Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wazuhを利用した 大統一サーバ監査基盤

Wazuhを利用した 大統一サーバ監査基盤

昨今、WEBサービスを運用するにあたり、攻撃手法の高度化に伴いサーバの防御、脆弱性対応はもちろんのこと、有事を検知する監査の仕組みも注目されるようになってきました。

話し手が所属するGMOペパボでは、これまでのセキュリティ・インシデントの経験を糧にサーバ監査の仕組みやウィルス検知の仕組みの構築に力を注いでいます。
このセッションでは話し手が全社横断で取り組んできたサーバ監査の仕組みの構築、導入のノウハウや、実際の運用の勘所を踏まえて、知見を共有します。

Kazuhiko Yamashita

January 26, 2019
Tweet

More Decks by Kazuhiko Yamashita

Other Decks in Technology

Transcript

  1. ʙ৽य़ͷ஍தւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ
    !QZBNB(.01FQBCP *OD
    :"1$5PLZP
    8B[VIΛར༻ͨ͠
    େ౷Ұαʔό؂ࠪج൫

    View Slide

  2. γχΞɾϓϦϯγύϧΤϯδχΞ
    ࢁԼ࿨඙!QZBNB
    ϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυ
    IUUQTUFOTOBQPODPN

    View Slide

  3. ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ

    View Slide

  4. ೥ ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝


    ೥ ϔςϜϧαʔϏεఏڙ։࢝
    1ࢁ͕ϖύϘʹೖࣾʂʂ̍
    ೥݄೔
    ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁര஀ʂʂ̍
    ೥ ݱࡏɾ૑ۀ೥໨
    ϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝

    View Slide

  5. 45/4
    -JOVY/444FSWFS
    TUOTKQ

    View Slide

  6. 45/4

    View Slide

  7. ࠓ೔࿩͢͜ͱ
    w8B[VI֓ཁ
    wϖύϘͷ8B[VIಋೖܦҢ
    w8B[VIίϯϙʔωϯτ঺հ
    w8B[VIӡ༻ͷצॴ
    w·ͱΊ

    View Slide

  8. ࠓ೔࿩͞ͳ͍͜ͱ
    w$MBN"7ʹ͍ͭͯ
    wUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯ
    w๻ͷ൒ੜͱ࠷ۙͷ࿀Ѫࣄ৘ʹ͍ͭͯ

    View Slide

  9. 8B[VI
    5IF0QFO4PVSDF4FDVSJUZ1MBUGPSN
    XB[VIDPN

    View Slide

  10. 8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*U
    XBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDL
    BOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO
    %PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE
    GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM

    View Slide

  11. 8B[VIͰԿ͕Ͱ͖Δ͔ʁ
    ϑΝΠϧ੔߹ੑ؂ࢹ
    ϩά؂ࢹʹج͍ͮͨ৵ೖݕ஌
    γεςϜઃఆϙϦγʔ؂ࠪ
    γεςϜ੬ऑੑ؂ࢹ

    View Slide

  12. ϖύϘͷ8B[VIಋೖܦҢ

    View Slide

  13. ηΩϡϦςΟ
    Πϯγσϯτͷൃੜ

    View Slide

  14. ෆਖ਼ΞΫηεʹΑΔ
    ෆਖ਼ϓϩάϥϜͷ࣮ߦ

    View Slide

  15. Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱ
    Կ ෺
    Λෆਖ਼ΞΫηε͞Ε͔ͨʁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ
    ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁ
    ͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ
    ˞*1"৘ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ

    View Slide

  16. ਖ਼֬ͳඃ֐ͷ೺Ѳ͸ϏδωεͰ΋
    ௒ॏཁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ

