Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

Sansan
October 28, 2020

Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

■イベント
AWS Security Roadshow Japan
https://aws.amazon.com/jp/about-aws/events/2020/securityroadshow2020/

■登壇概要
タイトル:Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service
登壇者:CSIRT 松田 健

▼Sansan Builders Blog
https://buildersbox.corp-sansan.com/

Sansan

October 28, 2020
Tweet

More Decks by Sansan

Other Decks in Technology

Transcript

  1. © 2020, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Sansanの成⻑を⽀えるセキュリティログ の活⽤と Amazon Elasticsearch Service f o r A W S S e c u r i t y R o a d s h o w J a p a n O n l i n e 2 0 2 0 Sansan株式会社 CSIRT 松⽥ 健 Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management
  2. Profile - 松⽥ 健 Takeshi Matsuda - Sansan株式会社 CSIRT -

    Sansan-CSIRT SOCチーム - AWS利⽤歴 1年くらい - オンプレが⼤好き(でした) - ネットワークが好きです
  3. SOCチームで扱うログ AWS サービス 社内システム セキュリティ対策製品 AWS セキュリティ Elastic Load Balancing

    Amazon Route 53 VPC Flow Logs Amazon Simple Storage Service (Amazon S3) AWS CloudTrail Amazon GuardDuty AD DNS DHCP 無線 AP クラウドストレージ コミュニケーション基盤 and more … WAF IDS/IPS FW 認証基盤 EDR CASB
  4. - オープンソース Elasticsearch と Kibana を簡単にデプロイ・管理するフルマネー ジドサービス - Open Distro

    for Elasticsearch を活⽤する Amazon Elasticsearch Service(AES) Amazon Elasticsearch Service ➔ Elasticsearch Kibana Open Distro +
  5. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services
  6. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: 一定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services
  7. - インデックスを移動してコストを最適化する UltraWarm ノードを活⽤する Firewall Logs AWS Flow Logs Index

    fw-log-yyyy-mm-01 ➔ ➔ Index fw-log-yyyy-mm-02 Index aws-flow-log-yyyy-mm-01 Index aws-flow-log-yyyy-mm-02 Index Pattern fw-log-* Index Pattern aws-flow-log-* ➔ ➔ Index Pattern log-* ➔ 検索 UltraWarm ノードへ移動する UltraWarm ノードへ移動する ログ インデックス インデックスパターン
  8. S3 Glacier AWS Cloud S3 アーキテクチャ 1 AWS Services fluentd-bucket/

    AWS-bucket/ Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT 5 ➔ 2 3
  9. - ログソースごとにフィールド名が異なる - 検索クエリ src_ip:10.10.10.1 OR sip:10.10.10.1 OR source.ip:10.10.10.1 OR

    src:10.10.10.1 OR client_ip:10.10.10.1 - ⼀刻を争うインシデント発⽣時には⾮効率となる ログ検索のための正規化
  10. - Elastic Common Schema へマッピングする - https://www.elastic.co/guide/en/ecs/current/index.htm - 正規化後の検索クエリ source.ip:10.10.10.1

    - 後から直すのではなく、ログソースごとにしっかりと定義する - es-loader で簡単に正規化する 正規化