Wazuhを利用した大統一サーバ監査基盤

ʙ৽य़ͷ஍தւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ !QZBNB(.01FQBCP *OD :"1$5PLZP 8B[VIΛར༻ͨ͠ େ౷Ұαʔό؂ࠪج൫

γχΞɾϓϦϯγύϧΤϯδχΞ ࢁԼ࿨඙!QZBNB ϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυ IUUQTUFOTOBQPODPN

ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ

೥ ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝ ೥ ೥ ೥ ϔςϜϧαʔϏεఏڙ։࢝ 1ࢁ͕ϖύϘʹೖࣾʂʂ̍ ೥݄೔ ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁര஀ʂʂ̍ ೥
ݱࡏɾ૑ۀ೥໨ ϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝

45/4 -JOVY/444FSWFS TUOTKQ

ࠓ೔࿩͢͜ͱ w8B[VI֓ཁ wϖύϘͷ8B[VIಋೖܦҢ w8B[VIίϯϙʔωϯτ঺հ w8B[VIӡ༻ͷצॴ w·ͱΊ

ࠓ೔࿩͞ͳ͍͜ͱ w$MBN"7ʹ͍ͭͯ wUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯ w๻ͷ൒ੜͱ࠷ۙͷ࿀Ѫࣄ৘ʹ͍ͭͯ

8B[VI 5IF0QFO4PVSDF4FDVSJUZ1MBUGPSN XB[VIDPN

8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*U XBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDL BOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO %PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM

8B[VIͰԿ͕Ͱ͖Δ͔ʁ ϑΝΠϧ੔߹ੑ؂ࢹ ϩά؂ࢹʹج͍ͮͨ৵ೖݕ஌ γεςϜઃఆϙϦγʔ؂ࠪ γεςϜ੬ऑੑ؂ࢹ

ϖύϘͷ8B[VIಋೖܦҢ

ηΩϡϦςΟ Πϯγσϯτͷൃੜ

ෆਖ਼ΞΫηεʹΑΔ ෆਖ਼ϓϩάϥϜͷ࣮ߦ

Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱ Կ ෺ Λෆਖ਼ΞΫηε͞Ε͔ͨʁ ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁ ͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ ˞*1"৘ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ

ਖ਼֬ͳඃ֐ͷ೺Ѳ͸ϏδωεͰ΋ ௒ॏཁ ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ

ௐࠪखஈ w֤छγεςϜϩάɾΞϓϦέʔγϣϯϩά w%#ͷΫΤϦʔϩά wΞΫηε͞ΕͨՄೳੑͷ͋Δ৘ใΛ໢ཏతʹௐࠪ͢Δ

๲େͳ࣌ؒ ͱ࡞ۀྔ

࣍ඃ֐ͷ཈ࢭ ιʔγϟϧϦεΫ ૣٸʹਖ਼֬ͳ ৘ใ։͕ࣔඞཁ

8B[VI͕ղܾ͢Δ͜ͱ ؂ࠪ ؅ཧ ηΩϡϦςΟ؂ࠪͷ౷߹ج൫ wγεςϜίʔϧ؂ࢹ wϑΝΠϧ੔߹ੑ؂ࢹ wϙϦγʔ؂ࢹ wύοέʔδ੬ऑੑ؂ࢹ w؂ࠪঢ়گͷऩू wμογϡϘʔυͳͲͷ(6*
w4MBDLͳͲͷ௨஌࿈ܞ w3&45GVM"1*

ϖύϘͷ8B[VIಋೖͷಈػ wαʔόͷ৵ೖͷݕ஌΍ෆਖ਼ͳৼΔ෣͍Λ௨஌ΛࣗಈԽɺͰ͖Ε͹ରԠ ·ͰࣗಈԽ͍ͨ͠ w$7&ొ࿥࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨ wҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱ؅ཧ͍ͨ͠

ϖύϘͷ8B[VIಋೖ wαʔόͷߏங͸!UONUͱͰҰ൩Ͱ࡞ͬͨ wΫϥΠΞϯτ΁ͷಋೖ͸ظ೔͸શࣾ౷Ұɺ༏ઌ౓Λ͚ͭͯಋೖΛਐΊ ͍ͯͬͨ wࣄۀ෦͝ͱʹ؅ཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦෼ ͸$PPLCPPL΍ϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ͸֤ࣄۀ෦ Ͱνϡʔχϯά͠ɺͦͷϊ΢ϋ΢Λਵ࣌ࣾ಺ల։

ϖύϘͷ8B[VIಋೖޙ ৵ೖݕ஌ ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ ৵ೖΛݕ஌ࣗ͠ಈͰ௨஌ ॳಈରԠ ֤ࣄۀ෦͝ͱʹ8B[VI௨஌ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ  ࿈ܞ ࣄޙରԠ μογϡϘʔυ΍"1*͔Β৘ใΛऩू ౷߹؅ཧ
ύοέʔδͷ৘ใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ ۲Ͱͷαʔό؅ཧ͕Մೳʹͳͬͨ

