Wazuhを利用した 大統一サーバ監査基盤

Wazuhを利用した 大統一サーバ監査基盤

昨今、WEBサービスを運用するにあたり、攻撃手法の高度化に伴いサーバの防御、脆弱性対応はもちろんのこと、有事を検知する監査の仕組みも注目されるようになってきました。

話し手が所属するGMOペパボでは、これまでのセキュリティ・インシデントの経験を糧にサーバ監査の仕組みやウィルス検知の仕組みの構築に力を注いでいます。
このセッションでは話し手が全社横断で取り組んできたサーバ監査の仕組みの構築、導入のノウハウや、実際の運用の勘所を踏まえて、知見を共有します。

1b838da2065660793d5b26f2cdc32de7?s=128

Kazuhiko Yamashita

January 26, 2019
Tweet

Transcript

  1. ʙ৽य़ͷ஍தւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ !QZBNB(.01FQBCP *OD :"1$5PLZP 8B[VIΛར༻ͨ͠ େ౷Ұαʔό؂ࠪج൫

  2. γχΞɾϓϦϯγύϧΤϯδχΞ ࢁԼ࿨඙!QZBNB ϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυ IUUQTUFOTOBQPODPN

  3. ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ

  4. ೥ ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝ ೥ ೥ ೥ ϔςϜϧαʔϏεఏڙ։࢝ 1ࢁ͕ϖύϘʹೖࣾʂʂ̍ ೥݄೔ ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁര஀ʂʂ̍ ೥

    ݱࡏɾ૑ۀ೥໨ ϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝
  5. 45/4 -JOVY/444FSWFS TUOTKQ

  6. 45/4

  7. ࠓ೔࿩͢͜ͱ w8B[VI֓ཁ wϖύϘͷ8B[VIಋೖܦҢ w8B[VIίϯϙʔωϯτ঺հ w8B[VIӡ༻ͷצॴ w·ͱΊ

  8. ࠓ೔࿩͞ͳ͍͜ͱ w$MBN"7ʹ͍ͭͯ wUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯ w๻ͷ൒ੜͱ࠷ۙͷ࿀Ѫࣄ৘ʹ͍ͭͯ

  9. 8B[VI 5IF0QFO4PVSDF4FDVSJUZ1MBUGPSN XB[VIDPN

  10. 8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*U XBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDL BOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO %PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE  GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM

  11. 8B[VIͰԿ͕Ͱ͖Δ͔ʁ ϑΝΠϧ੔߹ੑ؂ࢹ ϩά؂ࢹʹج͍ͮͨ৵ೖݕ஌ γεςϜઃఆϙϦγʔ؂ࠪ γεςϜ੬ऑੑ؂ࢹ

  12. ϖύϘͷ8B[VIಋೖܦҢ

  13. ηΩϡϦςΟ Πϯγσϯτͷൃੜ

  14. ෆਖ਼ΞΫηεʹΑΔ ෆਖ਼ϓϩάϥϜͷ࣮ߦ

  15. Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱ Կ ෺ Λෆਖ਼ΞΫηε͞Ε͔ͨʁ ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁ ͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ ˞*1"৘ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ

  16. ਖ਼֬ͳඃ֐ͷ೺Ѳ͸ϏδωεͰ΋ ௒ॏཁ ෆਖ਼ΞΫηε͞Εͨ৘ใ͸Կ͔ʁ

  17. ௐࠪखஈ w֤छγεςϜϩάɾΞϓϦέʔγϣϯϩά w%#ͷΫΤϦʔϩά wΞΫηε͞ΕͨՄೳੑͷ͋Δ৘ใΛ໢ཏతʹௐࠪ͢Δ

  18. ๲େͳ࣌ؒ ͱ࡞ۀྔ

  19. ࣍ඃ֐ͷ཈ࢭ ιʔγϟϧϦεΫ ૣٸʹਖ਼֬ͳ ৘ใ։͕ࣔඞཁ

  20. 8B[VI͕ղܾ͢Δ͜ͱ ؂ࠪ ؅ཧ ηΩϡϦςΟ؂ࠪͷ౷߹ج൫ wγεςϜίʔϧ؂ࢹ wϑΝΠϧ੔߹ੑ؂ࢹ wϙϦγʔ؂ࢹ wύοέʔδ੬ऑੑ؂ࢹ w؂ࠪঢ়گͷऩू wμογϡϘʔυͳͲͷ(6*

    w4MBDLͳͲͷ௨஌࿈ܞ w3&45GVM"1*
  21. ϖύϘͷ8B[VIಋೖͷಈػ wαʔόͷ৵ೖͷݕ஌΍ෆਖ਼ͳৼΔ෣͍Λ௨஌ΛࣗಈԽɺͰ͖Ε͹ରԠ ·ͰࣗಈԽ͍ͨ͠ w$7&ొ࿥࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨ wҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱ؅ཧ͍ͨ͠

  22. ϖύϘͷ8B[VIಋೖ wαʔόͷߏங͸!UONUͱͰҰ൩Ͱ࡞ͬͨ wΫϥΠΞϯτ΁ͷಋೖ͸ظ೔͸શࣾ౷Ұɺ༏ઌ౓Λ͚ͭͯಋೖΛਐΊ ͍ͯͬͨ wࣄۀ෦͝ͱʹ؅ཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦෼ ͸$PPLCPPL΍ϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ͸֤ࣄۀ෦ Ͱνϡʔχϯά͠ɺͦͷϊ΢ϋ΢Λਵ࣌ࣾ಺ల։

