Startup.fm: SIEM on Amazon Elasticsearch Serviceでログ調査＆分析を楽にしよう / Startup.fm: Easier log analysis with SIEM on Amazon Elasticsearch Service

by Tamirlan 893 Torgayev

Slide 1

Slide 1 text

© 2021, Amazon Web Services, Inc. or its Affiliates. Tamirlan Torgayev @prog893 Startup Solutions Architect Amazon Web Services Japan 2021/04/08 SIEM on Amazon Elasticsearch Serviceでログ調査＆分析を楽にしよう Startup.fm – Analytics編

Slide 2

Slide 2 text

© 2021, Amazon Web Services, Inc. or its Affiliates. Tamirlan Torgayev (ティーマ) Startup Solutions Architect Amazon Web Services Japan メガベンチャーグループ企業に新卒入社、様々なメディアサービスのインフラを支援 AWSでスタートアップ支援好きなもの: Amazon Kinesis、 Amazon ECS、カメラ!、猫" @prog893

Slide 3

Slide 3 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 本⽇のアジェンダ • トラブル発⽣時のログ調査の課題 • Amazon Elasticsearch Service • Elasticsearchとは • Open Distroとは • Amazon Elasticsearch Serviceとは • SIEM on Amazon Elasticsearch Serviceとは • SIEM on Amazon Elasticsearch Serviceのデモ • 関連イベントの紹介 • Q&A

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ログ︖なぜ集めるの︖いつどう調査分析するの︖ • ⾊々なログがある、例えば: • セキュリティ • AWS CloudTrail、VPC Flow Logs、など • アプリケーションの状態を把握するためのもの • エラーログ、アクセスログ、など • トラブル発⽣時、これらのログの調査が必要 • セキュリティインシデント → 発⽣原因、被害範囲の特定、対応 • アプリケーション → クラッシュ原因、スロウダウン原因の特定、障害時の調査 • 多くの場合、それぞれのフォーマット、スキーマ、保存先がバラバラ

Slide 7

Slide 7 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 調査に時間がかかり⼈への依存が⾼い • 様々なログがバラバラになっていたり、調査には⾼度なスキルが必要 • セキュリティログの収集や調査も重要だが、これもこれで⼤変… • 調査に時間がかかり、専⾨家など特定の⼈への依存が⾼い • lead timeが伸びて、開発効率が悪化する • セキュリティインシデンとの場合、なるべく早く原因を特定し、対応することが特に重要

Slide 8

Slide 8 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 私の経験談 • トラブルが発⽣したら、職⼈技によって⽣み出されし謎のシェルスクリプトを実⾏ → トラブル原因調査をしていた • メンテナンス不可能なスクリプト、中⾝も読めない • zcat | jq | grep | cut • jqのクエリ、grepのregexが秘伝のタレ化しやすい • 都度スクリプト実⾏したりすると、事故ったり、調査時間が伸びたり • 障害対応は番⼈制だが、ログの調査、分析に詳しい⼈への依存がありその⽇の担当じゃない⼈が呼ばれる → 負担が偏る（こういうスクリプトを私も作ったりしていたが、作った翌⽇はもう、何がなんだかわからない）

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

© 2021, Amazon Web Services, Inc. or its Affiliates. Open Distro: アラーティングアラート条件のカスタムアラートのしきい値および重⼤度を複数のトリガー条件に対して定義するアラート内容を確認すべてのアラートの実⾏はインデックスされ、追跡と視覚化を容易にする通知を取得 WebhookとSlackへの組み込み済みの統合を使⽤して、利⽤中のチャネルで通知を受け取るモニターの作成アラートを受け取る必要のあるデータをクエリする

Slide 15

Slide 15 text

© 2021, Amazon Web Services, Inc. or its Affiliates. Open Distro: インデックス管理インデックスの管理 Kibana を使って Elasticsearch のインデックスを管理するポリシーの定義インデックスを管理するポリシーを作成するポリシーの適⽤ポリシーを適⽤して、インデックスを監視および管理するサポートされるアクションには、オープン、読み取り専⽤、読み取り書き込み、レプリカ数、ロールオーバー、強制マージ、クローズ、削除、通知が含まれる

Slide 16

Slide 16 text

Slide 17

Slide 17 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 柔軟性データの検索やログの分析が可能 AWS とオープンソースの取り込みツールをサポートする優れたコスト効率従量課⾦制の⽀払い運⽤コストの削減、適切なインスタンスタイプのサイジング、リザーブドインスタンスも選択可能⾼可⽤性セルフヒーリング、24時間 365⽇のモニタリング、1クリックでマルチ AZ活⽤、⾃動バックアップ、AWS サポートの利⽤、 Amazon CloudWatch でのメトリクス取得スケーラブル & ⾼性能ワンクリックでスケール、 Elasticsearchバージョンのアップグレード、パッチ適⽤セキュア Amazon VPC 内へのデプロイ、 Amazon Cognitoによるログイン HIPAA、FISMA、SOC、PCI、 FedRampに準拠フルマネージド型 APIやAWSコンソールを利⽤して、わずか数分でクラスターをデプロイできる Amazon Elasticsearch Serviceの利点