8B[VIΞʔΩςΫνϟ

BHFOU 4ZTDIFDL -PHDPMMFDUPS 3PPUDIFDL .PEVMFT.BOBHFS

TFSWFS "OBMZTJT%BFNPO 3FNPUF%BFNPO 3&45GVM"1*

&MBTUJD4UBDL &MBTUJDTFBSDI ,JCBOB

8B[VI$MVTUFS ඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δ ৑௕ߏ੒͔ͭෛՙ෼ࢄ͕Մೳ TFSWFSXPSLFS TFSWFSXPSLFS TFSWFSXPSLFS -# DMJFOU DMVTUFS

ϖύϘେ౷Ұ8B[VI 0QFO4UBDL EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI
&MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI 0QFO4UBDL্ͷ7.Ͱ࣮ߦ ೝূ͸(4VJUFʹ౷߹ IUUQTHJUIVCDPNXB[VIXB[VIEPDLFS EPDLFSDPNQPTFͰΫϥελʔߏங

౷Ұج൫Ͱ΋ࡉ෼Խͯ͠؅ཧՄೳ άϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά $ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipop <labels> <label
key="slack_channel">lolipop</label> </labels> ΫϥΠΞϯτొ࿥࣌ʹάϧʔϓࢦఆ ΫϥΠΞϯτͷઃఆϑΝΠϧʹ೚ҙͷ߲໨ΛMBCFMͰఆٛՄೳ

ϥϕϧͷఆٛʹج͍ͮͯ ௨஌εΫϦϓτ࣮ߦ

ӡ༻ͷצॴͱ࣮ྫ

ϊΠζΞϥʔτ

σϑΥϧτϧʔϧΛͦͷ··௨஌͢Δͱա৒௨஌ʹͳΔ ྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔ ˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔ ΞϥʔτʹଈରԠ͕ ඞཁͱ͍͏ӡ༻Λ໨ࢦ͢

ϊΠζΛݮΒ͢ख๏ ௨஌ϧʔϧϨϕϧΛมߋ͢Δ σϑΥϧτϧʔϧΛ্ॻ͖͢Δ ᶃ ϧʔϧϨϕϧΛม͑Δ ᶄ ϗετɾϩʔϧΛߜΔ

8B[VIͷΞϥʔτॲཧ /PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*% UJNFTUBNQ/PW IPTUOBNFGUQ QSPHSBN@OBNFVTFSBEE SVMFJEMFWFM IPTUOBNFGUQIPTUOBNF JG@HSPVQTZTMPH BEEVTFS
JG@HSPVQ EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO HSPVQQDJ@ETT@ QDJ@ETT@ QDJ@ETT@ HQH@ HEQS@*7@E HEQS@*7@ HSPVQ SVMF %FDPEF .BUDI

1VMMSFRVFTU 3FWJFX.FSHF $* %FQMPZ ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛ௥ه͠ɺ13 3VCZͷNJOJUFTUͰ࣮૷͞ΕͨɺࣗಈςετΛ࣮ߦ ҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺ ௥Ճ͞Ε͍ͯΔ͔Λςετ ϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ .BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠ
ϩʔΧϧϧʔϧӡ༻

σϓϩΠര஄

γϯϘϦοΫϦϯΫΛར༻ͨ͠ σϓϩΠ͸'*.͔ΒݟΔͱશվ᜵ QBUITZN@BBUYU QBUITZN@CBUYU ɹσϓϩΠ ՔಇதͷαʔϏεʹ ṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ

pOEOPEF@NPEVMFTcXDM

8B[VIͷֶशσʔλΛ ύʔδ͢Δඞཁ͕͋Δ QBUITZN@BBUYU QBUITZN@CBUYU ɹσϓϩΠ 8B[VI%# νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕௥Ճ͞Εͨ ˠΞϥʔτ $
curl -X DELETE "https://api.url/syscheck/ \ $(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"

"1*Λ࢖͍౗͢ ͜Ε͔Β

ύοέʔδͷΠϯετʔϧঢ়گ΍ ੬ऑੑͷ༗ແΛऔಘ

ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ

IUUQTHJUIVCDPNNSUDXB[VI

·ͱΊ wηΩϡϦςΟɾΠϯγσϯτ͸ൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ  ΠϯύΫτ͕ى͜ΓಘΔ wى͖͔ͯΒͰ͸஗͍͠ɺى͖ͨ͋ͱ΋଎͕ඞཁ wະવʹ๷͙͜ͱɺൃੜΛݕ஌͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ  ఏڙ͢Δ8B[VI͸ಋೖ΋؆୯ͩ͠ɺӡ༻΋ָ

5IBOLZPV ࠷৽ͷ࠾༻৘ใΛνΣοΫˠ !QC@SFDSVJU

Wazuhを利用した 大統一サーバ監査基盤

Wazuhを利用した 大統一サーバ監査基盤

More Decks by Kazuhiko Yamashita

Other Decks in Technology

Featured

Transcript

Wazuhを利用した大統一サーバ監査基盤

Wazuhを利用した大統一サーバ監査基盤