    View Slide

  17. ௐࠪखஈ
    w֤छγεςϜϩάɾΞϓϦέʔγϣϯϩά
    w%#ͷΫΤϦʔϩά
    wΞΫηε͞ΕͨՄೳੑͷ͋Δ৘ใΛ໢ཏతʹௐࠪ͢Δ

    View Slide

  18. ๲େͳ࣌ؒ
    ͱ࡞ۀྔ

    View Slide

  19. ࣍ඃ֐ͷ཈ࢭ
    ιʔγϟϧϦεΫ
    ૣٸʹਖ਼֬ͳ
    ৘ใ։͕ࣔඞཁ

    View Slide

  20. 8B[VI͕ղܾ͢Δ͜ͱ
    ؂ࠪ ؅ཧ
    ηΩϡϦςΟ؂ࠪͷ౷߹ج൫
    wγεςϜίʔϧ؂ࢹ
    wϑΝΠϧ੔߹ੑ؂ࢹ
    wϙϦγʔ؂ࢹ
    wύοέʔδ੬ऑੑ؂ࢹ
    w؂ࠪঢ়گͷऩू
    wμογϡϘʔυͳͲͷ(6*
    w4MBDLͳͲͷ௨஌࿈ܞ
    w3&45GVM"1*

    View Slide

  21. ϖύϘͷ8B[VIಋೖͷಈػ
    wαʔόͷ৵ೖͷݕ஌΍ෆਖ਼ͳৼΔ෣͍Λ௨஌ΛࣗಈԽɺͰ͖Ε͹ରԠ
    ·ͰࣗಈԽ͍ͨ͠
    w$7&ొ࿥࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨ
    wҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱ؅ཧ͍ͨ͠

    View Slide

  22. ϖύϘͷ8B[VIಋೖ
    wαʔόͷߏங͸!UONUͱͰҰ൩Ͱ࡞ͬͨ
    wΫϥΠΞϯτ΁ͷಋೖ͸ظ೔͸શࣾ౷Ұɺ༏ઌ౓Λ͚ͭͯಋೖΛਐΊ
    ͍ͯͬͨ
    wࣄۀ෦͝ͱʹ؅ཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦෼
    ͸$PPLCPPL΍ϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ͸֤ࣄۀ෦
    Ͱνϡʔχϯά͠ɺͦͷϊ΢ϋ΢Λਵ࣌ࣾ಺ల։

    View Slide

  23. ϖύϘͷ8B[VIಋೖޙ
    ৵ೖݕ஌
    ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ
    ৵ೖΛݕ஌ࣗ͠ಈͰ௨஌
    ॳಈରԠ
    ֤ࣄۀ෦͝ͱʹ8B[VI௨஌ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ

    ࿈ܞ
    ࣄޙରԠ
    μογϡϘʔυ΍"1*͔Β৘ใΛऩू
    ౷߹؅ཧ
    ύοέʔδͷ৘ใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ
    ۲Ͱͷαʔό؅ཧ͕Մೳʹͳͬͨ

    View Slide

  24. 8B[VIΞʔΩςΫνϟ

    View Slide

  25. 8B[VI

    View Slide

  26. BHFOU
    4ZTDIFDL
    -PHDPMMFDUPS
    3PPUDIFDL
    .PEVMFT.BOBHFS

    View Slide

  27. TFSWFS
    "OBMZTJT%BFNPO
    3FNPUF%BFNPO
    3&45GVM"1*

    View Slide

  28. &MBTUJD4UBDL
    &MBTUJDTFBSDI
    ,JCBOB

    View Slide

  29. 8B[VI$MVTUFS
    ඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δ
    ৑௕ߏ੒͔ͭෛՙ෼ࢄ͕Մೳ
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    -#
    DMJFOU
    DMVTUFS

    View Slide

  30. ϖύϘେ౷Ұ8B[VI
    0QFO4UBDL
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    0QFO4UBDL্ͷ7.Ͱ࣮ߦ
    ೝূ͸(4VJUFʹ౷߹
    IUUQTHJUIVCDPNXB[VIXB[VIEPDLFS
    EPDLFSDPNQPTFͰΫϥελʔߏங

