Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wazuhを利用した 大統一サーバ監査基盤

Kazuhiko Yamashita
January 26, 2019
Technology
3
3.6k

Wazuhを利用した 大統一サーバ監査基盤

昨今、WEBサービスを運用するにあたり、攻撃手法の高度化に伴いサーバの防御、脆弱性対応はもちろんのこと、有事を検知する監査の仕組みも注目されるようになってきました。

話し手が所属するGMOペパボでは、これまでのセキュリティ・インシデントの経験を糧にサーバ監査の仕組みやウィルス検知の仕組みの構築に力を注いでいます。
このセッションでは話し手が全社横断で取り組んできたサーバ監査の仕組みの構築、導入のノウハウや、実際の運用の勘所を踏まえて、知見を共有します。

Kazuhiko Yamashita

January 26, 2019
Tweet

More Decks by Kazuhiko Yamashita

See All by Kazuhiko Yamashita
若者とGPTのすべて
pyama86
0
130
Dynamic VM Scheduling
 in OpenStack
pyama86
1
730
GMOペパボにおける大規模インフラのセキュリティ管理
pyama86
1
84
Is Kubernetes On-premises Hardway?
pyama86
2
400
突然のグループ一斉在宅勤務開始!!1に
おける働き方を変革する技術や仕組み
pyama86
4
1k
企業に必要とされている インフラ技術とこれから
pyama86
12
8.3k
「ペパボっぽい」
エンジニアカルチャーを創る
言葉と仕組み
pyama86
20
5.1k
CloudNative Buildpacksで創る、CloudNativeな開発体験
pyama86
9
12k
CN Buildpacksが作る未来
pyama86
2
2.5k

Other Decks in Technology

See All in Technology
心理的安全性に対して個人とチームで取り組んできたこと
hiro_torii
1
630
AI in Action
charmichokshi
0
160
「エンジニアリングで運用を改善する」ためのAmazon CloudWatch活用
mitsuaki96
1
410
User Story Mapping - Scrum Niigata
kawaguti
PRO
5
2.4k
いきいきした受託開発をするためにアジャイルチームができること / What Agile Teams Can Do for Lively Contract Development
takaking22
2
990
OpenAI社のWhisper APIを使ってみた! / ChatGPT研究会 第7弾 (ALGYAN)
you
0
260
Google I/O 2023で話されたWeb MLの話を紹介したい! / IoTLT vol.99
you
0
110
Design insights from unit tests @ itkonekt 2023
victorrentea
0
110
カーネルコードの歩き方
sat
PRO
3
2.4k
10x More Effective Sprint Review for the Agile Team
eiki
0
120
リリースノートにないCDKのアップデートを見てみよう
watany
0
760
CyberAgent AI事業本部MLOps研修基礎編
hosimesi11
2
370

Featured

See All Featured
Code Reviewing Like a Champion
maltzj
508
38k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
Robots, Beer and Maslow
schacon
154
7.5k
Agile that works and the tools we love
rasmusluckow
322
20k
Making the Leap to Tech Lead
cromwellryan
118
7.8k
Bash Introduction
62gerente
602
210k
Web development in the modern age
philhawksworth
197
9.7k
How GitHub Uses GitHub to Build GitHub
holman
466
280k
What's in a price? How to price your products and services
michaelherold
234
10k
Designing Experiences People Love
moore
130
22k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
239
19k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.2k

Transcript

  1. ʙ৽य़ͷ஍தւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ
    !QZBNB(.01FQBCP *OD
    :"1$5PLZP
    8B[VIΛར༻ͨ͠
    େ౷Ұαʔό؂ࠪج൫

    View Slide

  2. γχΞɾϓϦϯγύϧΤϯδχΞ
    ࢁԼ࿨඙!QZBNB
    ϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυ
    IUUQTUFOTOBQPODPN

    View Slide

  3. ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ

    View Slide

  4. ೥ ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝


    ೥ ϔςϜϧαʔϏεఏڙ։࢝
    1ࢁ͕ϖύϘʹೖࣾʂʂ̍
    ೥݄೔
    ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁര஀ʂʂ̍
    ೥ ݱࡏɾ૑ۀ೥໨
    ϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝

    View Slide

  5. 45/4
    -JOVY/444FSWFS
    TUOTKQ

    View Slide

  6. 45/4

    View Slide

  7. ࠓ೔࿩͢͜ͱ
    w8B[VI֓ཁ
    wϖύϘͷ8B[VIಋೖܦҢ
    w8B[VIίϯϙʔωϯτ঺հ
    w8B[VIӡ༻ͷצॴ
    w·ͱΊ

    View Slide

  8. ࠓ೔࿩͞ͳ͍͜ͱ
    w$MBN"7ʹ͍ͭͯ
    wUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯ
    w๻ͷ൒ੜͱ࠷ۙͷ࿀Ѫࣄ৘ʹ͍ͭͯ