  23. ϖύϘͷ8B[VIಋೖޙ ৵ೖݕ஌ ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ ৵ೖΛݕ஌ࣗ͠ಈͰ௨஌ ॳಈରԠ ֤ࣄۀ෦͝ͱʹ8B[VI௨஌ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ
 ࿈ܞ ࣄޙରԠ μογϡϘʔυ΍"1*͔Β৘ใΛऩू ౷߹؅ཧ

    ύοέʔδͷ৘ใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ ۲Ͱͷαʔό؅ཧ͕Մೳʹͳͬͨ
  24. 8B[VIΞʔΩςΫνϟ

  25. 8B[VI

  26. BHFOU 4ZTDIFDL -PHDPMMFDUPS 3PPUDIFDL .PEVMFT.BOBHFS

  27. TFSWFS "OBMZTJT%BFNPO 3FNPUF%BFNPO 3&45GVM"1*

  28. &MBTUJD4UBDL &MBTUJDTFBSDI ,JCBOB

  29. 8B[VI$MVTUFS ඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δ ৑௕ߏ੒͔ͭෛՙ෼ࢄ͕Մೳ TFSWFSXPSLFS TFSWFSXPSLFS TFSWFSXPSLFS -# DMJFOU DMVTUFS

  30. ϖύϘେ౷Ұ8B[VI 0QFO4UBDL EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI

    &MBTUJDTFBSDI EPDLFSDPNQPTF XB[VI &MBTUJDTFBSDI 0QFO4UBDL্ͷ7.Ͱ࣮ߦ ೝূ͸(4VJUFʹ౷߹ IUUQTHJUIVCDPNXB[VIXB[VIEPDLFS EPDLFSDPNQPTFͰΫϥελʔߏங
  31. ౷Ұج൫Ͱ΋ࡉ෼Խͯ͠؅ཧՄೳ άϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά $ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipop <labels> <label

    key="slack_channel">lolipop</label> </labels> ΫϥΠΞϯτొ࿥࣌ʹάϧʔϓࢦఆ ΫϥΠΞϯτͷઃఆϑΝΠϧʹ೚ҙͷ߲໨ΛMBCFMͰఆٛՄೳ
  32. ϥϕϧͷఆٛʹج͍ͮͯ ௨஌εΫϦϓτ࣮ߦ

  33. ӡ༻ͷצॴͱ࣮ྫ

  34. ϊΠζΞϥʔτ

  35. σϑΥϧτϧʔϧΛͦͷ··௨஌͢Δͱա৒௨஌ʹͳΔ ྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔ  ˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔ ΞϥʔτʹଈରԠ͕ ඞཁͱ͍͏ӡ༻Λ໨ࢦ͢

  36. ϊΠζΛݮΒ͢ख๏  ௨஌ϧʔϧϨϕϧΛมߋ͢Δ  σϑΥϧτϧʔϧΛ্ॻ͖͢Δ ᶃ ϧʔϧϨϕϧΛม͑Δ ᶄ ϗετɾϩʔϧΛߜΔ

  37. 8B[VIͷΞϥʔτॲཧ /PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*% UJNFTUBNQ/PW IPTUOBNFGUQ QSPHSBN@OBNFVTFSBEE SVMFJEMFWFM IPTUOBNFGUQIPTUOBNF JG@HSPVQTZTMPH BEEVTFS

    JG@HSPVQ EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO HSPVQQDJ@ETT@ QDJ@ETT@ QDJ@ETT@ HQH@ HEQS@*7@E HEQS@*7@ HSPVQ SVMF %FDPEF .BUDI
  38. 1VMMSFRVFTU 3FWJFX.FSHF $* %FQMPZ ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛ௥ه͠ɺ13 3VCZͷNJOJUFTUͰ࣮૷͞ΕͨɺࣗಈςετΛ࣮ߦ ҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺ ௥Ճ͞Ε͍ͯΔ͔Λςετ ϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ .BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠ

    ϩʔΧϧϧʔϧӡ༻
  39. σϓϩΠര஄

  40. γϯϘϦοΫϦϯΫΛར༻ͨ͠ σϓϩΠ͸'*.͔ΒݟΔͱશվ᜵ QBUITZN@BBUYU QBUITZN@CBUYU ɹσϓϩΠ ՔಇதͷαʔϏεʹ ṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ

  41. pOEOPEF@NPEVMFTcXDM 

  42. 8B[VIͷֶशσʔλΛ ύʔδ͢Δඞཁ͕͋Δ QBUITZN@BBUYU QBUITZN@CBUYU ɹσϓϩΠ 8B[VI%# νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕௥Ճ͞Εͨ ˠΞϥʔτ $

    curl -X DELETE "https://api.url/syscheck/ \ $(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"
  43. "1*Λ࢖͍౗͢ ͜Ε͔Β

  44. ύοέʔδͷΠϯετʔϧঢ়گ΍ ੬ऑੑͷ༗ແΛऔಘ

  45. ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ

  46. IUUQTHJUIVCDPNNSUDXB[VI

  47. ·ͱΊ wηΩϡϦςΟɾΠϯγσϯτ͸ൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ
 ΠϯύΫτ͕ى͜ΓಘΔ wى͖͔ͯΒͰ͸஗͍͠ɺى͖ͨ͋ͱ΋଎͕ඞཁ wະવʹ๷͙͜ͱɺൃੜΛݕ஌͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ
 ఏڙ͢Δ8B[VI͸ಋೖ΋؆୯ͩ͠ɺӡ༻΋ָ

  48. 5IBOLZPV ࠷৽ͷ࠾༻৘ใΛνΣοΫˠ !QC@SFDSVJU