Security https://jaws-tohoku.doorkeeper.jp/events/156109

全 AWS 公式ワークショップをやる その中で以下のワークショップを⾒つける 「SIEM on Amazon OpenSearch Service Workshop」 6 概要 Amazon OpenSearch Service 上にセキュリティ情報・イベント管理（SIEM）システムと セキュリティログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボード化のための費⽤対効果の⾼いソリューションの構築をする。

SIEM って何？ SIEM とそれに関連する AWS のサービス Amazon OpenSearch Service について 調べてみた 7

SEIM とは What is SIEM ２ 8

“ Security Information and Event Management の略で、セキュリティ機器、 ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、 相関分析によって脅威検出とインシデントレスポンスをサポートするための ソリューションです。 9 https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/

AWS 上で活⽤すると何が解決できるの︖ ◉ Amazon GuardDuty を利⽤して、悪意のあるアクティビティや不正な動作を 継続的にモニタリングしているが、検出した脅威について、原因分析のために イベント発⽣元サービスのログを調べることが負担になっている ◉ 複数のログからインシデントに関連する⼀連のログだけを 抽出して相関分析をしたい ◉ AWS CloudTrail を利⽤して、ユーザーアクティビティと API 使⽤状況の 追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい 10

とりあえず AWS のセキュリティ系サービスのログや サーバログを取得しているが それを活⽤できていない そんな⽅へのソリューションです 11

Amazon OpenSearch とは What is Amazon OpenSearch 3 12

Amazon OpenSearch とは ◉ Apache 2.0 に基づいてライセンス供与された、検索、分析、 可観測性アプリケーション向けのスケーラブルで柔軟、拡張可能な オープンソースソフトウェアの詰め合わせたパッケージである OpenSearch を 簡単にデプロイ・管理、スケール可能にしたフルマネージドサービス ◉ E コマースプラットフォームやドキュメントポータル、レコメンデーションエンジンなど 様々な検索領域でのユースケース ◉ 元々 Amazon Elasticsearch Service と呼ばれていたサービスが⼤⼈の事情で名称が変更に 13

Visualization

SIEM の AWS 公式ワークショップ Official AWS Workshop about SIEM 4 15

SIEM on Amazon OpenSearch Service Workshop 16 概要 Amazon OpenSearch Service 上にセキュリティ情報およびイベント管理 (SIEM) システムと セキュリティ ログ分析プラットフォームを構築し、ログの取り込み、分析、 ダッシュボードのためのコスト効率の高いソリューションを構築 レベル 300 ～ 400 かかる時間 2時間程度

SIEM on Amazon OpenSearch Service Workshop 17 学習できること ・SIEM へ複数種類のログ取り込み ・OpenSearch Dashboards / Kibana を活用したセキュリティログ調査 ・OpenSearch Dashboards / Kibana のダッシュボードによるデータの可視化 ・Amazon OpenSearch Service のアラート設定

SIEM on Amazon OpenSearch Service Workshop 18 以下のサービスから出力されるログを用いて分析を行う GuardDuty CloudTrail VPC Flow Log Webサーバから 出力されるログ

ワークショップできること（ログ検索） 19

ワークショップできること（ログの可視化） 20

やってみた感想 21 ◉ CloudTrail, CloudWatch Logs, GuardDuty のコンソールからポチポチとログ調査をしたり、 S3 に格納されている ALB のログファイルを取り出してローカル PC でログ調査したこともあったので、SIEM があ ると便利だと感じた… ◉ 不正ログインを検知/調査するソリューションとして使えるので、提案できると思った。 ◉ AWS で SIEM を構築するための Cloudformation と AWS CDK のテンプレートが 以下の GitHub に置いてあるので同じ環境を複製しやすくてありがたい。 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md ◉ QuickSight + Athena でも同じようなことができる認識だが、使い分けがわからん

ログ、集約して終わりじゃない 何のために集約していて、どう活用するかを考えるまでやろう 22