Slide 18

Slide 18 text

© 2021, Amazon Web Services, Inc. or its Affiliates. UltraWarm for Amazon Elasticsearch Service ログ分析用のクラウド最適化アーキテクチャ • 最⼤ 90% のコスト削減 • マルチ PB スケール • ⾼い性能と耐久性 • インタラクティブで統合されたログ分析 Amazon S3 UltraWarm UltraWarm UltraWarm Data Node Data Node Data Node Data Node “Hot” Data Nodes UltraWarm Data Nodes Amazon Elasticsearch Service

Slide 19

Slide 19 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ログ⼀元管理への道 • よし、Elasticsearchにデータを⼊れてKibanaで可視化しよう︕ • 課題: データフローを作っていたりするのがコストがかかる • ログの形式、スキーマがバラバラ • 共通の形式に合わせるロジックをログ種類ごとに⽤意するのは⼤変 • Elasticsearchへの格納のロジックの⽤意にも⼯数かかる… この課題を解決するのは、 SIEM on Amazon Elasticsearch Service

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 防御検知対応⾃動化調査復旧識別 AWS Systems Manager AWS Config AWS Lambda Amazon CloudWatch Amazon Inspector Amazon Macie Amazon GuardDuty AWS Security Hub AWS IoT Device Defender KMS IAM AWS Single Sign-On Snapshot Archive AWS CloudTrail Amazon CloudWatch Amazon VPC AWS WAF AWS Shield AWS Secrets Manager AWS Firewall Manager AWS Organizations Personal Health Dashboard Amazon Route 53 AWS Direct Connect AWS Transit Gateway Amazon VPC PrivateLink AWS Step Functions Amazon Cloud Directory AWS CloudHSM AWS Certificate Manager AWS Control Tower AWS Service Catalog AWS Well- Architected Tool AWS Trusted Advisor Resource Access Manager AWS Directory Service Amazon Cognito Amazon S3 Glacier AWS Security Hub AWS Systems Manager AWS CloudFormation AWS OpsWorks Amazon Detective AWS セキュリティサービスと NIST サイバーセキュリティフレームワーク SIEM +

Slide 23

Slide 23 text

© 2021, Amazon Web Services, Inc. or its Affiliates. インシデントレスポンスにおけるSIEMとその必要性 • インシデントレスポンスでは脅威の検出後に調査が必要 • 調査の⽬的攻撃成否/被害の有無の判断 (トリアージ) • 根本原因の特定 • 被害規模や漏洩情報の特定 • 迅速な調査で、対応完了までの時間を短縮し、被害を最⼩化 • インシデントレスポンスにおけるログ調査の課題: • 脅威のアラート⽣成が複数に分散すると管理が難しい • 調査対象が広範囲になりがちで多数のログの収集や分析で時間を要する ! SIEMで課題解決︕

Slide 24

Slide 24 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ユースケース相関分析1(ネットワーク) GuardDuty の脅威検出結果の送信元のIPアドレスをキーにして、 GuardDuty、CloudTrail、VPC Flow Logs、Webサーバ、SSH等のログを抽出ネットワークログを時系列に並び替えて分析相関分析2(インスタンスID) GuardDuty の脅威検出結果のインスタンスIDをキーにして、 GuardDuty、CloudTrail、Inspector、 (Config、Config Rule) のログを抽出、インシデントと変更履歴と脆弱性を時系列に並び替えて分析ダッシュボードによる可視化 CloudTrailのAPIコールの集計、時系列の変化、アクセス元のIPを世界地図で確認脅威検知とアラートの⼀元管理 ITシステムの全ての脅威検知を集約、特定条件(危険度⾼等)にマッチした脅威のみをアラート

Slide 25

Slide 25 text

© 2021, Amazon Web Services, Inc. or its Affiliates. SIEM on Amazon Elasticsearch Serviceとは • AWS ネイティブログのセキュリティ監視をするためのスクリプトやダッシュボードのサンプル • オープンソースとして公開: https://github.com/aws-samples/siem-on-amazon-elasticsearch • AWS JapanのSecurity SAが開発 • 特徴 • マネージドサービスとサーバーレスのみで構成 • AWS サービス専⽤の正規化、ダッシュボード • CloudFormation/CDK によるデプロイ、約20分で完了 • クラウドサービスをご利⽤した分だけの従量制料⾦ • マルチアカウント、マルチリージョン対応

