Slide 1

Slide 1 text

OpenSearch SIEMのためのSOAR
 WaTTson / imariku 2024年5⽉31⽇

Slide 2

Slide 2 text

2022年新卒入社。credentialを slackに書くな高校校歌の人。
 2 WaTTson
 PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。
 imariku
 PSIRT

Slide 3

Slide 3 text

PSIRT
 ● Product Security Incident Response Team
 インシデント 発生の予防 インシデント の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析

Slide 4

Slide 4 text

freeeが提供しているプロダクト
 ● バックオフィス業務の効率化
 ● Webアプリ モバイルアプリ
 ……

Slide 5

Slide 5 text

プロダクトの構成
 AWS Cloud Virtual private cloud (VPC) Protected subnet Public subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS

Slide 6

Slide 6 text

セキュリティ:不審なアクセスを検知・ブロック
  AWS WAF
 ● Web Application Firewall
 ● Layer 7
 ● ALBやCloudFrontにアタッチ
 IGW
 ALB
 WAF
 Internet
 Instance
 IPS
  IDS/IPS
 ● Intrusion Detection System/
 Intrusion Prevention System
 ● Layer 3〜4
 ● パケットの中身を見る


Slide 7

Slide 7 text

SIEM
 ● Security Information and Event Management
 ● 多種多様なログを一元管理
 ● 各種ログを横断して分析
 SIEM
 VPC flow log
 Cloudfront
 ALB
 WAF
 IPS
 Application


Slide 8

Slide 8 text

SIEM on AWS OpenSearch Service
 ● OpenSearchを使ったSIEMソリューション
 ● https://github.com/aws-samples/siem-on-amazon-opensearch-service
 ● S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納


Slide 9

Slide 9 text

SIEM on AWS OpenSearch Service
 ● OpenSearch Dashboardで一覧できる
 https://opensearch.org/docs/2.4/dashboards/discover/index-discover/

Slide 10

Slide 10 text

SIEM on AWS OpenSearch Service
 ● OpenSearch Dashboardで一覧できる
 https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg

Slide 11

Slide 11 text

SOAR
 ● Security Orchestration, Automation and Response
 ● 統合・自動化したインシデント対応
 WAF Alert
 ルールは RateLimit?
 アクセス元は
 日本国内?
 WAF/ALBの
 関連ログ収集
 複数のルール
 で検知?
 Blacklist
 に登録
 誤検知の
 可能性は?
 IPSなどの
 関連ログ収集
 機械的に処理できる部分は
 自動化したい!


Slide 12

Slide 12 text

SIEM次郎(しむじろう)
 ● SIEM→Slack通知→Jiraチケット起票の自動化
 AWS Cloud ECS SIEM
 Slack
 アラート投稿
 Bolt for Python
 Jira
 チケット起票
 自動アサイン
 トリアージ
 データ取得
 要対処なら
 ボタン押下
 担当者が
 対処にあたる


Slide 13

Slide 13 text

SIEM次郎(しむじろう)
 ● SIEM→Slack通知→Jiraチケット起票の自動化


Slide 14

Slide 14 text

freee auto-blacklist
 ● 明らかな攻撃元については自動でブラックリストに追加
 ● SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行
 WAF
 S3 bucket
 Lambda
 Black list
 追加
 expired
 を削除
 ECS
 トリガー
 Slack
 トリガー
 CloudWatch Events
 Blacklistを
 WAF ruleに反映
 DynamoDB


Slide 15

Slide 15 text

さらに先へ
 ● 現状のSIEMからのアラートは全て ルールベース
 ○ 自動的に検知できない部分は人手で調査
 ● 機械学習を使って、より高度な攻撃を 検知したい
 ○ ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング
 ● 現在絶賛開発中!


Slide 16

Slide 16 text

No content