Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wazuhを利用した 大統一サーバ監査基盤

Wazuhを利用した 大統一サーバ監査基盤

昨今、WEBサービスを運用するにあたり、攻撃手法の高度化に伴いサーバの防御、脆弱性対応はもちろんのこと、有事を検知する監査の仕組みも注目されるようになってきました。

話し手が所属するGMOペパボでは、これまでのセキュリティ・インシデントの経験を糧にサーバ監査の仕組みやウィルス検知の仕組みの構築に力を注いでいます。
このセッションでは話し手が全社横断で取り組んできたサーバ監査の仕組みの構築、導入のノウハウや、実際の運用の勘所を踏まえて、知見を共有します。

Kazuhiko Yamashita

January 26, 2019
Tweet

More Decks by Kazuhiko Yamashita

Other Decks in Technology

Transcript

  1. ʙ৽य़ͷ஍தւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ
    !QZBNB(.01FQBCP *OD
    :"1$5PLZP
    8B[VIΛར༻ͨ͠
    େ౷Ұαʔό؂ࠪج൫

    View full-size slide

  2. γχΞɾϓϦϯγύϧΤϯδχΞ
    ࢁԼ࿨඙!QZBNB
    ϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυ
    IUUQTUFOTOBQPODPN

    View full-size slide

  3. ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ

    View full-size slide

  4. ೥ ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝


    ೥ ϔςϜϧαʔϏεఏڙ։࢝
    1ࢁ͕ϖύϘʹೖࣾʂʂ̍
    ೥݄೔
    ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁര஀ʂʂ̍
    ೥ ݱࡏɾ૑ۀ೥໨
    ϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝

    View full-size slide

  5. 45/4
    -JOVY/444FSWFS
    TUOTKQ

    View full-size slide

  6. ࠓ೔࿩͢͜ͱ
    w8B[VI֓ཁ
    wϖύϘͷ8B[VIಋೖܦҢ
    w8B[VIίϯϙʔωϯτ঺հ
    w8B[VIӡ༻ͷצॴ
    w·ͱΊ

    View full-size slide

  7. ࠓ೔࿩͞ͳ͍͜ͱ
    w$MBN"7ʹ͍ͭͯ
    wUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯ
    w๻ͷ൒ੜͱ࠷ۙͷ࿀Ѫࣄ৘ʹ͍ͭͯ

    View full-size slide

  8. 8B[VI
    5IF0QFO4PVSDF4FDVSJUZ1MBUGPSN
    XB[VIDPN

    View full-size slide

  9. 8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*U
    XBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDL
    BOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO
    %PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE
    GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM

    View full-size slide

  10. 8B[VIͰԿ͕Ͱ͖Δ͔ʁ
    ϑΝΠϧ੔߹ੑ؂ࢹ
    ϩά؂ࢹʹج͍ͮͨ৵ೖݕ஌
    γεςϜઃఆϙϦγʔ؂ࠪ
    γεςϜ੬ऑੑ؂ࢹ

    View full-size slide

  11. ϖύϘͷ8B[VIಋೖܦҢ

    View full-size slide

  12. ηΩϡϦςΟ
    Πϯγσϯτͷൃੜ

    View full-size slide

  13. ෆਖ਼ΞΫηεʹΑΔ
    ෆਖ਼ϓϩάϥϜͷ࣮ߦ

    View full-size slide

  14. Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱ
    Կ ෺
    Λෆਖ਼ΞΫηε͞Ε͔ͨʁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ
    ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁ
    ͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ
    ˞*1"৘ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ

    View full-size slide

  15. ਖ਼֬ͳඃ֐ͷ೺Ѳ͸ϏδωεͰ΋
    ௒ॏཁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ

