Slide 1

Slide 1 text

OpenSearchでのログを 使ったインシデント調査 JAWS-UG女子会 小寺 加奈子 2023/3/18

Slide 2

Slide 2 text

アジェンダ OpenSerarchってどんなサービス? OpenSearch SIEM を使おう インシデント調査してみよう QAタイム

Slide 3

Slide 3 text

自己紹介 (株式会社アイディーエス)所属 ・仕事:AWSアライアンスリード、 日本、ベトナムでのAWS事業拡大がミッション ・趣味:お琴を弾くこと ・好きなAWSサービス:Cost Exploler JAWS-UG女子会 小寺 加奈子

Slide 4

Slide 4 text

OpenSerarchって どんなサービス? リソースのデプロ イ、 管理に費やす時 間を削減できる フルマネージド 認証、認可、暗号 化、監査、 およびコ ンプライアンスのた めの高度な セキュリ ティが維持されてい る 潜在的な脅威を体系的に 検出し、機械学習、 アラ ート、可視化を活用して 対処 Amazon OpenSearch Service は Amazon ElasticSearch Service の後継サービス オープンソースの検索・分析エンジンで、 OpenSearchのデプロイ・スケーリング等を容易に行うためのサービス セキュリティ データ分析・ オブザーバビリティ 各種リソースを最適化 コスト戦略に集中 各種リソースを最適化 し、 戦略的な作業に注力

Slide 5

Slide 5 text

ログの分析結果からセキュリティインシデントを発見したい 色々なログ分析があるけれど・・・ Why SIEM? ログ調査における 脅威のアラートが複数に分散する 調査対象が広範囲になりがち・・ 上記の課題解決に役立つ

Slide 6

Slide 6 text

SIEM とは? Security Information and Event Management セキュリティ機器、ネットワーク機器、 その他のあらゆる機器の データを収集及び一元管理をして、 相関分析によって脅威検出と インシデントレスポンスをサポートするための ソリューション

Slide 7

Slide 7 text

SIEM on Amazon OpenSearch Service の概要 セキュリティインシデントを調査するための ソリューションです。 複数のログをSIEM on Amazon OpenSearch Serviceに集 約し、ログ相関分析及び可視化することができます。

Slide 8

Slide 8 text

SIEM on Amazon OpenSearch Service の概要 他の特徴については以下の通り ・マルチアカウント・マルチリージョンに対応 ・AWS サービス専用のログ正規化、ダッシュボード ・脅威インテリジェンスによるログのエンリッチメント ・Amazon Security Lake、AWS Control Tower との連携

Slide 9

Slide 9 text

インシデント調査をしてみる 各サービスからS3に ログ出力されるよう事前設定をしておく(※設定方法は割愛)

Slide 10

Slide 10 text

インシデント調査をしてみる OpenSearch ダッシュボードの「discovery」から ログ確認が行える

Slide 11

Slide 11 text

インシデント調査をしてみる アラート通知編 ログを事後に確認するのではなく、アラート通知設定もしておく →ログがルールにマッチしたらアラートをSNS経由で通知

Slide 12

Slide 12 text

インシデント調査をしてみる アラート通知編 アラート通信先の設定:SNSから通知設定 [Alerting]から通知先を選択

Slide 13

Slide 13 text

インシデント調査をしてみる アラート通知編 監視対象の設定  [Monitors]タブ => [Create monitor] ※正規化したログの時刻には、以下2つが設定可 @timestamp :ログの発生時刻 event.ingested :SIEM の受信時刻 ・Monitor schedule:SIEMに取り込んだログに対して〇分間隔で 監視するかを設定

Slide 14

Slide 14 text

まとめ ログ分析は色々なパターンがありますが、 今日は「SIEM on Amazon OpenSearch Service」の概要を ご紹介しました! ・EC2⇒CloudWatch⇒Lambda⇒OpenSearch ・EC2⇒CloudWatch⇒Kinesis Data Firehose 上記のパターンなどもありますが、AWSサービス以外のログも S3に取り込めば、OpenSearch Serviceへ連携できます!!

Slide 15

Slide 15 text

小寺加奈子 [email protected] お気軽にお声がけください! Q&A