    View Slide

  9. 8B[VI
    5IF0QFO4PVSDF4FDVSJUZ1MBUGPSN
    XB[VIDPN

    View Slide

  10. 8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*U
    XBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDL
    BOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO
    %PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE
    GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM

    View Slide

  11. 8B[VIͰԿ͕Ͱ͖Δ͔ʁ
    ϑΝΠϧ੔߹ੑ؂ࢹ
    ϩά؂ࢹʹج͍ͮͨ৵ೖݕ஌
    γεςϜઃఆϙϦγʔ؂ࠪ
    γεςϜ੬ऑੑ؂ࢹ

    View Slide

  12. ϖύϘͷ8B[VIಋೖܦҢ

    View Slide

  13. ηΩϡϦςΟ
    Πϯγσϯτͷൃੜ

    View Slide

  14. ෆਖ਼ΞΫηεʹΑΔ
    ෆਖ਼ϓϩάϥϜͷ࣮ߦ

    View Slide

  15. Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱ
    Կ ෺
    Λෆਖ਼ΞΫηε͞Ε͔ͨʁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ
    ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁ
    ͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ
    ˞*1"৘ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ

    View Slide

  16. ਖ਼֬ͳඃ֐ͷ೺Ѳ͸ϏδωεͰ΋
    ௒ॏཁ
    ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ

    View Slide

  17. ௐࠪखஈ
    w֤छγεςϜϩάɾΞϓϦέʔγϣϯϩά
    w%#ͷΫΤϦʔϩά
    wΞΫηε͞ΕͨՄೳੑͷ͋Δ৘ใΛ໢ཏతʹௐࠪ͢Δ

    View Slide

  18. ๲େͳ࣌ؒ
    ͱ࡞ۀྔ

    View Slide

  19. ࣍ඃ֐ͷ཈ࢭ
    ιʔγϟϧϦεΫ
    ૣٸʹਖ਼֬ͳ
    ৘ใ։͕ࣔඞཁ

    View Slide

  20. 8B[VI͕ղܾ͢Δ͜ͱ
    ؂ࠪ ؅ཧ
    ηΩϡϦςΟ؂ࠪͷ౷߹ج൫
    wγεςϜίʔϧ؂ࢹ
    wϑΝΠϧ੔߹ੑ؂ࢹ
    wϙϦγʔ؂ࢹ
    wύοέʔδ੬ऑੑ؂ࢹ
    w؂ࠪঢ়گͷऩू
    wμογϡϘʔυͳͲͷ(6*
    w4MBDLͳͲͷ௨஌࿈ܞ
    w3&45GVM"1*

    View Slide

  21. ϖύϘͷ8B[VIಋೖͷಈػ
    wαʔόͷ৵ೖͷݕ஌΍ෆਖ਼ͳৼΔ෣͍Λ௨஌ΛࣗಈԽɺͰ͖Ε͹ରԠ
    ·ͰࣗಈԽ͍ͨ͠
    w$7&ొ࿥࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨ
    wҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱ؅ཧ͍ͨ͠

    View Slide

  22. ϖύϘͷ8B[VIಋೖ
    wαʔόͷߏங͸!UONUͱͰҰ൩Ͱ࡞ͬͨ
    wΫϥΠΞϯτ΁ͷಋೖ͸ظ೔͸શࣾ౷Ұɺ༏ઌ౓Λ͚ͭͯಋೖΛਐΊ
    ͍ͯͬͨ
    wࣄۀ෦͝ͱʹ؅ཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦෼
    ͸$PPLCPPL΍ϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ͸֤ࣄۀ෦
    Ͱνϡʔχϯά͠ɺͦͷϊ΢ϋ΢Λਵ࣌ࣾ಺ల։

    View Slide

  23. ϖύϘͷ8B[VIಋೖޙ
    ৵ೖݕ஌
    ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ
    ৵ೖΛݕ஌ࣗ͠ಈͰ௨஌
    ॳಈରԠ
    ֤ࣄۀ෦͝ͱʹ8B[VI௨஌ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ

    ࿈ܞ
    ࣄޙରԠ
    μογϡϘʔυ΍"1*͔Β৘ใΛऩू
    ౷߹؅ཧ
    ύοέʔδͷ৘ใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ
    ۲Ͱͷαʔό؅ཧ͕Մೳʹͳͬͨ

    View Slide

  24. 8B[VIΞʔΩςΫνϟ

    View Slide

  25. 8B[VI

    View Slide

  26. BHFOU
    4ZTDIFDL
    -PHDPMMFDUPS
    3PPUDIFDL
    .PEVMFT.BOBHFS

    View Slide

  27. TFSWFS
    "OBMZTJT%BFNPO
    3FNPUF%BFNPO
    3&45GVM"1*

    View Slide

  28. &MBTUJD4UBDL
    &MBTUJDTFBSDI
    ,JCBOB

    View Slide

  29. 8B[VI$MVTUFS
    ඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δ
    ৑௕ߏ੒͔ͭෛՙ෼ࢄ͕Մೳ
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    TFSWFSXPSLFS
    -#
    DMJFOU
    DMVTUFS