    View full-size slide

  16. ௐࠪखஈ
    w֤छγεςϜϩάɾΞϓϦέʔγϣϯϩά
    w%#ͷΫΤϦʔϩά
    wΞΫηε͞ΕͨՄೳੑͷ͋Δ৘ใΛ໢ཏతʹௐࠪ͢Δ

    View full-size slide

  17. ๲େͳ࣌ؒ
    ͱ࡞ۀྔ

    View full-size slide

  18. ࣍ඃ֐ͷ཈ࢭ
    ιʔγϟϧϦεΫ
    ૣٸʹਖ਼֬ͳ
    ৘ใ։͕ࣔඞཁ

    View full-size slide

  19. 8B[VI͕ղܾ͢Δ͜ͱ
    ؂ࠪ ؅ཧ
    ηΩϡϦςΟ؂ࠪͷ౷߹ج൫
    wγεςϜίʔϧ؂ࢹ
    wϑΝΠϧ੔߹ੑ؂ࢹ
    wϙϦγʔ؂ࢹ
    wύοέʔδ੬ऑੑ؂ࢹ
    w؂ࠪঢ়گͷऩू
    wμογϡϘʔυͳͲͷ(6*
    w4MBDLͳͲͷ௨஌࿈ܞ
    w3&45GVM"1*

    View full-size slide

  20. ϖύϘͷ8B[VIಋೖͷಈػ
    wαʔόͷ৵ೖͷݕ஌΍ෆਖ਼ͳৼΔ෣͍Λ௨஌ΛࣗಈԽɺͰ͖Ε͹ରԠ
    ·ͰࣗಈԽ͍ͨ͠
    w$7&ొ࿥࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨ
    wҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱ؅ཧ͍ͨ͠

    View full-size slide

  21. ϖύϘͷ8B[VIಋೖ
    wαʔόͷߏங͸!UONUͱͰҰ൩Ͱ࡞ͬͨ
    wΫϥΠΞϯτ΁ͷಋೖ͸ظ೔͸શࣾ౷Ұɺ༏ઌ౓Λ͚ͭͯಋೖΛਐΊ
    ͍ͯͬͨ
    wࣄۀ෦͝ͱʹ؅ཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦෼
    ͸$PPLCPPL΍ϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ͸֤ࣄۀ෦
    Ͱνϡʔχϯά͠ɺͦͷϊ΢ϋ΢Λਵ࣌ࣾ಺ల։

    View full-size slide

  22. ϖύϘͷ8B[VIಋೖޙ
    ৵ೖݕ஌
    ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ
    ৵ೖΛݕ஌ࣗ͠ಈͰ௨஌
    ॳಈରԠ
    ֤ࣄۀ෦͝ͱʹ8B[VI௨஌ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ

    ࿈ܞ
    ࣄޙରԠ
    μογϡϘʔυ΍"1*͔Β৘ใΛऩू
    ౷߹؅ཧ
    ύοέʔδͷ৘ใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ
    ۲Ͱͷαʔό؅ཧ͕Մೳʹͳͬͨ

    View full-size slide

  23. 8B[VIΞʔΩςΫνϟ

    View full-size slide

  24. BHFOU
    4ZTDIFDL
    -PHDPMMFDUPS
    3PPUDIFDL
    .PEVMFT.BOBHFS

    View full-size slide

  25. TFSWFS
    "OBMZTJT%BFNPO
    3FNPUF%BFNPO
    3&45GVM"1*

    View full-size slide

  26. &MBTUJD4UBDL
    &MBTUJDTFBSDI
    ,JCBOB

    View full-size slide

  27. 8B[VI$MVTUFS
    ඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δ
    ৑௕ߏ੒͔ͭෛՙ෼ࢄ͕Մೳ
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    -#
    DMJFOU
    DMVTUFS

    View full-size slide

  28. ϖύϘେ౷Ұ8B[VI
    0QFO4UBDL
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    0QFO4UBDL্ͷ7.Ͱ࣮ߦ
    ೝূ͸(4VJUFʹ౷߹
    IUUQTHJUIVCDPNXB[VIXB[VIEPDLFS
    EPDLFSDPNQPTFͰΫϥελʔߏங