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 1. GitHub: aws-samples/siem-on-amazon-elasticsearch にアクセス https://github.com/aws-samples/siem-on-amazon-elasticsearch/blob/main/README_ja.md 2. AWS CloudFormation のテンプレートを選択 3. CloudFormation でパラーメータを3つ⼊れて実⾏、約20分後にデプロイ完了 4. 可視化・分析したいログを S3 バケットに保存 SIEM on Amazon ES の利⽤⽅法

Slide 29

Slide 29 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ログの正規化 (ETL) • 正規化: 複数種類のログで同じ意味を持つフィールドに同⼀のフィールド名を付与 • 正規化により串刺しで効率的に検索できるようになる • 正規化はElastic Common Schema準拠 • 他にも送信元IP、送信先IP、 EC2 Instance ID、 Access key等の重要フィールドは正規化済み

Slide 30

Slide 30 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ログの正規化 before/after例 GuardDutyで脅威検知したインシデントの関連ログを複数ログから抽出正規化処理されてない例: (recipientAccountId:111111111111 AND sourceIPAddress:198.51.100.1) OR (account_id:111111111111 AND srcaddr:198.51.100.1) OR (accountId:111111111111 AND (service.action.awsApiCallAction.remoteIpDetails.ipAddressV4:198.51.100.1 OR service.action.portProbeAction.portProbeDetails.remoteIpDetails.ipAddressV4:198.51.100.1)) ( cloud.account.id:111111111111 AND source.ip:198.51.100.1 ) 正規化処理をした場合: GuardDuty VPC Flow Logs CloudTrail 共通スキーマ

Slide 31

Slide 31 text

© 2021, Amazon Web Services, Inc. or its Affiliates. SIEM on Amazon ES で対応済みログ • AWS CloudTrail • AWS Network Firewall • Amazon VPC Flow Logs • Amazon GuardDuty • Amazon Security Hub • GuardDuty • Amazon Macie • Amazon Inspector • AWS IAM Access Analyzer • Route53 Resolver DNS query log • Linux /var/log/secure • Amazon Elastic Container Service • Amazon S3 access log • Elastic Load Balancing • Application Load Balancer • Network load balancer • Classic Load Balancer • AWS WAF • AWS WAF • AWS Classic WAF • Amazon CloudFront • Standard access log • Real-time log • Amazon Relational Database Service • MySQL/MariaDB/PostgreSQL • Amazon Managed Streaming for Apache Kafka 他のログについても順次対応︕

Slide 32

Slide 32 text

© 2021, Amazon Web Services, Inc. or its Affiliates. S3 バケットの保存済みログの取り込み個別アカウント (マルチアカウント/マルチリージョン) ログ監視用アカウント ※バッチにはaws s3 listの実行結果を入力 SIEM on Amazon ES のモジュールをサーバー上で実⾏することにより、 S3 バケットに保存済みのログを可視化することが可能

Slide 33

Slide 33 text

© 2021, Amazon Web Services, Inc. or its Affiliates. SIEM on Amazon ES に対するお客様の声 • ダッシュボードで AWS のログを可視化できるのは助かる • 正規化の重要性がわかった。それを事前に定義しているのでありがたい • ⾍眼鏡のマイナスだったり簡単な操作でログをフィルタリングして調査できるのは良い • IT 運⽤のログ調査やトラブルシューティングにも使えそう • ⼀つの画⾯でテーブル表⽰によるサマリと、⽣ログを確認できるのは良い

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Slide 37

Slide 37 text

© 2021, Amazon Web Services, Inc. or its Affiliates. ログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service ハンズオンセミナー • 日程: 2021年 4月 22日 (木) 14:00 ～ 16:30 オンライン開催 • もっと詳しい話聞きたい方、構築を行なってSIEM on Amazon ESを触ってみたい方、ぜひご参加ください • 参加者にはハンズオン専用のAWSアカウントを提供します • スタートアップ向けのハンズオンなので、お気軽にご参加ください！ • 詳細、申し込みはこちらから: https://pages.awscloud.com/JAPAN-field-OE-SIEM-on-AES-0422-2021-reg- event.html

Slide 38

Slide 38 text

© 2021, Amazon Web Services, Inc. or its Affiliates. 最後に • 全てのログをしっかり取りましょう • CloudTrailログがないと、セキュリティインシデント発生時の調査ができなくなる • 同様、アプリケーションのログがないと、アプリケーション起因のトラブルの調査が不可能 • 逆に、全てのログがS3にさえあれば、 SIEM on Amazon ESの構築は後からでも可能 • トラブル発生に備えて、迅速な対応ができる環境を作りましょう • ツール: Elasticsearch + Kibana • トラブル発生時のマニュアル (playbook)の用意、定期的な対応訓練の実施 • トラブルに気付ける仕組みを整えましょう • 監視、メトリクス/ログベースアラート、GuardDuty、など