Save 37% off PRO during our Black Friday Sale! »

CSIRTによるインシデント対応を支えるログ集約と分析の取り組み / Approaches to log aggregation and analysis to support incident response by CSIRT

13d936e697fe0f4fa96f926d0a712f6c?s=47 Sansan
PRO
November 05, 2021

CSIRTによるインシデント対応を支えるログ集約と分析の取り組み / Approaches to log aggregation and analysis to support incident response by CSIRT

■イベント

Sansan Builders Stage 2021

https://jp.corp-sansan.com/engineering/buildersstage2021/

■登壇概要

タイトル:
CSIRTによるインシデント対応を支えるログ集約と分析の取り組み
登壇者:技術本部 CSIRTグループ セキュリティエンジニア 吉山 遼太

▼Sansan Engineering
https://jp.corp-sansan.com/engineering/

13d936e697fe0f4fa96f926d0a712f6c?s=128

Sansan
PRO

November 05, 2021
Tweet

Transcript

  1. 吉⼭ 遼太 CSIRTによるインシデント対応を⽀える ログ集約と分析の取り組み STAGE 1 CSIRT SESSION TAG

  2. 技術本部 CSIRTグループ セキュリティエンジニア 2020年にセキュリティエンジニアとしてSansanへ⼊社。 ⼊社後は CSIRT の SOC チームのメンバーとしてログ基盤の構築や運⽤、 サービスのセキュリティチェックなどの業務に携わっている。

    吉⼭ 遼太 img
  3. • Sansan では様々なクラウドサービスや SaaS を利⽤している • 業務基盤が SaaS によっている •

    ログが各所に散っているため横断的に検索することが困難 • インシデント対応時に CSIRT が直接ログを確認し調査することができない 今まで持っていた課題感 基盤概要
  4. • 安価に膨⼤なログを処理・分析できる基盤が存在しない • コストが⾼く導⼊が難しい製品が多い 今まで持っていた課題感 基盤概要 全社のログを安価に蓄積・分析することができるログ基盤が欲しい! → 偶然 AWS

    の⽅と話した時に SIEM ソリューションのプロトタイプがあることを知る → 試したところ課題を解決できるソリューションだった
  5. • Amazon OpenSearch を軸にしたログ基盤 • ⽣ログは S3 に保存し⻑期保管 • S3

    からのログの取り込みに es-loader [1] を使⽤ • 1.5TB/day ものログを収集と検索が可能 S3 へログを配置すると勝⼿にログ基盤へインデックスされる ログ基盤 on OpenSearch 基盤概要 [1] https://github.com/aws-samples/siem-on-amazon-opensearch-service/tree/main/source/lambda/es_loader
  6. • OpenSearch の機能を使う事でアラートを設置できる • 簡単な設定を⼊れるだけ • Slack をはじめとするいくつかの送信先へ通知を送れる • 基盤へ格納しているログをソースにしてアラーティング可能

    • バリエーションは無限⼤ • SaaS の監査ログを使ってコンソールへのログインを通知 • フローログを使って特定 IP への通信を通知 • などなど… OpenSearch を使ったアラート アラーティング
  7. OpenSearch を使ったアラート アラーティング

  8. • 不正ログインが疑われる事象などで迅速に調査が可能 • ユーザーのアクティビティを複数のサービス横断で検索 • 不審な操作をしていないかの裏取りができる 社員からの問い合わせ対応 活⽤事例

  9. 社員からの問い合わせ対応 活⽤事例 • 対象のメールアドレスを軸に複数のログを横断的に検索 • 送信元の IP やアクティビティなどに不審な点がないか調査

  10. • 本家への es–loader への貢献 • 独⾃に対応しているログについてコミットしていく • より幅広いログ種の対応 • まだ取り込めていない

    SaaS やクラウドサービスのログを取り込む • コスト削減 • 既存製品より安いとはいえコストは気になる • ストレージでのログの保管の仕⽅など、⼯夫してコスト削減できる余地が多い • 開発環境の改善 • エラー対応の効率化 • ダッシュボードなどのオブジェクト管理の改善 今後の展望 まとめ
  11. CSIRT 8card.net/p/39965681348 Eight Virtual Card 吉⼭ 遼太