    View full-size slide

  29. ౷Ұج൫Ͱ΋ࡉ෼Խͯ͠؅ཧՄೳ
    άϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά
    $ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipop

    lolipop

    ΫϥΠΞϯτొ࿥࣌ʹάϧʔϓࢦఆ
    ΫϥΠΞϯτͷઃఆϑΝΠϧʹ೚ҙͷ߲໨ΛMBCFMͰఆٛՄೳ

    View full-size slide

  30. ϥϕϧͷఆٛʹج͍ͮͯ
    ௨஌εΫϦϓτ࣮ߦ

    View full-size slide

  31. ӡ༻ͷצॴͱ࣮ྫ

    View full-size slide

  32. ϊΠζΞϥʔτ

    View full-size slide

  33. σϑΥϧτϧʔϧΛͦͷ··௨஌͢Δͱա৒௨஌ʹͳΔ
    ྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔ

    ˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔ
    ΞϥʔτʹଈରԠ͕
    ඞཁͱ͍͏ӡ༻Λ໨ࢦ͢

    View full-size slide

  34. ϊΠζΛݮΒ͢ख๏
    ௨஌ϧʔϧϨϕϧΛมߋ͢Δ
    σϑΥϧτϧʔϧΛ্ॻ͖͢Δ
    ᶃ ϧʔϧϨϕϧΛม͑Δ
    ᶄ ϗετɾϩʔϧΛߜΔ

    View full-size slide

  35. 8B[VIͷΞϥʔτॲཧ
    /PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*%
    UJNFTUBNQ/PW
    IPTUOBNFGUQ
    QSPHSBN@OBNFVTFSBEE
    SVMFJEMFWFM
    IPTUOBNFGUQIPTUOBNF
    JG@HSPVQTZTMPH BEEVTFS JG@HSPVQ
    EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO
    HSPVQQDJ@ETT@ QDJ@ETT@ QDJ@ETT@ HQH@ HEQS@*7@E HEQS@*7@ HSPVQ
    SVMF
    %FDPEF
    .BUDI

    View full-size slide

  36. 1VMMSFRVFTU
    3FWJFX.FSHF
    $*
    %FQMPZ
    ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛ௥ه͠ɺ13
    3VCZͷNJOJUFTUͰ࣮૷͞ΕͨɺࣗಈςετΛ࣮ߦ
    ҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺ
    ௥Ճ͞Ε͍ͯΔ͔Λςετ
    ϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ
    .BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠ
    ϩʔΧϧϧʔϧӡ༻

    View full-size slide

  37. σϓϩΠര஄

    View full-size slide

  38. γϯϘϦοΫϦϯΫΛར༻ͨ͠
    σϓϩΠ͸'*.͔ΒݟΔͱશվ᜵
    QBUITZN@BBUYU QBUITZN@CBUYU
    ɹσϓϩΠ
    ՔಇதͷαʔϏεʹ
    ṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ

    View full-size slide

  39. pOEOPEF@NPEVMFTcXDM

    View full-size slide

  40. 8B[VIͷֶशσʔλΛ
    ύʔδ͢Δඞཁ͕͋Δ
    QBUITZN@BBUYU QBUITZN@CBUYU
    ɹσϓϩΠ
    8B[VI%#
    νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕௥Ճ͞Εͨ
    ˠΞϥʔτ
    $ curl -X DELETE "https://api.url/syscheck/ \
    $(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"

    View full-size slide

  41. "1*Λ࢖͍౗͢
    ͜Ε͔Β

    View full-size slide

  42. ύοέʔδͷΠϯετʔϧঢ়گ΍
    ੬ऑੑͷ༗ແΛऔಘ

    View full-size slide

  43. ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ

    View full-size slide

  44. IUUQTHJUIVCDPNNSUDXB[VI

    View full-size slide

  45. ·ͱΊ
    wηΩϡϦςΟɾΠϯγσϯτ͸ൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ

    ΠϯύΫτ͕ى͜ΓಘΔ
    wى͖͔ͯΒͰ͸஗͍͠ɺى͖ͨ͋ͱ΋଎͕ඞཁ
    wະવʹ๷͙͜ͱɺൃੜΛݕ஌͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ

    ఏڙ͢Δ8B[VI͸ಋೖ΋؆୯ͩ͠ɺӡ༻΋ָ

    View full-size slide

  46. 5IBOLZPV
    ࠷৽ͷ࠾༻৘ใΛνΣοΫˠ !QC@SFDSVJU

    View full-size slide