    View Slide

  30. ϖύϘେ౷Ұ8B[VI
    0QFO4UBDL
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    EPDLFSDPNQPTF
    XB[VI
    &MBTUJDTFBSDI
    0QFO4UBDL্ͷ7.Ͱ࣮ߦ
    ೝূ͸(4VJUFʹ౷߹
    IUUQTHJUIVCDPNXB[VIXB[VIEPDLFS
    EPDLFSDPNQPTFͰΫϥελʔߏங

    View Slide

  31. ౷Ұج൫Ͱ΋ࡉ෼Խͯ͠؅ཧՄೳ
    άϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά
    $ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipop

    lolipop

    ΫϥΠΞϯτొ࿥࣌ʹάϧʔϓࢦఆ
    ΫϥΠΞϯτͷઃఆϑΝΠϧʹ೚ҙͷ߲໨ΛMBCFMͰఆٛՄೳ

    View Slide

  32. ϥϕϧͷఆٛʹج͍ͮͯ
    ௨஌εΫϦϓτ࣮ߦ

    View Slide

  33. ӡ༻ͷצॴͱ࣮ྫ

    View Slide

  34. ϊΠζΞϥʔτ

    View Slide

  35. σϑΥϧτϧʔϧΛͦͷ··௨஌͢Δͱա৒௨஌ʹͳΔ
    ྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔ

    ˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔ
    ΞϥʔτʹଈରԠ͕
    ඞཁͱ͍͏ӡ༻Λ໨ࢦ͢

    View Slide

  36. ϊΠζΛݮΒ͢ख๏
    ௨஌ϧʔϧϨϕϧΛมߋ͢Δ
    σϑΥϧτϧʔϧΛ্ॻ͖͢Δ
    ᶃ ϧʔϧϨϕϧΛม͑Δ
    ᶄ ϗετɾϩʔϧΛߜΔ

    View Slide

  37. 8B[VIͷΞϥʔτॲཧ
    /PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*%
    UJNFTUBNQ/PW
    IPTUOBNFGUQ
    [email protected]
    SVMFJEMFWFM
    IPTUOBNFGUQIPTUOBNF
    [email protected] BEEVTFS [email protected]
    EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO
    [email protected]@ [email protected]@ [email protected]@ [email protected] [email protected]*[email protected] [email protected]*[email protected] HSPVQ
    SVMF
    %FDPEF
    .BUDI

    View Slide

  38. 1VMMSFRVFTU
    3FWJFX.FSHF
    $*
    %FQMPZ
    ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛ௥ه͠ɺ13
    3VCZͷNJOJUFTUͰ࣮૷͞ΕͨɺࣗಈςετΛ࣮ߦ
    ҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺ
    ௥Ճ͞Ε͍ͯΔ͔Λςετ
    ϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ
    .BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠ
    ϩʔΧϧϧʔϧӡ༻

    View Slide

  39. σϓϩΠര஄

    View Slide

  40. γϯϘϦοΫϦϯΫΛར༻ͨ͠
    σϓϩΠ͸'*.͔ΒݟΔͱશվ᜵
    [email protected] [email protected]
    ɹσϓϩΠ
    ՔಇதͷαʔϏεʹ
    ṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ

    View Slide

  41. [email protected]

    View Slide

  42. 8B[VIͷֶशσʔλΛ
    ύʔδ͢Δඞཁ͕͋Δ
    [email protected] [email protected]
    ɹσϓϩΠ
    8B[VI%#
    νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕௥Ճ͞Εͨ
    ˠΞϥʔτ
    $ curl -X DELETE "https://api.url/syscheck/ \
    $(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"

    View Slide

  43. "1*Λ࢖͍౗͢
    ͜Ε͔Β

    View Slide

  44. ύοέʔδͷΠϯετʔϧঢ়گ΍
    ੬ऑੑͷ༗ແΛऔಘ

    View Slide

  45. ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ

    View Slide

  46. IUUQTHJUIVCDPNNSUDXB[VI

    View Slide

  47. ·ͱΊ
    wηΩϡϦςΟɾΠϯγσϯτ͸ൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ

    ΠϯύΫτ͕ى͜ΓಘΔ
    wى͖͔ͯΒͰ͸஗͍͠ɺى͖ͨ͋ͱ΋଎͕ඞཁ
    wະવʹ๷͙͜ͱɺൃੜΛݕ஌͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ

    ఏڙ͢Δ8B[VI͸ಋೖ΋؆୯ͩ͠ɺӡ༻΋ָ

    View Slide

  48. 5IBOLZPV
    ࠷৽ͷ࠾༻৘ใΛνΣοΫˠ [email protected]

    View Slide