Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CSIRTによるインシデント対応を支えるログ集約と分析の取り組み / Approaches t...

Sansan
November 05, 2021

CSIRTによるインシデント対応を支えるログ集約と分析の取り組み / Approaches to log aggregation and analysis to support incident response by CSIRT

■イベント

Sansan Builders Stage 2021

https://jp.corp-sansan.com/engineering/buildersstage2021/

■登壇概要

タイトル:
CSIRTによるインシデント対応を支えるログ集約と分析の取り組み
登壇者:技術本部 CSIRTグループ セキュリティエンジニア 吉山 遼太

▼Sansan Engineering
https://jp.corp-sansan.com/engineering/

Sansan

November 05, 2021
Tweet

More Decks by Sansan

Other Decks in Technology

Transcript

  1. • Sansan では様々なクラウドサービスや SaaS を利⽤している • 業務基盤が SaaS によっている •

    ログが各所に散っているため横断的に検索することが困難 • インシデント対応時に CSIRT が直接ログを確認し調査することができない 今まで持っていた課題感 基盤概要
  2. • Amazon OpenSearch を軸にしたログ基盤 • ⽣ログは S3 に保存し⻑期保管 • S3

    からのログの取り込みに es-loader [1] を使⽤ • 1.5TB/day ものログを収集と検索が可能 S3 へログを配置すると勝⼿にログ基盤へインデックスされる ログ基盤 on OpenSearch 基盤概要 [1] https://github.com/aws-samples/siem-on-amazon-opensearch-service/tree/main/source/lambda/es_loader
  3. • OpenSearch の機能を使う事でアラートを設置できる • 簡単な設定を⼊れるだけ • Slack をはじめとするいくつかの送信先へ通知を送れる • 基盤へ格納しているログをソースにしてアラーティング可能

    • バリエーションは無限⼤ • SaaS の監査ログを使ってコンソールへのログインを通知 • フローログを使って特定 IP への通信を通知 • などなど… OpenSearch を使ったアラート アラーティング
  4. • 本家への es–loader への貢献 • 独⾃に対応しているログについてコミットしていく • より幅広いログ種の対応 • まだ取り込めていない

    SaaS やクラウドサービスのログを取り込む • コスト削減 • 既存製品より安いとはいえコストは気になる • ストレージでのログの保管の仕⽅など、⼯夫してコスト削減できる余地が多い • 開発環境の改善 • エラー対応の効率化 • ダッシュボードなどのオブジェクト管理の改善 今後の展望 まとめ