    View Slide

  31. ౷Ұج൫Ͱ΋ࡉ෼Խͯ͠؅ཧՄೳ
    άϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά
    $ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipop

    lolipop

    ΫϥΠΞϯτొ࿥࣌ʹάϧʔϓࢦఆ
    ΫϥΠΞϯτͷઃఆϑΝΠϧʹ೚ҙͷ߲໨ΛMBCFMͰఆٛՄೳ

    View Slide

  32. ϥϕϧͷఆٛʹج͍ͮͯ
    ௨஌εΫϦϓτ࣮ߦ

    View Slide

  33. ӡ༻ͷצॴͱ࣮ྫ

    View Slide

  34. ϊΠζΞϥʔτ

    View Slide

  35. σϑΥϧτϧʔϧΛͦͷ··௨஌͢Δͱա৒௨஌ʹͳΔ
    ྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔ

    ˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔ
    ΞϥʔτʹଈରԠ͕
    ඞཁͱ͍͏ӡ༻Λ໨ࢦ͢

    View Slide

  36. ϊΠζΛݮΒ͢ख๏
    ௨஌ϧʔϧϨϕϧΛมߋ͢Δ
    σϑΥϧτϧʔϧΛ্ॻ͖͢Δ
    ᶃ ϧʔϧϨϕϧΛม͑Δ
    ᶄ ϗετɾϩʔϧΛߜΔ

    View Slide

  37. 8B[VIͷΞϥʔτॲཧ
    /PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*%
    UJNFTUBNQ/PW
    IPTUOBNFGUQ
    [email protected]
    SVMFJEMFWFM
    IPTUOBNFGUQIPTUOBNF
    [email protected] BEEVTFS [email protected]
    EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO
    [email protected]@ [email protected]@ [email protected]@ [email protected] [email protected]*[email protected] [email protected]*[email protected] HSPVQ
    SVMF
    %FDPEF
    .BUDI

    View Slide

  38. 1VMMSFRVFTU
    3FWJFX.FSHF
    $*
    %FQMPZ
    ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛ௥ه͠ɺ13
    3VCZͷNJOJUFTUͰ࣮૷͞ΕͨɺࣗಈςετΛ࣮ߦ
    ҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺ
    ௥Ճ͞Ε͍ͯΔ͔Λςετ
    ϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ
    .BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠ
    ϩʔΧϧϧʔϧӡ༻

    View Slide

  39. σϓϩΠര஄

    View Slide

  40. γϯϘϦοΫϦϯΫΛར༻ͨ͠
    σϓϩΠ͸'*.͔ΒݟΔͱશվ᜵
    [email protected] [email protected]
    ɹσϓϩΠ
    ՔಇதͷαʔϏεʹ
    ṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ

    View Slide

  41. View Slide

  42. 8B[VIͷֶशσʔλΛ
    ύʔδ͢Δඞཁ͕͋Δ
    [email protected] [email protected]
    ɹσϓϩΠ
    8B[VI%#
    νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕௥Ճ͞Εͨ
    ˠΞϥʔτ
    $ curl -X DELETE "https://api.url/syscheck/ \
    $(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"

    View Slide

  43. "1*Λ࢖͍౗͢
    ͜Ε͔Β

    View Slide

  44. ύοέʔδͷΠϯετʔϧঢ়گ΍
    ੬ऑੑͷ༗ແΛऔಘ

    View Slide

  45. ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ

    View Slide

  46. IUUQTHJUIVCDPNNSUDXB[VI

    View Slide

  47. ·ͱΊ
    wηΩϡϦςΟɾΠϯγσϯτ͸ൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ

    ΠϯύΫτ͕ى͜ΓಘΔ
    wى͖͔ͯΒͰ͸஗͍͠ɺى͖ͨ͋ͱ΋଎͕ඞཁ
    wະવʹ๷͙͜ͱɺൃੜΛݕ஌͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ

    ఏڙ͢Δ8B[VI͸ಋೖ΋؆୯ͩ͠ɺӡ༻΋ָ

    View Slide

  48. 5IBOLZPV
    ࠷৽ͷ࠾༻৘ใΛνΣοΫˠ [email protected]

    View Slide